[ notebookFun @ 06.06.2018. 07:33 ] @
Kod telekoma imamo internet i nekoliko javnih IP adresa. Plan je da se izbaci njihov CISCO router i da firewall router bude Mikrotik.
Trazio sam da mi posalju postojeci CISCO config iz kojeg sam prekucao sve FORWARDE sa javnih IP adresa na lokalne.
Od telekoma sam dobio posebnu IP adresu i gateway koji sam unjeo na WAN interface i net mi je proradio sa Masquerade.

Javne IP adrese su u sledecem subnetu xx.xxx.xxx.224/29

Kada sam umjesto masqurade stavio
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=xx.xxx.xxx.225

Izadjem na net i see my ip kaze da imam ovaj IP. Testiran spolja forward xx.xxx.xxx.225:80 i prodjem do lokalnog web servera.
Problem je sto ne prolazim spolja sa drugim javnim IP adresama iako sam 100% dobro forward-ovo sabracaj sa te adrese na lokalnu.

Probao sam i add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=xx.xxx.xxx.226

Izadjem na net sa 226 ali s polja ne mogu da pridjem xx.xxx.xxx.226:80

Da li je do mene ili do provajdera? Znaci ne prolazi mi ping sa xx.xxx.xxx.226 do mog Mikrotika a sa prvom 225 prolazi.
[ Predrag Supurovic @ 06.06.2018. 07:46 ] @
Uzmeš dva Mikrotika.

Jedan namestiš tako da mu je wan interfejs povezan na provajdera sa tom jednom IP i gatewayem, a na lan inerfejsu podssiš lokalnu mrežu ali koristiš taj javni IP opseg koji si dobio. Ne koristiš NAT nego obično rutiranje. Taj public-lan podesiš tako da je jedan od IP adresa iz /29 opsga dodeljena interfejsu a ostale dodeljuješ uređajima koji se povežu u public-lan (može i DHCP).

Onda uzmeš drugi ruter i njegov wan interfejs spojš na prvi ruter na public_lan i dodeliš mu javnu IP adresu iz opsega public-wan. Na lan intefejsu drugog rutera podesiš klasično lan sa privatnim ip adresama i NAT-om. Lan-u ćeš spolja pristupati na javnu adresu koju dodeliš drugom ruteru.


Ovo sve može i sa jednim Routerboard-om ako na njemu podigneš virtuelnu mašinu i drugi MikrotikOS, mada je malo komplikovanije podešavanje.




[ milosbeo @ 06.06.2018. 07:59 ] @
Ako vec neces da stvljas public ip na server, onda mozes na tom MT da dignes loopback(bridz bez portova) i na njemu dignes neku od tih adresa xx.xxx.xxx.225/32 pa ako treba napravis jos jedan. I onda radis SRC i DST NAT.
[ notebookFun @ 06.06.2018. 08:01 ] @
Nije mi jasno kako ne moze na jednostavan naci. Oni su pustili sve javne IP adrese do mog WAN porta.
Ja u firewall imam pravila ako dolazi sa xx.xxx.xxx.226:80 proslijedi ga na 192.168.0.50:80
Ako dolazi sa xx.xxx.xxx.225:80 proslijedi ga na 192.168.0.60:80


Kod njih na CISCO konfigu imam samo to.
[ notebookFun @ 06.06.2018. 08:02 ] @
Serveri imaju staticke IP adrese u opsegu 192.168.0.100 - 192.168.0.200
[ Predrag Supurovic @ 06.06.2018. 09:54 ] @
Citat:
notebookFun:
Nije mi jasno kako ne moze na jednostavan naci.


Ako hoćeš da imaš svoj javni IP opseg onda to nije jednostavno.

Citat:

Oni su pustili sve javne IP adrese do mog WAN porta.


Nisu. Oni su rutirali IP opseg na onu zasebnu IP adresu koju su ti dali. Ti treba to da rutiraš dalje u svojoj mreži.




[ Doktor Hlad @ 06.06.2018. 09:57 ] @
Jesi podesio preffered source na rutama?
[ notebookFun @ 06.06.2018. 10:13 ] @
Doktor Hlad,

Nravno da jesam.

add check-gateway=ping distance=1 gateway=xxx.xxx.xxx.xxx pref-src=\
xxx.xxx.xxx.225

add address=xxx.xxx.xxx.225/29 interface=ether2-WAN


@Predrag Supurovic

U mojoj firmi sam uradio sve jednostavno sa jednim Mikrotikom i radi. Jedino sto nisam u Firewall stavljavo pravila za svaku javnu IP adresu vec sam pustio za sve. Znaci kad nego bilo koju javnu IP adresu ukuca u Browser-u sav saobracaj proce do jednog lokalnog servera na kojem je otvoren port 80.

Provajder treba da pustio sve javne IP adrese na moju IP adresu od WAN-a, to je sledeca IP adresa od gateway-a. Teoretski to bi trebalo tako da radi ali u praksi nesto ne radi dobro. Priznajem glup sam i treba mi pomoc :(
[ npero @ 06.06.2018. 17:04 ] @
Uradi to sto ti milosbeo i to je to radice.
Telekom rutira sve te IP subnet na tvoj ruter preko one peer adrese sto su ti dali ali posto tvoj ruter nema tu adresu je kao da ne postoji. Za src nat ce proci ovako kako si uraido za dst-nat poslusaj sta ti kaze milosbeo.
Mozes da uprostis tako da samo na jednom interfejsu uneses sve te /32 adrese.
[ Aleksandar Đokić @ 07.06.2018. 00:47 ] @
A jesi napravio i dst nat?
[ Predrag Supurovic @ 07.06.2018. 06:02 ] @
Citat:
notebookFun:
@Predrag Supurovic

U mojoj firmi sam uradio sve jednostavno sa jednim Mikrotikom i radi. Jedino sto nisam u Firewall stavljavo pravila za svaku javnu IP adresu vec sam pustio za sve. Znaci kad nego bilo koju javnu IP adresu ukuca u Browser-u sav saobracaj proce do jednog lokalnog servera na kojem je otvoren port 80.

Provajder treba da pustio sve javne IP adrese na moju IP adresu od WAN-a, to je sledeca IP adresa od gateway-a. Teoretski to bi trebalo tako da radi ali u praksi nesto ne radi dobro. Priznajem glup sam i treba mi pomoc :(



Uradio sam i ja to tako na jednom mestu, po savetu provajdera i rekao nikad više. Može da se namikari da radi ali je održavanje izuzetno komplikovano jer se radi o budževini.

Na osnovu tog iskustva sam svaki sledeći put radio sa dva rutera (jedan može da bude na viruelnoj mašini) i to je daleko pismenije rešenje, jednostavno i veoma lako za održavanje.