[ LxAxKxI @ 01.08.2014. 16:51 ] @
Pozdrav,

Prelistao sam postove, ali mi nikako ne ide da uradim sledece:
Imam opseg javnih IP adresa : x.x.x.86/29
Janva IP adresa za internet: z.z.z.54/30
LAN IP: 172.16.0.0/20

E sada imam ESXi server sa IP adresom 172.16.6.7 i na njemu server 172.16.6.15 kojem treba spolja da se pristupi sa javne ip adrese iz x.x.x.56/29 bloka (x.x.x.88 recimo)

Napravio sam sledece :
Na WAN port stavio x.x.x.86/29 i z.z.z.54/30
Na LAN port stavio 172.16.0.0/20

/ip firewall nat print

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; NAT za lokalnu mrezu
chain=srcnat action=masquerade out-interface=WAN

1 ;;; NAT za lokalnu mrezu
chain=srcnat action=src-nat to-addresses=z.z.z.54 src-address=172.16.0.0/20
out-interface=WAN

2 ;;; NAT za EXSi3 Win XP
chain=srcnat action=src-nat to-addresses=x.x.x.88 src-address=172.16.6.15
out-interface=WAN

3 X ;;; NAT za lokalnu mrezu
chain=srcnat action=masquerade src-address=172.16.0.0/20 dst-address=0.0.0.0/0

11 ;;; EXSi3 - Win XP remote
chain=dstnat action=dst-nat to-addresses=172.16.6.15 to-ports=3389 protocol=tcp
dst-address=x.x.x.88 dst-port=5666

/ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic
7 ;;; ESXi #3 - Win XP Remote
chain=forward action=accept protocol=tcp dst-address=172.16.6.15 dst-port=3389

PC sa IP 172.16.6.15 moze da pinguje sve i ima izlaz na net, ali PC sa 172.16.0.x opsega ne moze da pinguje 172.16.6.15 ali pinguje normalon EXSi (172.16.6.7)

Treba mi pomoc da ne bih pocupao i ovo malo kose sto mi je ostalo :-)

Hvala.
[ Aleksandar Đokić @ 01.08.2014. 20:33 ] @
Meni to ne lici da je do Tika.

Kakvo je podesavanje mrezne na serveru tj. podesavanje na hostu za taj server, bridge?
[ anon115774 @ 01.08.2014. 23:06 ] @
Ova prica nema nikakve veze sa ruterom obzirom da su sporni uredjaji u istom broadcast domenu pa tako komuniciraju direktno izmedju sebe.

Najverovatnije je u pitanju firewall na guest masini...

A da... proveri i promiskuitetni mod na mreznoj kartici na hostu. Morao bi da bude ukljucen da bi prosledjivao sav saobracaj ka guestovima (inace uzima samo ono sto je za njega).
[ LxAxKxI @ 02.08.2014. 14:04 ] @

Citat:
Informer: Ova prica nema nikakve veze sa ruterom obzirom da su sporni uredjaji u istom broadcast domenu pa tako komuniciraju direktno izmedju sebe.

Najverovatnije je u pitanju firewall na guest masini...

A da... proveri i promiskuitetni mod na mreznoj kartici na hostu. Morao bi da bude ukljucen da bi prosledjivao sav saobracaj ka guestovima (inace uzima samo ono sto je za njega).


Da, sto se tice ping-a bilo je do Firewall-a na samoj masini.
promiskuitetni mod na mreznoj kartici na EXSi je reject, ali ako na MT uradim port forwad sa Internet ip z.z.z.54/30 na 172.16.6.15 to mi radi, ali ne mogu da nateram javnu IP iz x.x.x.56/29 opsega da to isto radi.
Sto se tice opsega Javnih IP znaci imam x.x.x.56/29 gde je .56 mreza. .57 je gateway I moj opseg IP adresa koji moguda koristim je 58-61.

