jak do domácí sítě přes nat?

wasill

Ahoj, dobrý den,

dlouhodobě řeším otázku přístupu do domácí sítě, která je ale za NAT poskytovatele.

Doma mám MT RB433AH a dnes to řeším tak, že v práci na veřejné adrese na ADSL mám druhý RB, a mezi nimi mám VPN tunel. V práci mám RB jako VPN server a doma jako klient. Ti jsou trvale propojeni a když se připojím do VPN, domů se dostanu. Takové řešení sice není úplně ono, ale spokojím se s tím. Problém je ale v rychlosti. Doma mám 50mbit/50mbit a v práci 25mbit/1,5mbit. Očekával jsem, že když budu stahovat v práci data z domova, budu tedy stahovat rychlostí 25mbit... cca... ale omyl, stahuji jen max 512kb. Což je smrt :)

Nějaké nápady? Čím by to mlhlo být? Nebo ideálně nějaké jiné řešení?

A předem říkám, že nechci veřejnou adresu za cenu, kterou za to chce poskytovatel :)

Díky za jakoukoliv radu

hallo

Zajímavé máš 50/50Mbit,ale veřejka ti dělá problém? Každopádně je to divné,měl by to omezovat jen tvůj upload,resp download v práci,nějaký omezení v práci na konkrétní služby nemáš?

wasill

No jde o to, že mě 50/50 stojí 550,- a veřejná 200,-

A 200 je peněz jak za kozu, nejsem krkavej, ale co je moc, to je moc :)

žádná omezení nikde :(

hallo

Tak ho zkus prubnout jestli ti místo veřejky jen nenamapuje 2 porty na VPN,třeba ho ukecáš.

wasill

Tak ho zkus prubnout jestli ti mýsto veřejky jen nenamapuje 2 porty na VPN,třeba ho ukecáš.

zkoušel, neukecal :) teď mě napadá, že to asi bude důvod té nefunkčnosti, teď si nejsem jistej, jestli je to možné, ale když se vlastně RB připojí z domova (50/50) do VPN, tak se připojuje rychlostí uploadu toho DSL... tzn. že komunikuje jen touto rychlostí.. je to tak?

hallo

No vidíš,i to je možné,takže jsi tam kde jsi nechtěl být :-)

hallo

Se podívej kterým směrem teče rx/tx když stahuješ,pokud uploadem,nebo downloadem toho rb zapojeného ve firmě

wasill

no oboje jde přes lan1..

Nastíním topologii:

v práci mám notebook, kde přes wifi mám VDSL.. je tam normálně modem. do jednoho z portů je píchlý MT. Ten má pevně nastavené adresy. Jediné, co obstarává je PPTP(a eoip). takže konektivita modemu není mikrotikem nijak ovlivněna. Ti co jsou na modemu ani neví, že tu nějaký tunel tuneluje..

Na druhé straně je moje konektivita doma, kde je mikrotik přímo v eth. portu od poskytovatele a v něm klient.

ten se připojuje na venkovní addr. modemu v práci, kde je namapovaný port 1723 na mikrotika. Tunel se spojí.

A já se vlastně notebookem z té pracovní síte, nebo odkudkoliv jinud připojím do tunelu také a jedu.

jen nevím, jak to cestuje z toho notebooku. Když jsem v práci, ač na stejné konektivitě, musím se do VPN připojit, protože RB je až za natem i ve firemní. Takže tak :) napadá mě dát sem také RP433, ale zase taková investice se mi přestává vyplácet :)

A to fakt nikdo neví o jiné alternativě? třeba něco jako hamachi do mikrotika? :)

wasill

zapoměl jsem zmínit, že na druhé straně, tedy v práci je jen RB112, tekže pouze jeden ETH..

hapi

já myslim že řešíš kraviny. Říkáš že tam máš super linky do netu. Je to vážně tak? To že VDSL má 2Mbit upload neznamená že tam 2Mbit tečou. Testoval jsi to? Testoval jsi důkladně obě konektivy jestli opravdu daji co maji?

nebo, koukal jsi na vytížení RBček při kopírování? Tak nějak to vidim v tý RB112. Jo tunel by mohla dát ale tunel taky trochu brzdí a jestli tam máš šifrování, zabil jsi ho na 512kbps :-)

wasill

no 50/50 super linka je a doposud 100% rychlost i odezvy.. Co se týče VDSL, ta dosuje ven cca 1mbit (je to zaříslý o rychlost test. připojení primo v budove TO2 :) Na 112 je vypnuté úplně vše a odebrané balíčky, ale je pravda že při stahování je zátěž 100%... Tak to mě nenapadlo..

