Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 19 października 2017, godz. 03:48

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 4 ] 
Autor Wiadomość
 Tytuł: Adresy publiczne + NAT
PostNapisane: 16 czerwca 2011, godz. 10:33 
Offline

Dołączył(a): 1 kwietnia 2007, godz. 15:52
Posty: 61
Lokalizacja: Zdzieszowice
Witam!

Mam teraz kolejną niezłą zagwozdkę. Mianowicie jakiś czas temu przepiąłem się w końcu z DSLi na Metro i otrzymałem 2 pule adresów publicznych.
1. 80.x.x.40/30
2. 83.x.x.0/24

Pierwsza jest wpisana pomiędzy eth1 RB750 i konwerter światłowodowy (mostek)
Druga wyprowadzona na eth2-5 i routowana.

Serwer dostępowy podpięty WANem z adresem publicznym do RB750, LAN z maskaradą do sieci wewnętrznej.
Odpalone NAT, WebProxy dla części klientów, proste priorytetowanie usług po portach, queue tree na PCQ ze skryptem dzień/noc z Wiki.

sieć lokalna
szkielet 10.255.255.0/24
interfejsy dostępowe Apeków i pozostałych routerów podzielone na podsieci z zakresu 10.0.0.0/8 (największe maski 25bitowe, z reguły 27/29 bitów zależnie od punktu) z routowaniem.

Problem dotyczy przydzielania adresów publicznych.
Na chwilę obecną większość klientów przypięte jest albo przez NAT/Proxy albo bezpośrednio przez NAT do publicznego adresu podstawowego serwera, a część ma przekierowane własne adresy publiczne.

np
chain=forward action=accept dst-address=10.1.1.6
chain=forward action=accept src-address=10.1.1.6
chain=srcnat action=src-nat to-addresses=83.x.x.5 src-address=10.1.1.6 out-interface=WAN
chain=dstnat action=dst-nat to-addresses=10.1.1.6 dst-address=83.x.x.5 in-interface=WAN

Generalnie wydaje się to działać dobrze ale nie do końca bo pomimo przekierowania niektóre porty zatrzymywane są na usługach mikrotika np. port 80.
Pomimo przełączenia portu www mikrotika na inny dalej nie jest widoczna strona klienta na adresie publicznym.
Nie wiem czym to może być spowodowane.

Generalnie jeśli nie da się przeskoczyć powyższego zastanawiam się czy jest jakiś inny sposób przekierowania adresów publicznych dla klientów. Czy dałoby radę np. przepuścić adresy publiczne bezpośrednio, coś jak bridge zachowując jednocześnie maskaradę dla pozostałych?
Myślałem np. nad PPPoE do adresacji publicznej ale nie mam pojęcia jak to ugryźć tak żeby część klientów siedziała dalej za NATem, a łączący się przez PPPoE dostali bezpośrednie adresy publiczne bez przypinania ich do interfejsu WAN mikrotika i do tego nie skomplikować za bardzo queues na serwerze.
Jeśli istnienie proxy może być problematyczne to i tak zastanawiam się nad jego likwidacją.

No trochę się rozpisałem.
Pozdrawiam i dzięki za każdą sugestię.


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Adresy publiczne + NAT
PostNapisane: 16 czerwca 2011, godz. 12:44 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Publiczne najlepiej przeroutować. Dla oszczędności możesz użyć podsieci /32 w RouterOS da się tak adresować także na ethernecie.
Jak to konkretnie skonfigurować zależy już od tego jak w tej chwili wygląda Twoja sieć... Jeśli dysponujesz jakimś diagramem, to możesz
podesłać na forum.
Co do NATu, zmodyfikuj regułkę tak by pasowali tylko klienci z podsieci prywatnych (src-address=10.0.0.0/8).


pozdrawiam


Góra
 Zobacz profil  
 
 Tytuł: Re: Adresy publiczne + NAT
PostNapisane: 16 czerwca 2011, godz. 16:50 
Offline

