Problém s překladem - veřejná IP na další veřejnou IP -

riddick

Nevíte prosím někdo jak nastavit routovou tabulku.

Jedna se o to, že jsem dostal rozsah veřejných IP celý C rozsah.

řekněme že IP 1.1.1.5-to je moje gateway na poskytovatele. 1.1.1.6 je mé zařízení router Mikrotik 2.9x - ten je vidět z netu v klidu, jsem za tou IP schovaný. Jenže nechci být schovaný. Dostal jsem rozsah řekněme 1.1.2.1/24 jenže z venku si ping projde pouze na WAN port Mikrtotiku - nastaven na ether1 1.1.1.6 a LAN Port(ether2) toho Mikrotiku 1.1.2.1 ale ne dal. Jak nastavit router tak at to propustí dal, at je viditelný celý můj rozsah:?

riddick

Napsal jsem to složitě? Prosím o pomoc, protože jinak jsem si pořídil rozsah tolika IP na nic. Díky moc.

steebe

a kdyz si na tom ether2 nekdo nastavi tu verejnou IP adresu tak to nejde ?

tuxik

a to mas na jedno IP nasroubovany rozsah verejnych IP ? tak to mam a chodi to spolehlive. predpokladam tedy ze mas jedno IP x.x.x.x a ne nej mas nekolik verejnych IP y.y.y.y a po MK chces,aby routoval i verejky a zaroven i nejakej neverejnej subnet ?

steebe

jenze on ma verejny subnet ne neverejny ...

riddick

jj mám veřejné IP, neveřejné neřeším na Mikrotiku, to řeším dál na jiných routerech. Ted potřebuji aby mi z te např. 1.1.1.6 ky to pustilo na ether2 na můj rozsah veřejných IP - moc se tomu nechce, prosím o radu. zatím prolézá pouze o ether2 na ether1 ale opacne ne, není to vidět z venku, popravdě zatím mi to nejede vůbec. takže fakt nevím kde je chyba.

riddick

tak nevím, zatím čekám marně na radu. Najde se někdo? :)

skrebon

Pokial dobre chapem, na vnutorny iface zadas jednu treba 1.1.2.1/24 ako GW pre dalsie verejne za nim. No a potom uz u klienta nastavis 1.1.2.2/24 s GW 1.1.2.1/24... MK si route vytvori sam. Len nezabudni, vyhodit tento rozsah z maskarady(1.1.2.1/24 v NAT na accept vsade isrc/dst).

steebe

tam bude chyba v maskarade asi nema zadany rozsahy a tak mu to dela maskaradu vsude na kazdem rozharani ...

riddick

maškarádu vůbec nehodlam použít, nechci používat vůbec neveřejné IP. Neveřejné IP přiděluji až na dalším routeru - PC routeru. Takže nat na Mikrotiku vůbec neběží. Přeci není třeba stačí obyč rout si myslím. No zítra zkusím ještě pár pokusů a uvidíme.

Díky, a když by někdo ještě přispěl do kotle, byl bych rád, víc hlav víc ví:)

zdenek_hb

Hlavně to chce rozdělít si reálný rozsah na subnety, pokud nemáš všechny MK v Bridge.

Od ISP musíš mít tzv ptp pojitko (subnet 4 IP adres, kde 1 je adresa sítě, druhá je brána pro tvůj 1 router, 3 je IP tveho routeru, 4 je broadcast)

C Rozsah musíš mít naroutovaný na 3 IP ptp pojitka tedy na 1 routeru

pokud je nějaká z IP z toho C rozsahu ještě u ISP, tak ti ON musí řesit routování subnetů Reálných IP.

Nelze si jen tak říct nechám celé C s maskou 24bit a rozhodit to po celé síti, na to by jsi musel používat dynamické routování .. docela vopruz ..

Klidně ti poradím .. routuju reály denně :) i na MK

pao

Jednoduché vysvětlení:

Máš jednu veřejnou ip od tvého ISP. V tvém případě například 1.1.1.6, tu dáš na WAN rozhraní. Vytvoříš default routu 0.0.0.0/0 na gateway ISP, to je u tebe 1.1.1.5. Tak bude vše, co tvůj MT nezná směrováno k ISP. Dále - tvůj ISP ti naroutuje celý tvůj C rozsah veřejných adres na tu adresu 1.1.1.6, kterou máš na wanu. Tím se vše co přichází na tyto adresy přenese do tvého MT a nyní jde o to, co s tím chceš udělat. Například tedy dostaneš rozsah (pro jednoduchost) 192.168.0.0/24. Ty si dáš adresu 192.168.0.1 na LAN adaptér MT. Tak vznikne dynamicky routa, která bude směrovat vše, co přichází na adresy z toho rozsahu na tvůj LAN adaptér. Pokud dáš na jakýkoli stroj na LAN jakoukoli veřejnou adresu z toho rozsahu a stroj bude mít nastavenu adresu 192.168.0.1 jako gateway, vše bude fungovat. Žádný nat, maškarádu a pod. neděláš.

