AbcLinuxu:/ Poradna / Linuxová poradna / Z LAN přes veřejnou adresu zpátky do LAN

Štítky: LAN, sítě

Dotaz: Z LAN přes veřejnou adresu zpátky do LAN

20.2.2017 23:11 hroch | skóre: 14 | Kladno, Lidicka 37
Z LAN přes veřejnou adresu zpátky do LAN

Přečteno: 898×

Odpovědět | Admin

Běžně jsem se mohl připojovat na zařízení v místní síti zadáním adresy LAN nebo také zadáním veřejné adresy s příslušným portem, který je přesměrován na zařízení LAN pro přístup zvenku. Po výměně wifi zařízení providera Nanostation M5 za PowerBeam 5AC300 už možnost přes veřejnou adresu z LAN nefunguje. Zvenku vše funguje jak má, zevnitř také. Dříve jsem se mohl připojit jedinou adresou, ať jsem byl v místní síti nebo mimo, což byl jistý komfort. Jestli někoho ví jak na to, předem děkuji.

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

20.2.2017 23:36 citanus | skóre: 12 | Cork (Ireland)
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

hledej hairpin nat

20.2.2017 23:40 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

A jak to chceš udělat na uzavřeném FW?

Jinak proč se připojuješ přes IP používej názvy, v místní lan ti to místní DNS přeloží na lokální IP a v internetu ti to veřejný DNS přeloží na veřejnou IP routeru.

A nebo používej všude IPv6.

21.2.2017 06:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Pro přesměrování veřejné IP adresy na jinou (privátní) se používá DNAT (destination NAT). Ten upraví jen cílovou IP adresu, zdrojovou ponechá beze změny. Když se pokusíte připojit z vnitřní sítě, paket dorazí na router, tam se změní jeho cílová IP adresa a odešle se zpět do vnitřní sítě na cílový počítač. Zdrojová IP adresa je však stále původní, cílový počítač zjistí, že je to IP adresa v jeho síti a odpoví přímo. Takže odpověď dostane přímo zdrojový počítač, který ovšem komunikaci na tu privátní IP adresu nezahájil (použil veřejnou IP), takže pro něj je to neznámý paket, který zahodí.

Je tedy potřeba na routeru zároveň nastavit SNAT (source NAT), který změní i zdrojovou IP adresu na adresu routeru. Tím pádem cílový počítač pošle odpověď zpět routeru a ten může zase zpátky přepsat IP adresy na ty původní. Někdy se ten DNAT a SNAT dá nastavit najednou, říká se tomu obvykle hairpin NAT nebo NAT loopback.

Používat pro to různé DNS pohledy není ideální, nebude vám pak fungovat DNSSEC (pokud nebudete obě DNS zóny – veřejnou i privátní – podepisovat stejným klíčem), budete mít problémy s DNS cache – např. mobil si ve vnitřní síti nakešuje privátní IP adresu, a když se připojíte přes mobilní síť, nebude vám přístup přes DNS název fungovat. Přístup přes veřejnou IPv6 adresu je ideální, ale musí to podporovat ISP – a pokud je to veřejná služba, stejně budete chtít, aby podporovala i IPv4.

21.2.2017 15:39 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Já to chápu, ale pochybuji že jde DNAT/SNAT nastavit u FW v zařízení pokud tam nedá OpenWRT.

21.2.2017 21:56 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Na Ubiquiti zařízeních to jde nastavit určitě, ono toho už moc lepšího pro SOHO není. A i ty různé *-linky mívají pod nějakým vznešeným názvem jako DMZ přesměrování portu do vnitřní sítě, tak snad u toho ten SNAT také nastavují. Dávat na Ubiquiti zařízení OpenWRT by mi přišlo trošku škoda.

21.2.2017 22:34 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Přesměrování mají ale většinou to funguje pouze z WAN, u některých FW funguje veřejná IP z lan u některých ne, záleží jak tam jsou ty default pravidla.

Jinak poslední dobou to nesleduji, protože většinou používám OpenWRT, případně se snažím používat IPv6.

22.2.2017 13:36 hroch | skóre: 14 | Kladno, Lidicka 37
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Příloha:

dmz.jpg (152012 bytů)

Na obrázku v příloze je stav, co nabízí DMZ ON.

22.2.2017 15:21 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Když jenom zapnete DMZ a nakonfigurujete IP adresu DMZ, tak to nefunguje? Pak bych ještě zkusil nakonfigurovat přesměrování konkrétních portů přes port forwarding. Případně se tam přihlašte přes SSH a nakonfigurujte si to po svém.

