Neposlušný NAT

carcharias

Mám problém s NATem.

Mk připojeny klasika v řadě za sebou.

MK1

WAN veřejná ip 1.1.1.1

LAN ip 192.168.1.1

MK2

WAN ip 192.168.1.2

LAN ip 192.168.2.1

MK3

WAN 192.168.2.2

BRIDGE 192.168.3.1 (LAN+WLAN)

Na MK3 za LANem jsou čtyři zařízení s web servery.

WEB1 192.168.3.2

WEB2 192.168.3.3

WEB3 192.168.3.4

WEB4 192.168.3.5

Celou dobu to mám nastaveno tak že z noťasu z externí sítě se připojuji na webservery přes 1.1.1.1 a port 8001-8004 dle toho na jaké zařízení se chci přiojit.

Protože se často také připojuji přes WLAN MK3 tak mám nastaveny na MK3 NAT:

chain=dstnat comment="WEB1" disabled=no dst-address=1.1.1.1 dst-port=8001 in-interface=bridge protocol=tcp to-addresses=192.168.3.2 to-ports=80

chain=dstnat comment="WEB2" disabled=no dst-address=1.1.1.1 dst-port=8002 in-interface=bridge protocol=tcp to-addresses=192.168.3.3 to-ports=80

chain=dstnat comment="WEB3" disabled=no dst-address=1.1.1.1 dst-port=8003 in-interface=bridge protocol=tcp to-addresses=192.168.3.4 to-ports=80

chain=dstnat comment="WEB4" disabled=no dst-address=1.1.1.1 dst-port=8004 in-interface=bridge protocol=tcp to-addresses=192.168.3.5 to-ports=80

Do minulýho týdne vše fungovalo tak jak má. Připojoval jsem se na WEBy jak z externích sítí tak z lokální sítě přes jednu adresu. V Sobotu jsem prováděl na MK3 factory reset, a i přesto že jsem veškeré nastavení vrátil na původní, mohu se z lokální WLAN dostat pouze na 1 webserver. Z externí sítě fungují všechny 4.

Kde dělám chybu ?

zajdee

DNAT by měl být na MK1.

surface_cz

Nevidím žádný důvod k použití dstnat na mk3 v případě, že je přístup z WLAN. Přístup z wlan na webservery by mel byt funčni bez natu (primo zadat 192.168.3.X)

dstnat použit pouze pri pristupu z vnejsi site (internetu)

carcharias

Samozřejmě že NAT je také na MK1 , díky němu funguje přístup z externí sítě.

Samozřejmostí je také že na WLAN funguje přístup na zařízeni přes třeba 192.168.3.2

Ale v tom případě musím mít ke každému zařízení nasaven v noťasu dva přístupy.

Jeden z externí sítě - 1.1.1.1

Další když jsem na WLAN - 192.168.3.2

Když je těch zařízení třeba 30 je to na houby mít 60 nastavených adres-ke každému zařízení z INETU a z LAN(WLAN).

Měl jsem to právě pořešeno tak že mám ty naty na lokálním mikrotiku (v tomto případě MK3) a přistupoval jsem k zařízení lokáně přes 1.1.1.1. Prostě ten MK3 tomu vždy podsunul tu lokání adresu v pravidlu.

Do nedávna vše fungovalo tak jak má. Teď funguje takto jen jedno zařízeni...

A nedaří se mi to znovu zprovoznit.

zajdee

Ten DNAT na MK3 fakt nemá co dělat. Na MK1 má být a tak je to správně. Pokud pozoruješ problém, že se z vnitřní sítě nedostaneš na veřejný IP a porty na těch serverech v síti 192.168.3.x, je to tím, že ty pakty jdou od serverů k tobě přímo (ne skrz MK1).

To se řeší tak, že na MK1 dáš nejprve pravidla typu: src_iface=LAN, dst_ip=1.1.1.1, dst_port=1234, action=SNAT (opravdu SNAT) a budeš _zdrojovou adresu_ takových požadavků NATovat na LAN IP MK1. Až pak jako další v pořadí nadefinuješ ty DNAT pravidla pro servery v síti 3. Síť pak udělá to, že z notebooku v LAN pošle pakety na MK1, tam se znatuje source IP na LAN IP MK1, pak se znatuje destination IP na 192.168.3.x, paket odejde k serverům, servery odpoví, paket dojde na MK1, tam se provede přeložení adres zpátky a paket odejde k tobě na notebook.

Nevýhoda je, že pakety jdou sítí k MK1 vlastně dvakrát (tam a zpátky). Jenže je to druhý nejčistší řešení.

První nejčistší řešení je, v síti až k serverům naroutovat veřejný IP adresy (nebo IPv6 adresy).

Tvoje řešení je - z pohledu síťaře - s prominutím prasárna.

carcharias

Prasárnu myslíš ve stylu že té veřejné ip 1.1.1.1 podvrhnu(DNATuji) vlastně tu lokální 192.168.3.2 ?

Tvé řešení je opravdu čistější, avšak jak jsi podotkl paket porchází celou sítí tam a zpět. Jako u obyč wifi-routeru webserveru se nejedná vo moc, ale když už bude jako zařízení sloužit třeba mpx kamera, tak ten provoz budu protahovat celou sítí.

Nejvíce mě s*re že to opravdu dřive šlo a teď prostě jen jedno zařízení z mnoha. Hledám už z principu tu chybu a nemohu na to přijít. Navíc v jiných sítích a jiných MK v řadě mi to funguje perfektně i s více servery.

Ukážu log z torchu u zařízení které funguje:

ip na notasu konektnutem na wlan je 192.168.3.100, ip zařízení 192.168.3.2

ip src dst

800 192.168.3.100 1.1.1.1

800 192.168.3.2 192.168.3.100

800 192.168.3.100 1.1.1.1

800 192.168.3.2 192.168.3.100

800 192.168.3.100 1.1.1.1

800 192.168.3.2 192.168.3.100

s tím samým pravidlem, akorát natuji na ip 192.168.3.3, NEFUNGUJE

800 192.168.3.100 1.1.1.1

800 192.168.3.3 192.168.3.100

a tím komunikace končí..

zajdee

Prasárnou myslím, že aby ses vyhnul tomu provozu skrz celou síť, tak děláš NAT navíc i na lokálním routeru (síť 192.168.3.x/24).

s tím samým pravidlem, akorát natuji na ip 192.168.3.3, NEFUNGUJE

800 192.168.3.100 1.1.1.1

800 192.168.3.3 192.168.3.100

a tím komunikace končí..

Není u toho prvního řádku chyba? Asi by tam mělo být 1.1.1.1?

Jinak teda IMHO je to ten samej problém, o kterým jsem mluvil - je to hezky vidět na tom prvním výpisu torchu. Tvůj PC se pokouší komunikovat s IP 1.1.1.1, ale odpověď od serveru jde z IP 192.168.3.x. Docela se divím, že ti funguje to první spojení :) správně by to totiž mělo vypadat tak, jak vypadá ten druhej výpis - komunikace pak jde přímo mezi serverem a tím PC v síti 192.168.3.x. Tak totiž IP funguje, provoz se skrz router hnát nemá, pokud je to jedna síť.

Aby to fungovalo, musel bys i na MK3 provést ten SRCNAT, o kterým jsem psal v prvním příspěvku.

Na serverech je nastavení IP adresy, masky, brány a routovací tabulky úplně shodné?

carcharias

Tak dík za nakopnutí, nakonec jsem udělal opravdu na MK3 SrcNAT a už to fachá tak jak má.