Ako neko moze da mi kaze kako da setujem na MT da mogu da koristim opseg Javnih IP adresa.
Hvala
[ Aleksandar Đokić @ 02.08.2014. 16:30 ] @
NAT-ujes jednu javnu na jednu privatnu (ako hoces da budu staticke).
[ acebzan @ 03.08.2014. 06:41 ] @
LxAxKxI - kada zalepis tu javnu iz opsega /29 na mikrotik, da li mozes da je pingujes iz sveta (recimo ping.eu), bez ikakvih natovanja ka 172.x.x.x mrezi?
[ LxAxKxI @ 03.08.2014. 09:36 ] @
Citat:
acebzan: LxAxKxI - kada zalepis tu javnu iz opsega /29 na mikrotik, da li mozes da je pingujes iz sveta (recimo ping.eu), bez ikakvih natovanja ka 172.x.x.x mrezi?


Kada stavim na MT add ip address= x.x.x.86/29 interface=WAN disable = no.
Ne mogu da pingujem spolja x.x.x.88,89,90 ... samo imam odgovor od x.x.x.87 zato sto mi je ISP rekao da je to gateway...
[ anon115774 @ 03.08.2014. 12:31 ] @
A jel ti prolazi ping spolja ka 86?
[ LxAxKxI @ 03.08.2014. 13:01 ] @
Citat:
Informer: A jel ti prolazi ping spolja ka 86?

Ne, provajder mi kaze da je .86 mreza , .87 gateway a 88,89,90,91 moje javne ip adrese koje mogu da koristim i da mi je opseg /29 usmeren ka mojoj Internet IP WAN adresi z.z.z.54.
[ anon115774 @ 03.08.2014. 13:42 ] @
Cek cek.... ako je cidr /29 onda ne moze tako.

Ako je ta mreza sigurno /29 onda je x.x.x.87/29 broadcast adresa a opseg je x.x.x.80 - x.x.x.87.

Ne moze 87 da bude gateway. Proveri ti to jos jednom sa operaterom.
[ LxAxKxI @ 03.08.2014. 15:49 ] @
Citat:
Informer: Cek cek.... ako je cidr /29 onda ne moze tako.

Ako je ta mreza sigurno /29 onda je x.x.x.87/29 broadcast adresa a opseg je x.x.x.80 - x.x.x.87.

Ne moze 87 da bude gateway. Proveri ti to jos jednom sa operaterom.


Proverio sa ISP ...

Sto se tice opsega Javnih IP znaci imam x.x.x.56/29 gde je .56 mreza. .57 je gateway i moj opseg IP adresa koji moguda koristim je 58-61.

[ Aleksandar Đokić @ 03.08.2014. 18:44 ] @
29 do 32 su 3 bita, sa 3 bita pravis 8 adresa. Ako pocinjes sa .56 to je adresa mreze, plus 8 znaci da sledeca mreza pocinje sa 64 - dakle tvoj broadcast je na .63, sto znaci da mozes da koristis do 62.

Kad dodelis adresu na WAN iz tog opsega (ako je kod provajdera izrutiran) moras da dobijes ping spolja (eventualno ako ISP ne blokira nekako ICMP). Prvo to resi.

[Ovu poruku je menjao Aleksandar Đokić dana 03.08.2014. u 20:47 GMT+1]
[ acebzan @ 04.08.2014. 10:10 ] @
LxAxKxI - ala si ga smuntao sa adresama :)
Kao sto je Informer napisao, x.x.x.87/29 ne mozes da imas po onom sto si napisao.
x.x.x.56/29 je izgleda tvoj opseg, ali si verovatno permutovao brojke.

Probaj da uradis sledecu stvar:
1. pusti ping na x.x.x.57 (adresa koja ti je gateway) - i ne bi trebalo da imas ping ka toj adresi.
2. zalepi na eth ka tebi, ili bridge1 interfejs u kom su ti portovi x.x.x.57/29 (upises adresu i stavis ok, on ce sam da izracuna broadcast i network).
3. pusti ping sad ka x.x.x.57 i morao bi da imas ping ka toj adresi. Ako nemas ping, onda nesto nije dobro izrutirano pa kontaktiraj provajdera.

Ili odradi tracert do x.x.x.57 i vidi da li uopste dolazi do tvoje /30 adrese koju si dobio od provajdera.
Oni bi trebalo da su stavili da je x.x.x.56/29 dostupna preko y.y.y.54/30.
[ Sa$a @ 04.08.2014. 11:03 ] @
Nema potrebe da dodajes adrese lan publik poola na interfacetima, odradi ovo i ima da fercera kao vekerica ;)
/ip firewall nat add chain=dstnat dst-address=(adresa iz lan javnog poola) protocol=tcp dst-port=80 action=dst-nat to-addresses=(lokalna adresa) to-ports=80
ili u vec nekom postojecem nat pravilu zameni wan adresu sa adresom iz lan poola koji si dobio od provajdera i probaj.
[ LxAxKxI @ 04.08.2014. 14:09 ] @
Citat:
acebzan: LxAxKxI - ala si ga smuntao sa adresama :)
Kao sto je Informer napisao, x.x.x.87/29 ne mozes da imas po onom sto si napisao.
x.x.x.56/29 je izgleda tvoj opseg, ali si verovatno permutovao brojke.

Probaj da uradis sledecu stvar:
1. pusti ping na x.x.x.57 (adresa koja ti je gateway) - i ne bi trebalo da imas ping ka toj adresi.
2. zalepi na eth ka tebi, ili bridge1 interfejs u kom su ti portovi x.x.x.57/29 (upises adresu i stavis ok, on ce sam da izracuna broadcast i network).
3. pusti ping sad ka x.x.x.57 i morao bi da imas ping ka toj adresi. Ako nemas ping, onda nesto nije dobro izrutirano pa kontaktiraj provajdera.

Ili odradi tracert do x.x.x.57 i vidi da li uopste dolazi do tvoje /30 adrese koju si dobio od provajdera.
Oni bi trebalo da su stavili da je x.x.x.56/29 dostupna preko y.y.y.54/30.


Ma skroz sam se sludeo !!
opseg je x.x.x.56/29
1. pusti ping na x.x.x.57 (adresa koja ti je gateway) - i ne bi trebalo da imas ping ka toj adresi.
- mogu da pingujem tu adresu i iz mog lan-a a i sa racunara od prijatelja
2. 2. zalepi na eth ka tebi, ili bridge1 interfejs u kom su ti portovi x.x.x.57/29 (upises adresu i stavis ok, on ce sam da izracuna broadcast i network).
E sada tu sam mozda napravio gresku :
Code:

/ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                
 0   172.16.0.1/20      172.16.0.0      LAN                                                      
 1   ;;; WAN Internet IP
     x.x.151.34/32  x.x.151.33  WAN                                                      
 2 X 172.16.6.1/24      172.16.6.0      ESXi #3                                                  
 3   ;;; WAN Public IPs
     x.x.139.57/29  x.x.139.56  WAN                                                      
 4   x.x.139.60/29  x.x.139.56  WAN                                          
 5   x.x.139.58/29  x.x.139.56  WAN   




Citat:
Oni bi trebalo da su stavili da je x.x.x.56/29 dostupna preko y.y.y.54/30.

Tako mi bar kazu da je to odradjeno.
Citat:
tracert do x.x.x.57 i vidi da li uopste dolazi do tvoje /30 adrese koju si dobio od provajdera.


Kada radim tracert sa moje masine koja je u LAN-u:

Code:

C:\Users\laki>tracert x.x.139.57

Tracing route to free-139-57.mediaworksit.net [x.x.139.57]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  free-139-57.mediaworksit.net [x.x.139.57]

Trace complete.