Dołączył(a): 1 kwietnia 2007, godz. 15:52
Posty: 61
Lokalizacja: Zdzieszowice
Tak więc sieć w dużym uproszczeniu wygląda tak:

Obrazek

NAT:
chain=srcnat out-interface=ETH1 src-address-list=local action=src-nat to-addresses=83.x.x.2
adresy są zgrupowane w listę "local", całe podsieci np:
10.1.1.0/25
10.1.1.128/25
10.1.2.0/27
10.1.2.32/27
...

razem z tą niewiele mówiącą chmurką mniej więcej sieć jest taka:
Obrazek

Sytuacja na serwerze jest obecnie taka:
eth1->WAN(83.2.189.2-25/24)
eth2->LAN(10.255.255.254/24)
klienci oczywiście za maskaradą na adres 83.2.189.2/24.
Dodatkowo większość jeszcze przez redirect jest przepychana przez webproxy. Pozostali wraz z poniższymi są wykluczeni z przekierowania na proxy.
Część za pomocą src-nat i dst-nat ma przekierowane IPki 3-25

Dobrze by było żeby istniała jakaś metoda na przepuszczenie ruchu publicznego bezpośrednio do klientów z zachowaniem obecnej konfiguracji. Tzn queues i firewall.

Myślałem nawet nad przerzuceniem IPków z maską /32 ale szczerze mówiąc nie dociera do mnie jak przepuścić ipki mostem czy routingiem na tych samych interfejsach eth1 i eth2. No i chciałbym w miarę możliwości uniknąć nadawania publicznych IP routerom wewnątrz sieci szkieletowej 10.255.255.0/24.
Klienci podpięci są do sieci tak jak na pierwszym schemacie na małych routowanych podsieciach zawartych w 10.1.0.0/16 j.w.


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Adresy publiczne + NAT
PostNapisane: 21 czerwca 2011, godz. 11:15 
Offline

Dołączył(a): 1 kwietnia 2007, godz. 15:52
Posty: 61
Lokalizacja: Zdzieszowice
Hmmmm tak patrzę na schematy i albo mnie olśniło albo gonię w piętkę.

Mam mostek 80.x.x.40/30
Mam pulę publiczną 83.x.x.0/24
Mam pulę prywatną 10.0.0/8

Robię na osobnym routerze routing pomiędzy mostem i pulą przyznaną. Do routera podpięte jest kilka serwerów z adresami publicznymi, a za nimi NAT i pula prywatna.

Tak się zastanawiam, jakby "wywalić" router trzymający mostek i przypiąć most bezpośrednio do serwera dostępowego.
Teoretycznie miałbym 2 rzeczy z głowy.
1. Odzyskałbym 1 wolny router :)
2. Mógłbym przeroutować całą pulę publiczną pomiędzy eth1 i eth2 serwera i jednocześnie zachować NAT dla puli prywatnej na adres mostka.

Jeśli dobrze kombinuję to na interfejsie lokalnym powinienem mieć pulę publiczną razem z prywatną i olać problem przydzielania adresów klientom poprzez przypinanie ich do interfejsu eth1 serwera.
W ten sposób powinienem ominąć problem przepuszczania dowolnych serwisów klienckich.

Wyglądałoby to wtedy:

Kod:
Konwerter                                        Serwer
TPSA-eth1====80.x.x.41/30<=======>80.x.x.42/30====eth1-Routing-eth2====83.x.x.0/24
                                                  eth1-NAT-----eth2====10.0.0.0/8


Pytanie czy prywatna pula może działać równolegle z publiczną. Czy nie będzie jakichś zgrzytów logicznych. Teoretycznie prywatna jest nieroutowalna dla publicznej więc jeśli nie pochrzanię niczego w tablicach routingu na routerach powinno się to udać?


Góra
 Zobacz profil Wyślij e-mail  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 4 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 1 gość


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies