Přístup na veřejnou IP z lokálního rozsahu

Návody a problémy s konfigurací.
Uživatelský avatar
migell
Příspěvky: 80
Registrován: 7 years ago
antispam: Ano
Bydliště: Veselí nad Lužnicí
Kontaktovat uživatele:

Přístup na veřejnou IP z lokálního rozsahu

Příspěvekod migell » 2 years ago

Zdravím, můžete mi prosím napovědět jak nastavit přístup z lokálního rozhasu na vlastní veřejnou IP, kterou má MK? Vím, že se to tu už řešilo, ale nemůžu na to zde najít. Děkuji
0 x
Rád pomůžu a něco se přiučím ...

schrotterp
Příspěvky: 42
Registrován: 5 years ago

Příspěvekod schrotterp » 2 years ago

skus hledat hairpin nat
0 x
Hapi happy reader:

Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.

ef
Příspěvky: 529
Registrován: 11 years ago

Příspěvekod ef » 2 years ago

V natu musíš definovat NAT jen formou IP adres, nesmíš definovat in a out interface.
0 x

Uživatelský avatar
migell
Příspěvky: 80
Registrován: 7 years ago
antispam: Ano
Bydliště: Veselí nad Lužnicí
Kontaktovat uživatele:

Příspěvekod migell » 2 years ago

IN/OUT rozhraní v definování pravidel nepoužívám. To vím, že dělá problémy.
0 x
Rád pomůžu a něco se přiučím ...

schrotterp
Příspěvky: 42
Registrován: 5 years ago

Příspěvekod schrotterp » 2 years ago

0 x
Hapi happy reader:

Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.

Uživatelský avatar
migell
Příspěvky: 80
Registrován: 7 years ago
antispam: Ano
Bydliště: Veselí nad Lužnicí
Kontaktovat uživatele:

Příspěvekod migell » 2 years ago

Tak už mě napadá pouze to, že mi to kazí značkování paketů pro routování provozu.
0 x
Rád pomůžu a něco se přiučím ...

Uživatelský avatar
maartinek
Příspěvky: 32
Registrován: 3 years ago

Příspěvekod maartinek » 1 year ago

Rád bych oživil toto téma, protože nejsem schopný Hairpin NAT rozchodit. Včetně toho návodu na mikrotik stránkách jsem zkusil asi 6 dalších a vždy bez úspěchu. Pokusím se nastínit mou situaci.

U sebe doma mám web server přístupný z internetu. Mám veřejku, u správce domény vytvořený A záznam, u sebe udělaný dstnat a z venku web jede. Klasicky ale mám problém na web přistoupit zevnitř sítě, pokud používám doménové jméno. Co je u mě nestandardní, že od poskytovatele internetu mám modem a v tom nastavenou defacto DMZtku na můj mikrotik. Tedy cokoliv, co přijde z venku na moji veřejku (třeba 1.1.1.1) přeloží ten modem na 192.168.1.2, takže na mikrotiku vidím, že ta komunikace přišla na 192.168.1.2. Proto např. ten dstnat mám udělaný takto:

Kód: Vybrat vše

action=dst-nat chain=dstnat comment="Web server" dst-address=192.168.1.2 dst-address-type=local dst-port=80 log-prefix="" protocol=tcp to-addresses=192.168.88.10 to-ports=8080

Pokud je tu nějaká duše, která by mi pomohla dobrat se funkčnímu výsledku, budu rád; resp. pokud bude duše pražská, nabízím pozvání na pivo. Díky.
0 x

ludvik
Příspěvky: 3455
Registrován: 6 years ago
Bydliště: Kutná Hora
Kontaktovat uživatele:

Příspěvekod ludvik » 1 year ago

Já mám radši falšování DNS ... určitě používáš DNS v tom routeru, tak si tam napiš statický záznam.

Jinak potřebuješ zopakovat ten dst-nat i pro veřejnou IP (aby to odchytilo i požadavek zevnitř na vnější), a Hairpin spočívá v tom, že potřebuješ i SRCNAT, zamaskovat vnitřní sít za vnitřní IP toho routeru. Protože když to neuděláš, tak klient se snaží komunikovat s veřejnou IP, ale odpovědi se mu vrací z interní a s tím si už neporadí.
0 x

joker
Příspěvky: 262
Registrován: 7 years ago
antispam: Ano

Příspěvekod joker » 1 year ago

0 x

Uživatelský avatar
maartinek
Příspěvky: 32
Registrován: 3 years ago

Příspěvekod maartinek » 1 year ago

ludvik píše:Já mám radši falšování DNS ...