Evo sta sam ja do sada uradio ali i dalje cupkam kosu :-)

Firewall Filter rule
Code:


/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=input action=log dst-address=x.x.139.60 log-prefix="" 

 1 X chain=input action=log protocol=icmp dst-address=x.x.151.34 log-prefix="" 

 2   ;;; WINBOX LAN
     chain=input action=accept protocol=tcp in-interface=LAN dst-port=8291 

 3   ;;; WINBOX WAN
     chain=input action=accept protocol=tcp dst-address=x.x.151.34 in-interface=WAN 
     dst-port=8291 

 4   ;;; Remote sa x.x.139.60
     chain=input action=accept protocol=tcp dst-address=x.x.139.60 in-interface=WAN 
     dst-port=5666 

 5   ;;; ESXi #2 - IIS Web
     chain=forward action=accept protocol=tcp dst-address=172.16.0.32 dst-port=80 

 6   ;;; ESXi #2 - IIS Remote
     chain=forward action=accept protocol=tcp dst-address=172.16.0.32 dst-port=3389 

 7   ;;; ESXi #3 - IIS Remote
     chain=forward action=accept protocol=tcp dst-address=172.16.6.59 dst-port=3389 

 8 X ;;; FTP  port 20
     chain=input action=accept protocol=tcp dst-address=x.x.151.34 dst-port=20 

 9 X ;;; Allow FTP Control Port
     chain=customer action=accept protocol=tcp dst-address=172.16.0.71 dst-port=21 

10 X ;;; Allow FTP Transfer Port
     chain=forward action=accept protocol=tcp dst-address=172.16.0.59 in-interface=WAN 
     dst-port=21233 

11 X ;;; Allow limited Passive FTP port range
     chain=forward action=accept protocol=tcp dst-address=172.16.0.59 in-interface=WAN 
     dst-port=10500-10510 



NAT rule

Code:


ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; NAT za lokalnu mrezu
     chain=srcnat action=masquerade src-address=172.16.0.0/20 out-interface=WAN 

 1   ;;; NAT za lokalnu mrezu
     chain=srcnat action=src-nat to-addresses=x.x.151.34 src-address=172.16.0.0/20 
     out-interface=WAN 

 2 X ;;; NAT za lokalnu mrezu
     chain=srcnat action=masquerade src-address=172.16.0.0/20 dst-address=0.0.0.0/0 

 3   ;;; 1 TO 1 NAT <- ovo ne radi
     chain=dstnat action=dst-nat to-addresses=172.16.0.59 to-ports=6112-6119 protocol=tcp 
     dst-address=x.x.139.60 in-interface=WAN dst-port=6112-6119 

 4   ;;; 1 TO 1 NAT <- Radi
     chain=dstnat action=dst-nat to-addresses=172.16.0.59 to-ports=6112-6119 protocol=udp 
     dst-address=x.x.151.34 in-interface=WAN dst-port=6112-6119 

 5   ;;; EXSi #2 - IIS Web
     chain=dstnat action=dst-nat to-addresses=172.16.0.32 to-ports=80 protocol=tcp 
     dst-address=x.x.151.34 dst-port=5668 

 6   ;;; EXSi #2 - IIS Remote Access
     chain=dstnat action=dst-nat to-addresses=172.16.0.32 to-ports=3389 protocol=tcp 
     dst-address=x.x.151.34 in-interface=WAN dst-port=5669 

 7   ;;; EXSi #3 - Redirect RDP PORT  TCP 3389 to.6.59 <- ne radi :-(
     chain=dstnat action=dst-nat to-addresses=172.16.6.59 to-ports=3389 protocol=tcp 
     dst-address=x.x.139.60 dst-address-type=local in-interface=WAN dst-port=5666 



Znaci tracert iz lokala mi radi, probao sam
tracert x.x.139.58
tracert x.x.139.60
i za obe dobijam isto a i na mikrotiku u log rule imam byte i packet vrednosti
ali kada to isto pokusam sa spolja (RDC na kucni racunar i sa njega tracert na x.x.139.58 ili .60 ) dobijam "Request timed out" ..
[ LxAxKxI @ 04.08.2014. 14:40 ] @
Citat:
Sa$a:
Nema potrebe da dodajes adrese lan publik poola na interfacetima, odradi ovo i ima da fercera kao vekerica ;)
/ip firewall nat add chain=dstnat dst-address=(adresa iz lan javnog poola) protocol=tcp dst-port=80 action=dst-nat to-addresses=(lokalna adresa) to-ports=80
ili u vec nekom postojecem nat pravilu zameni wan adresu sa adresom iz lan poola koji si dobio od provajdera i probaj.