Složité vysvětlení:

Nemusí být praktické mít celý ten rozsah jak jsi ho dostal poslaný rovou dovnitř vcelku. Já řešil stejnou věc a rozdělil jsem C subnet na řadu (celkem 11) subnetů s maskami /29 a /27 (tedy po 8 a 32 adresách), je to čistě logické rozdělení pomocí masek. A teï je máš v MT a můžeš si nmi dělat co chceš. Například - první blok 192.168.0.0/29 použiješ tak, že adresy 192.168.0.1-6 dáš opět na WAN adaptér. A máš adresy, které můžeš použít pro NAT (různé uživatele na různé odchozí adresy, nebo vhodné, pokud je hodně uživatelů), můžeš adresy používat pro dst-nat a pod. Další blok 192.168.0.8/29 si dáš na LAN a to tak, že na LAN adaptér dáš adresu 192.168.0.9/29. Od toho okamžiku se na LAN posílají adresy 192.168.0.10-14. Na těch můžeš mít (např.) 5 dalších routerů. První z nich tedy bude mít adresu 192.168.0.10/29 a jako výchozí bránu (tedy default routa povede na) 192.168.0.9. Na prvním routeru (například) uděláš routu 192.168.0.32/27 -> 192.168.0.10 a právě jsis poslal 32 adres do toho druhého routeru, podobně jako tvlj ISP posílá blok adres tobě. První adresu z tohoto bloku dáš LAN adaptéru druhého routeru, ostatní jsou dostuné klientům........... atd.

Mám to nasazené, adresy jsou přivedeny na vnější router, ten jich část spotřebuje na vnější adaptér pro naty a spol., část použije na propojovací zónu s dalšími tchnologiemi, mimo jiné s dalším routerem, ten má 5 výstupních LAN, na které jsou opět naroutovány jednotlivé rozsahy a odtud trasami do dalších technologií a ke klientům....

Výhoda je v tom, že je sí rozdělena na řadu subnetů -> izolace problémů -> menší broadcast sítě -> snadná přeadresovatelnost v budoucnosti -> snadné přidávání dalších segmentů i bloků adres pro ně.

riddick

Díky všem za radu, zvláště Zdeňkovi a Pao. Pokusím se zítra to odzkoušet. Dám určitě vědět co a jak dopadlo :

viktornovotny

podarilo se to nakonec rozchodit ? take bych dovnitr site potreboval dostat maly rozsah ip

riddick

podařilo ale ne s Mikrotikem ale PC linux routerem. Routovací tabulku jsem měl stejnou jako u Mikrotiku. Taky to nešlo, ale přišel jsem na to proč. Chce to faknout MAC adresu bridge před routerem, a ve firewallu povolit všechny příchozí a odchozí pakety(porty). Teda takhle to chtělo na Linux routeru. Nevím kde faknu MAC u Mikrotiku

stoupalutin

podařilo ale ne s Mikrotikem ale PC linux routerem. Routovací tabulku jsem měl stejnou jako u Mikrotiku. Taky to nešlo, ale přišel jsem na to proč. Chce to faknout MAC adresu bridge před routerem, a ve firewallu povolit všechny příchozí a odchozí pakety(porty). Teda takhle to chtělo na Linux routeru. Nevím kde faknu MAC u Mikrotiku

:?: asi jsem v kdečem lama (jak kdekdo oblíbeně říká), ale co je to faknout MAC adresu? :

pintero

Složité vysvětlení:

Nemusí být praktické mít celý ten rozsah jak jsi ho dostal poslaný rovnou dovnitř vcelku. Já řešil stejnou věc a rozdělil jsem C subnet na řadu (celkem 11) subnetů s maskami /29 a /27 (tedy po 8 a 32 adresách), je to čistě logické rozdělení pomocí masek. A teï je máš v MT a můžeš s nimi dělat co chceš. Například - první blok 192.168.0.0/29 použiješ tak, že adresy 192.168.0.1-6 dáš opět na WAN adaptér. A máš adresy, které můžeš použít pro NAT (různé uživatele na různé odchozí adresy, nebo vhodné, pokud je hodně uživatelů), můžeš adresy používat pro dst-nat a pod. Další blok 192.168.0.8/29 si dáš na LAN a to tak, že na LAN adaptér dáš adresu 192.168.0.9/29. Od toho okamžiku se na LAN posílají adresy 192.168.0.10-14. Na těch můžeš mít (např.) 5 dalších routerů. První z nich tedy bude mít adresu 192.168.0.10/29 a jako výchozí bránu (tedy default routa povede na) 192.168.0.9. Na prvním routeru (například) uděláš routu 192.168.0.32/27 -> 192.168.0.10 a právě jsis poslal 32 adres do toho druhého routeru, podobně jako tvlj ISP posílá blok adres tobě. První adresu z tohoto bloku dáš LAN adaptéru druhého routeru, ostatní jsou dostuné klientům........... atd.