Já falšování moc nerad, hlavně když by měla existovat čistější cesta.

Jak myslíš dstnat pro veřejku zevnitř, jakože... ale asi mi to nedává moc smysl.

Kód: Vybrat vše

action=dst-nat chain=dstnat comment="Web server zevnitr" dst-address=1.1.1.1 dst-port=80 log-prefix="" protocol=tcp to-addresses=192.168.88.10 to-ports=8080


joker píše:Upřímně říkám, že tomu příliš nerozumím. Nejsem linux guru a o iptables jen vím, že existuje :)
0 x

ludvik
Příspěvky: 3455
Registrován: 6 years ago
Bydliště: Kutná Hora
Kontaktovat uživatele:

Příspěvekod ludvik » 1 year ago

Čistší cesta ... to by byla taková, že bys žádný NAT nepotřeboval. Buď falšuješ IP pakety, nebo DNS odpověď ... A to druhé má výhodu v tom, že nezatěžuješ router domácím provozem zbytečně.

Pokud ti to nedává smysl, tak se z toho nevyhrabeš. Potřebuješ paketům co zevnitř sítě směřují na tvoji veřejnou říci, že nemají odejít výchozí bránou ven, ale že se mají otočit a vrátit dovnitř.
1 x

Uživatelský avatar
okoun
Příspěvky: 5037
Registrován: 8 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 1 week ago

Hmm zkouším zprovozdnit to abych se dle obrázku

fff.jpg
fff.jpg (39.65 KiB) Zobrazeno 285 x


mohl dostat ze serveru 1 na server dva ale tak že jdu na veřejnou adresu serveru dva nikoli privátní, ale bohužel se nedaří, na GW kde je NAT 1:1 jsem hodil harpin pravidla:

Kód: Vybrat vše

add action=src-nat chain=srcnat disabled=yes dst-address=192.168.0.1 src-address=192.168.0.0/30 to-addresses=192.168.0.2
        add action=src-nat chain=srcnat disabled=yes dst-address=192.168.1.1 src-address=192.168.1.0/30 to-addresses=192.168.1.2


hmm kde je ale chyba?
0 x
Bohužel kouzlo regionálních ISP pomalu, ale jistě mizí, pač se ISP požírají vzájemně, tedy díky akvizicím se opět buduje jen několik nejsilnějších hráčů. Tedy ano neprodávejte!!!

cerva
Příspěvky: 106
Registrován: 2 years ago

Příspěvekod cerva » 1 week ago

Okoun: Aniž bych řešil konkrétní podobu NATu, jak jsi na tom s ICMP redirects na RB? Tím, že máš oba servery na jednom iface, posílá RB v defaultním stavu ICMP redirect, aby se stroje nebavily přes něj ale po L2, přestože jsou v jiných subnetech.
0 x

Uživatelský avatar
okoun
Příspěvky: 5037
Registrován: 8 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 1 week ago

no ICMP redirects komunikace po privátkách funguje i ICMP. Jediné co nefunguje je to z venku...
0 x
Bohužel kouzlo regionálních ISP pomalu, ale jistě mizí, pač se ISP požírají vzájemně, tedy díky akvizicím se opět buduje jen několik nejsilnějších hráčů. Tedy ano neprodávejte!!!

cerva
Příspěvky: 106
Registrován: 2 years ago

Příspěvekod cerva » 1 week ago

A co zkusit:
buď 1) zakázat redirecty na RB
nebo 2)

Kód: Vybrat vše

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.1 src-address=192.168.1.0/30 to-addresses=1.1.1.2
add action=src-nat chain=srcnat disabled=no dst-address=192.168.1.1 src-address=192.168.0.0/30 to-addresses=1.1.1.1


Řekl bych, že při komunikaci na serverovou veřejku je nutné NATovat i zdroj za jeho veřejku, protože jinak komunikace půjde asymetricky - tam přes router + stavový FW, ale zpátky jen po L2 - a to conntrack serveru nepobere jako jedno spojení.

Nejsem si teď jistý přesným packet flow přes kernel a kdy se posílá ICMP redirect, tak se omlouvám za případnou mystifikaci : -)
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: hixo a 3 hosti