No, zkusím sem zítra dát 433, kterou jsem právě dohodnul na zápujčku a uvidím :) To by bylo luxusní :)

Zatím moc díky za info, zítra dám vědět.

majklik

Stojí to na tom RB112, nestíhá. Šifrování tomu dá celkem pokouřit.

Jinak, když jsi v práci a stahuješ z domu do notebooku v práci, tak jsi limitován tím, co dokáže téci tím VDSL k tobě, takže teoreticky těch 25 Mbps, ale utavíš to RBčko.

Upřimně, RB433 se ti utaví asi také. Nemám představu, jak náročný je použitá RC šidra v PPTP, ale třeba pro RB433 při použití IPsecu se dle kombinace typu šifry 3DES/AES128 a podepisování MD5/SHA1 pohybuje průchodnost mezi nima pohybuje 2 Mbps (nejhuře je ais 3DES/SHA1) až 15 MBps (AES128/MD5). CPU vždy na 100%. :-)

Dálší podstatný faktor, nastav si ve firewallu v RBčkách na obou koncích, ať u TCP spojení provádí znásilnění MSS na hodnotu toho, co maximálně tou linkou projde bez fragmentace. Pokud musí RBčko zbytečně fragmentovat, tak ti to klidně při průchodnosti půjde dolů o 80%. Záleží, zda to co použiješ používá DF nebo ne. Nezapomeň se podívat do ADSL modemu, kolik max proteče tou ADSL linkou, mohlo by být kolem 1480, od toho je třeba odečíst režii IP/PPTP a režii vnořeného IP/TCP záhlaví.

wasill

no upřímně bych to šifrování nejradši zakázal úplně :) nejde mi tu ani tak o zabezpečení, ale hlavně o obchat zasranýho natu :) takže to chci oříznou na max rychlost a stabilitu.. jak? myslím, že pap je bez? takže nastavit jen pap? Vše totiž vypnout nejde :)

wasill

Stojí to na tom RB112, nestíhá. Šifrování tomu dá celkem pokouřit.

Jinak, když jsi v práci a stahuješ z domu do notebooku v práci, tak jsi limitován tím, co dokáže téci tím VDSL k tobě, takže teoreticky těch 25 Mbps, ale utavíš to RBčko....

No tak to je bomba, máš naprostou pravdu. Na 266 processoru z RB532 to šlape plnou rychlostí a vytížení je 90-100% s PAP, tedy bez šifer a na 433AH má 25-30%.. Tam je 680mhz.. Tak je to jasný, zatím si tu nechám tu 532 a časem sem dohodím ještě jednu 433AH, tam to pošlape na 100% :) Díky moc za rady pánové, jdu se těšit novým datovým přenosům Moc díky :!:

flasher

a naco ten pristup potrebujes?

mozno ti pomoze program typu teamviewer.

wasill

nepomůže :) potřebuji to na NAS, mikrotika, HTPC a další věci doma. Hlavně si taky ty věci jako PC potřebuji na dálku přes WOL zapínat. Ale jakoukoliv další alternativu uvítám

Jen se chci ještě zeptat, což by pro mne byla ideální alternativa, dá se myslíte někdo udělat, aby se mikrotici spojili tunelem a ten s veřejnou adresou by to přes svůj nat zprůchodnil do druhé sítě? jako že bych pak z venku napsal tu veřejnou adresu s třeba portem 3389 (RDP) a veřejný mikrotik by mi to poslal rovnou do tunelu na druhého mikrotika s neveřejnou a ten na určitý PC? Jako že bych se s notebookem z venku nemusel připojovat do té VPN? proste by z těch dvou sítí vznikla virtuálně jedna, viditelná z venku? Před nějakou dobou jsem toto řešil, pakety dotekly až do toho neveřejného MT, ale na PC už nevím proč neodešly. Díky za rady :)

Snad jsem to popsal správně :)

midnight_man

nedotiekli na PC len z 2 možných dôvodov = zlé nastavenie DST-NAT na tom mikrotiku, prípade mikrotik tie packety poslal do PC...a PC odmietol :) v pravidle DST-NAT na mikrotiku vidíš či tam packety pribudaju alebo nie.

majklik

To s tím přesměrováním portu ti nefungovalo proto, že pokud máš konfiguraci sítě jak popisuješ výše, tak musíš dělat současně DSTNAT i SRCNAT, protože pakety musí jít zpět stejnou cestou přes ten oruter, co přepsal cílovou adresu, jinak ti to nepojede.

Jdeo to, jsi na netu, páš IP třeba 1.1.1.1, spojuješ se na MT1 s veřejnou IP 2.2.2.2 pot 3389, tam to dojde, on paket 1.1.1.1->2.2.2.2 přepíše třeba na 1.1.1.1->192.6.6.6 a jde to tím tunelem přes MT2 k cílovému počítači, ten odpoví paketem, který ale ten MT2 zkusí poslat přímo ven do Inetu, respektive ho zahodí. Takže buď musíš na MT1 přepsat i zdrojvou adresu na jeho neveřejku, aby to šlo zpět tunelem k němu nebo na MT2 používat markování paketů tak, aby jsi dle něho správně rozhodl, co můžeš přímo pustit do netu a co musí jít zpět tunelem k MT1 (vše, co od něj přišlo), kde proběhne opět správně opak toho DSTNAT.

Jinak obecně používat RDP bez obalení nečím bezpečným není dobrá volba (vyjma případu, že se spojuješ na W2K8 server a spojuješ se z Vist/W7 se zapnutým vynuceným vzájemným ověřováním protistran, ato předpokládá, že ta stnaice je členem stjené domény, jako ten server).

Ješt ěk té volbě PAP a radosit jak ti to nešifruje. To je drobný omyl, volnba autentizace (PAP/CHAP/MSCHAP1/2) říká jakým protokolem dojde k ověření protistran, jak se ověří jménem/heslem. PAP je vtevřený text po síti, CHAP už používá hash. Zda se má šifrovat je až volba zvlášť v PPP profilu pro dané přípojení. Nastavneí PAP nez zákazu šifrování docílíš jen toho, ře se použije slabší RC4 implementace s 40 bit klíčem. MPPE128 šifrování se použije jen v kombinaci s MSCHAP ověřováním. Zkusil byc proto použít aspoň CHAP a šifrování vypnout (obě strany nastavit stejně).

wasill

uff. tak toto je trochu nad můj rámec chápání :)

takže na tom MT s veřejkou tedy MT1 nastavím rovnou dst do zařízení za tunelem?

tedy takto?

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=23 protocol=tcp dst-port=8989

v příkladu uvádím telnet na zařízení doma. Z Putty potom dám veřejnouIP a cestuje(teda pokud to má být takhle) sktz tunel do zařízení.

Pokud ano, tak nevim, kam nastavím to odpovídání? Na MT2? Nebo také na MT1?? :

a mám v MT1 do dstnat uvádět tu veřejku? Normálně při natování do té jeho sítě stačí toto nastavení, ale tady si jistej nejsem :

na MT s veřejkou mám rozsah 192.168.11.x

na MT na druhé straně tunelu je 192.168.1.x

Díky za pomoc

jinak zabezpečování apod. nechám na to, až vyřeším nefunkčnost :) Až to pofrči, koupím nové výkonné zařízení a zabezpečím klidně. Ale teď je prior to vyřešit :)

Ale kadopádně díky moc za rady s tou konfigurací, jsou k nezaplacení! :)

majklik

1) Ano, uváděj v tom dst-nat pravidle i dst-address=<tvoje veřejka>. Bez toho ti to funguje až moc agresivně. Až jednou někdo z vnitřní sítě 192.168.11.x bude potřebovat ven do netu na port 8989, tak bez toho dst-address ho to stáhne k tobě, což ti asi nepoděkuje (třeba FTP by mohlo si takový port vybrat). :-)

2) Aby se ti to vracelo správně do netu přes ten MK s veřejkou, tak hned paraleleně s dstnat tam dej i srcnat pravidlo a přepiš zdrojovou veřejku spojení na interní IPčko toho MK (192.168.11.x). Tohle je jednodušší způsob řešení, akorát na tom cílovém počítači se ti všehny spojení z internetu budou jevit jako příchozí z toho 192.168.11.x, což je na tobě, zda ne/vadí.

Další stránka »