21.2.2017 20:14 Rats
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Toto je naprosto spravna a vycerpavajici odpoved, ke ktere neni co dodat. Na zarizeni (routeru) nezalezi, ten to proste budto umoznuje nastavit - nebo neumoznuje, a pak je treba ho vymenit za jiny.

21.2.2017 18:35 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

A mal si niekedy vôbec prístup do (pokročilých) nastavení tých Nanostation M5 alebo PowerBeam 5AC300? Ak nie, tak sa ozvi poskytovateľovi že ti chýba funkcionalita zo starého zariadenia ktorú by si uvítal aj na novom zariadení.

22.2.2017 15:07 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Máme rok 2017 a všechny adresy jsou veřejné. Jinými slovy, řešením je IPv6. Na poskytovatele to už taky nelze svádět, protože 6to4 může mít každý, není-li jiná možnost.

22.2.2017 15:27 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Je možné, že to má být „veřejná“ služba. Tím pádem nemůže mít jen AAAA, ale také A záznam. Pak záleží na tom, který protokol si klient ve vnitřní síti vybere. Sice by měl preferovat IPv6, ale může to být i jinak.

23.2.2017 06:25 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Pak asi nezbývá nic jiného než DNS views a vracet jiné adresy podle toho, kdo se ptá. To ale zase neřeší problém klienta, který bude používat třeba 8.8.8.8 místo lokálního resolveru. Ten zase dostane tu „veřejnou“ adresu. A zakázat port 53 od a do strojů ve vnitřní síti už dnes tak snadno nejde, protože půlka uživatelů a jejich obtížně konfigurovatelných zařízení se z toho posere.

Zkrátka, IPv4 sucks. Měl se začít rušit hned v tom roce 1995, kdy vznikl IPv6, a nemělo to nikdy dojít to takhle katastrofálního stavu, kdy se na (zdánlivě) veřejné síti prostě nedá normálně poslat paket od kohokoliv ke komukoliv.

To je asi jako by si dva lidi chtěli zavolat telefonem, ale neexistovalo by přímé spojení, takže by oba museli zavolat nějaké spojovatelce a zeptat se, jestli tam ten druhý nečeká na lince a jestli by je nemohla propojit. Lidi by na tohle asi odpověděli zdviženým prostředníčkem, ale že přesně takhle dopadl Internet, to většině veřejnosti ani nedochází, natož aby jí to vadilo. A že tuhle hrůzu dělá veškerý IM software (z čehož pak plynou neomezené možnosti centrálního špehování), místo aby zavolal přímo na nějakou IPv6 adresu, to taky vadí málokomu. :-(

23.2.2017 07:24 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Právě proto, že řešení s IPv6 i s DNS view mají své mouchy, je nakonec nejlepší řešení DNAT+SNAT – i když i ten má své problémy, ale v porovnání s ostatními variantami jsou menší. Zvlášť když je tam Linux, takže je velice pravděpodobné, že to tam nastavit půjde.

22.2.2017 15:48 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

6to4 není řešení protože to vyžaduje veřejnou IPv4 kterou nemusíš mít a nebo máš v IPv4 dynamickou a pak se ti 6to4 mění i IPv6.

Samozřejmě existují tunely které projdou i přes NAT, ovšem zase je to pomalé.

Já to na jednom připojení řeším tím že jsem si musel na serveru rozběhnout službu DDNS s IPv6 a když se náhodou na tom tunelu 6to4 změní IPv4 tím pádem i IPv6 tak se mi na DNS změní A a AAAA záznamy.

Tady je řešením zrušit IPv4 aby se muselo používat IPv6.

23.2.2017 06:12 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Tazatel celkem zjevně má (na routeru) veřejnou IPv4 adresu. Pokud je dynamická, problém s DDNS už určitě musel řešit také u IPv4, takže 6to4 se v tomto zas až tolik neliší.

Ano, se zrušením IPv4 bych souhlasil. Když by jednou za život člověk nějaké ty státní regulátory ocenil, zabývají se zrovna něčím úplně zbytečným nebo o nich není ani slechu.

24.2.2017 08:07 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Z LAN přes veřejnou adresu zpátky do LAN

Veřejnou IPv4 má to je OK, ale ISP změnil zařízení a on tam asi nemá přístup a jde o to zda mu přes to projde ten tunel 6to4, další problém může být že na druhé straně nemá přístup třeba do IPv6 sítě atd....

Vše je o tom že těžko můžeme rozhodnout co je nejvhodnější - si musí uživatel vyskoušet, taky nevíme do čeho má přístup a co vše může nastavit.....

Založit nové vlákno • Nahoru

Tiskni Sdílej: