Ne moze provajder da ti dodeli samo IP adresu nego IP opseg da bi imao dovoljno adresa da obavis rutiranje kako treba.

A zashto bi stavljao bez nat???

Ovo mi je zadatak od shefa koji treba da resim.Na slici je ono sto se trazi, a pitanje je da li je moguće i kako, ali bez NAT-ovanja i šta u tom slučaju to povlači sa sobom po pitanju security-ija. Ako nije moguće, onda i zašto nije. Da li svakako trebam jednu mrežnu staviti sa javnom IP sa default gateway-om, a drugu sa privatnom bez gateway-a da bih video ostale u mreži. Prva da ima uključen TCP/IP protokol, a druga File and Printer Sharing for Microsoft Networks za sherovanje sa ostalim, ali bez TCP/IP-a. I naravnom neki firewall na ovom PC-u. Ne pominje se opseg javnih adresa već samo dve. Svakako je trik pitanje, ali za da/ne odgovor treba da smislim objašnjenje. Ako lupetam slobodno mi ukažite gde grešim, pošto sam u ovim vodama jako kratko i imam puno nejasnoća, ali učim...

Ja mislim da tvoj sef ocigledno nema pametnija posla pa ti zadaje ovakve (nebulozne) zadatke.
Ovo sto si nacrtao, konkretno za javne IP adrese dodeljene od ISP, deluje malo konfuzno.
Na koji nacin je ISP tebi dodelio javne IP? Koju IP adresu imas na WAN interfejsu?
Uostalom za korisnke sa Interneta, ako trebaju da pristupaju racunaru sa javnom IP adresom, nece biti nikakve razlike ako se uradi NAT 1:1 na ruteru.

Moguce su razne varijante, ali ako kazes da si u ovim vodama malo (pretpostavaljam networks) onda i ako ti kazem sta sve moze, bojim se da neces razumeti.

Zadatak nije bas jednoznacan, pa cu dati predlog, pri cemu podrazumevam da imas samo 2 javne IP adrese. Nema nikakvih requirement-a za interne host-ove.... tj. da li njima treba internet i ko treba da bude zaduzen za njih....

Provajder moze da ti sav saobracaj (za te 2 javne adrese) rutira na tvoju peer adresu koja moze da bude iz opsega privatnih ip adresa. Sa tvog rutera ces da rutiras sav saobracaj na interni host/server, koji ce biti multihome (sa jednim i ili 2 interface-a). E sad, i tu postoje razne varijante. Naravno podrazumeva se da taj host ima mogucnost rutiranja (linux, win server, ...). Onda bi on morao na bazi destination adrese da stavlja ili javnu ili privatnu adresu u komunikaciji sa ostalim racunarima odnosno sa ostatkom sveta.

Ali kao sto rekoh ovo sve spada u domen advanced rutiranja, tako da po meni nije problem i ako ne znas da resis zadatak. To sto ti je shef postavio takav zadatak ne mora da znaci da moras i da ga resis. :-)

Mada mi sad pade napamet da Win RRAS to verovatno ne bi mogao to da izvede... Koliko se secam, on se bas dobro ne snalazi sa IP alias-ima... sto bi u ovom slucaju moralo da se odradi, jer imas samo 2 IP adrese (sto je malo da bi kreirao mrezu).

Provider ti dodjeli opseg javnih adresa i sve to izrutira prema tebi, a ti na mikrotik ruteru uradis staticki NAT za pojedine racunare koji trebaju imati javnu adresu. Sa stanovista privatne mreze nista se ne mijenja, jer NAT radis tek ako paket ide prema internetu.

Primjer:

Provider ti dodjeli opseg npr. 200.200.200.0/28 (16 adresa)
Za PTP link provider iskoristi recimo 201.201.201.0/30
I onda provider to sve izrutira prema tebi tako sto na svom core ruteru kaze da sve sto ide prema mrezi 200.200.200.0/28 nalazi se iza 201.201.201.1 (adresa tvog mikrotika na point to point interfejsu, prema provideru).

Ti podesis svoju privatnu mrezu kako god zelis, recimo da ti je privatni opseg 192.168.1.0/24 (privatna C klasa, 254 adrese).
Na privatnoj mrezi mikrotik recimo ima adresu 192.168.1.1. To znaci da je cijeloj tvojoj privatnoj mrezi gateway 192.168.1.1.
Na javnom mikrotik interfejsu podesis NAT na recimo jednu od onih dodjeljenih 16 adresa. Tu natujes cijelu svoju privatnu mrezu.
Onda napravis izuzetak za recimo direktora, koji hoce svoju javnu IP. Njega natujes na sledecu od onih 16 adresa itd.

Dakle, u privatnoj mrezi sve je kao da se nista nije desilo, nista se ne mijenja. Dodatak je da na gatewayu (u ovom slucaju mikrotik) radis staticki NAT za pojedine adrese iz privatne mreze koje zelis da imaju javnu IP.

Ako ti je provajder dodelio klasu /30 javnih adresa nezavisno od wan adresa za ptp link, najlakse ti je da dodas subinterfejs na lan interfejsu i dodelis tu ip adresu iz subneta /30. Upisi na host racunaru tu javnu adresu staticki i podesi default gateway ka subinterfejs adresi. Ovo ti je resenje bez nata. E sada ukoliko nemas subnet javnih adresa izrutiran od strane provajdera onda ti jedino resenje nat.

NAT 1:1 je potpuno isti kao da je direktno na racunaru unio javnu IP adresu. Jedan od razloga za koristenje NAT 1:1 je sto u tom slucaju ne mora da radi nikakve mumbo jumbo fazone da bi imao funkcionalan lokalni saobracaj, file and printer sharing itd. Koliko vidim u pitanju najvise ga je brinuo lokalni/javni promet, a NAT 1:1 mu rjesava sve te probleme...