Znaci uradio sam ovako:
na Filter rule imam pravilo
Code:

 8   ;;; ESXi #3 - IIS Remote
     chain=forward action=accept protocol=tcp dst-address=172.16.0.59 dst-port=3389 


i na Nat
Code:

3   ;;; 1 TO 1 NAT
     chain=dstnat action=dst-nat to-addresses=172.16.0.59 to-ports=3389 protocol=tcp 
     dst-address=x.x.139.60 dst-port=5666 


dobijam broj paketa kada pokusam RDC iz LAN mreze ali se ne konektuje, a to isto kada pokusam spolja Packets kolane ostaje na 0.








[Ovu poruku je menjao LxAxKxI dana 04.08.2014. u 18:36 GMT+1]
[ Aleksandar Đokić @ 04.08.2014. 17:29 ] @
Na input moras da pustis 3389 takodje.
[ LxAxKxI @ 04.08.2014. 17:36 ] @
Citat:
Aleksandar Đokić: Na input moras da pustis 3389 takodje.


Stavio sam ali ne radi ni sa tim pravilom.

Ako udradim samo da forwad a da mi je dst-address=x.x.151.34

Onda mi radi RDC
[ Sa$a @ 05.08.2014. 09:50 ] @
Ti si se ocigledno spetljao ko pile u kucinu sa firewall pravilima kako u filter pravilima tako i u nat-u. Za pocetak nemoj da si toliko paranoican i skljuci tj. disable pravila iz f.f.r. i testiraj samo nat pravila i vidi da li ona rade kako treba tj onako kako ti zelis. Kada to odradis predji na f.f.r. i postavljaj odnosno enable pravila i testiraj ih odmah. Nadam se da ces brzo da resis problem.
[ LxAxKxI @ 05.08.2014. 10:01 ] @
Citat:
Sa$a: Ti si se ocigledno spetljao ko pile u kucinu sa firewall pravilima kako u filter pravilima tako i u nat-u. Za pocetak nemoj da si toliko paranoican i skljuci tj. disable pravila iz f.f.r. i testiraj samo nat pravila i vidi da li ona rade kako treba tj onako kako ti zelis. Kada to odradis predji na f.f.r. i postavljaj odnosno enable pravila i testiraj ih odmah. Nadam se da ces brzo da resis problem.


OK, disable sam sva pravila na f.f.r
mogu da pingujem x.x.139.60 iz LAN mreze, ali ne mogu spolja..pomoc :-)
[ anon115774 @ 05.08.2014. 11:39 ] @
Nije ti dobro sto radis dst-nat i ukljucen forward. Ako radis dst-nat onda ti ne treba forward. A ako hoces da radis forward onda ne moze dst-nat ali onda racunaru moras da dodelis adresu iz javnog opsega. Mislim da bi ti to bila bolja varijanta od natovanja.
[ LxAxKxI @ 05.08.2014. 12:01 ] @
Citat:
Informer: Nije ti dobro sto radis dst-nat i ukljucen forward. Ako radis dst-nat onda ti ne treba forward. A ako hoces da radis forward onda ne moze dst-nat ali onda racunaru moras da dodelis adresu iz javnog opsega. Mislim da bi ti to bila bolja varijanta od natovanja.


Znaci , forward je za racunar sa javnom ip adresom, dts-nat za racunar iz LAN mreze.
a forward je bolja opcija iz kog razloga? (cisto me iz edukativnih razloga zanima).
Hvala.

Hvala svima na pomoci, nakon tri dana tehnicka podrs. je konstantovala da mi je dodeljen pogresan opseg javnih IP adresa, tako da sada mogu da se igram sa javnim IP adresama.
Samo da savladam MT i na konju sam :-).