Jak jsi to myslel s tim prvnim blokem 192.168.0.0/29 na WAN?

Dat to tam cely, tj. /29, nebo po jednotlivych IP adresach - kazda IP s maskou /32 ??

Jakym zpusobem potom muzu nastavit maskaradu z teto IP, ktera je na WANU, na lokalni subnet, ktery mam na LANU?

Ted mam nastaveny jen Chain=srcnat , Src adress=10.0.0.0/24, Action=Masquerade, takze to natuje z hlavni IP pridelene od ISP.

belmorfeus

Jednoduché vysvětlení:

Máš jednu veřejnou ip od tvého ISP. V tvém případě například 1.1.1.6, tu dáš na WAN rozhraní. Vytvoříš default routu 0.0.0.0/0 na gateway ISP, to je u tebe 1.1.1.5. Tak bude vše, co tvůj MT nezná směrováno k ISP. Dále - tvůj ISP ti naroutuje celý tvůj C rozsah veřejných adres na tu adresu 1.1.1.6, kterou máš na wanu. Tím se vše co přichází na tyto adresy přenese do tvého MT a nyní jde o to, co s tím chceš udělat. Například tedy dostaneš rozsah (pro jednoduchost) 192.168.0.0/24. Ty si dáš adresu 192.168.0.1 na LAN adaptér MT. Tak vznikne dynamicky routa, která bude směrovat vše, co přichází na adresy z toho rozsahu na tvůj LAN adaptér. Pokud dáš na jakýkoli stroj na LAN jakoukoli veřejnou adresu z toho rozsahu a stroj bude mít nastavenu adresu 192.168.0.1 jako gateway, vše bude fungovat. Žádný nat, maškarádu a pod. neděláš.

Složité vysvětlení:

Nemusí být praktické mít celý ten rozsah jak jsi ho dostal poslaný rovou dovnitř vcelku. Já řešil stejnou věc a rozdělil jsem C subnet na řadu (celkem 11) subnetů s maskami /29 a /27 (tedy po 8 a 32 adresách), je to čistě logické rozdělení pomocí masek. A teï je máš v MT a můžeš si nmi dělat co chceš. Například - první blok 192.168.0.0/29 použiješ tak, že adresy 192.168.0.1-6 dáš opět na WAN adaptér. A máš adresy, které můžeš použít pro NAT (různé uživatele na různé odchozí adresy, nebo vhodné, pokud je hodně uživatelů), můžeš adresy používat pro dst-nat a pod. Další blok 192.168.0.8/29 si dáš na LAN a to tak, že na LAN adaptér dáš adresu 192.168.0.9/29. Od toho okamžiku se na LAN posílají adresy 192.168.0.10-14. Na těch můžeš mít (např.) 5 dalších routerů. První z nich tedy bude mít adresu 192.168.0.10/29 a jako výchozí bránu (tedy default routa povede na) 192.168.0.9. Na prvním routeru (například) uděláš routu 192.168.0.32/27 -> 192.168.0.10 a právě jsis poslal 32 adres do toho druhého routeru, podobně jako tvlj ISP posílá blok adres tobě. První adresu z tohoto bloku dáš LAN adaptéru druhého routeru, ostatní jsou dostuné klientům........... atd.

Mám to nasazené, adresy jsou přivedeny na vnější router, ten jich část spotřebuje na vnější adaptér pro naty a spol., část použije na propojovací zónu s dalšími tchnologiemi, mimo jiné s dalším routerem, ten má 5 výstupních LAN, na které jsou opět naroutovány jednotlivé rozsahy a odtud trasami do dalších technologií a ke klientům....

Výhoda je v tom, že je sí rozdělena na řadu subnetů -> izolace problémů -> menší broadcast sítě -> snadná přeadresovatelnost v budoucnosti -> snadné přidávání dalších segmentů i bloků adres pro ně.

Jak presne ve winboxu tu routu nastavim, ptam se proto ze to chci nasadit v realnem provozu a potrebuju to udelat napoprve dobre, potom se mi to uz bude hodne spatne opravovat za provozu. MÁM NA MYSLI SAMOZŘEJMĚ TEN SLOŽITĚJŠÍ POSTUP. Potrebuji vedet jak udelam tu statickou routu kde poslu na jednu IP blok adres.

rehacek

Když sí prodáváš tak to nebudeš potřebovat.

zero

Když sí prodáváš tak to nebudeš potřebovat.

: : :

Další stránka »