Kada sam vec ovde da ne otvaram novu temu:
kako setujete pravila za ip firewall filter:

/ip firewall filter
1.add action=accept chain=input connection-state=established disabled=no \
in-interface=WAN
2.add action=accept chain=input connection-state=related disabled=no \
in-interface=WAN

3,4,5..n - sva moja pravila i na kraju
add action=drop chain=input disabled=no in-interface=WAN

[ anon115774 @ 05.08.2014. 15:34 ] @
Citat:
LxAxKxI: Znaci , forward je za racunar sa javnom ip adresom, dts-nat za racunar iz LAN mreze.


Upravo tako. Dodelis racunaru javnu adresu i na firewall-u samo propustis forward ka njemu.

Citat:
a forward je bolja opcija iz kog razloga? (cisto me iz edukativnih razloga zanima).


Iz razloga sto je nat izmisljen kao nuzno zlo zbog nedostatka javnih IP adresa. Nat koristis samo kad nema drugog resenja.
[ Aleksandar Đokić @ 05.08.2014. 17:52 ] @
Citat:
kako setujete pravila za ip firewall filter


Imas na wiki.mikrotik.com super tesktove na tu temu.

Citat:
Dodelis racunaru javnu adresu i na firewall-u samo propustis forward ka njemu.


I sta ce mu biti gateway?
[ anon115774 @ 05.08.2014. 23:21 ] @
Stavi poseban dmz vlan i tom interfejsu dodeli jedan od onih /29 adresa.
[ acebzan @ 06.08.2014. 00:01 ] @
I ja sam se pogubio citajuci sta si uspeo, a sta ne.
Samo jedno da razjasnimo, kad pogasis sva pravila, da li ti iz sveta (recimo ping.eu ili ping.ms) pingujes neku adresu iz /29 opsega koji ti je dodeljen?

Druga stvar, da li ces nekom racunaru direktno da upises javnu adresu, ili ces sve da radis sa dst-nat?

Inace, LxAxKxI - imas pp.
[ LxAxKxI @ 06.08.2014. 07:53 ] @
Citat:
acebzan: I ja sam se pogubio citajuci sta si uspeo, a sta ne.
Samo jedno da razjasnimo, kad pogasis sva pravila, da li ti iz sveta (recimo ping.eu ili ping.ms) pingujes neku adresu iz /29 opsega koji ti je dodeljen?


Kada pogasim sva pravila na MT firewall filter, sada mogu da pingujem i radim tracert na /29, zato sto mi je konacno dat pravi opseg /29. ISP mi je poslao mail sa opsegom 139.56/29 a ispostavilo se nakon tri dana prepiske sa njima da je
pravi opseg za mene 129.56/29.
Kada sam promenio opseg /29 na WAN portu sve mi je proradilo.

Citat:
acebzan: Druga stvar, da li ces nekom racunaru direktno da upises javnu adresu, ili ces sve da radis sa dst-nat?


Imam jedan EXSi sa 3 servera koje bih prebacio u dmz, i mozda mi je najpametnije da svakom dodelim javnu IP adresu, e sada to jos nisam iscitao kako bi najbolje bilo da odradim.

Hipoteticki, ako su mi na Mikrotiku eth1 = WAN eth2 = LAN
LAN opseg mi je 172.16.0.0/20 a sve EXSi masine su na 172.16.6.0/24, da prebacim mrezni kabl sa ESXi #3 koji zelim u dmz sa svicha na eth3 na MT ?
tako da mi diagram MT izgleda ovako:
eth1 = WAN ( x.x.151.34/30 i y.y.129.56/29)
eth2 = LAN (172.16.0.0/20)
eth3 = EXSi #3 (koja ip adresa na interface od same EXSi masine ?).

ili ostaviti sve kako jeste, znaci samo WAN i LAN port a onda preko forward i filter pravila, izdvojim zeljene masine u dmz.
[ anon115774 @ 06.08.2014. 11:49 ] @
Ne moras fizicki da ih odvajas. Podesi na hostu vlan tagovanje.