NAT - port zevnitr i zvenku

Běžně se to řeší tak, že z lokální sítě přistupuješ na lokální IP adresu.

2.12.2008 13:48 jirka d.
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

To je sice pravda, ale někdy je potřeba, aby BFU přistupovali k určitým službám z venku i zevnitř pod stejnou adresou. Zjednodušuje to život jak jim tak mě.

V tomto konkrétním případě šlo o to, že OpenVPN na portu 123 byla NATem forwardována na adresu, kde běžel OpenVPN server, a na ten klienti přistupují i zevnitř sítě (většinou přes lokální Wifi). Vysvětlím:


 
Int./VPN clients|->|DSL router|->|192.168.1.0/24|<-|192.168.1.1(VPN server/router)|->|192.168.2.0/24
                                        |
                                Wifi (VPN clients)

Uz jsem to jednou resil. Resenim je nat loopback (aspon tomu tak rikaji u zyxelu). Tady je navod jak to rozjet na zyxelu, tak jestli mate zyxel modem muzete zkusit. Staci jen zadat v telnetu "ip nat loopback on", a pro ulozeni nastaveni pak nize uvedeny postup.

 
Přihlaste se telnetem k routeru a zadejte 24.8 menu. Do příkazového řádku zadejte příkaz ip nat loopback on nebo pro permanentní zapojení:

    

    ras> sys edit autoexec.net

    EDIT cmd: q(uit) x(save & exit) i(nsert after) d(elete) r(eplace) n(ext)

    <==========press 'I' to insert

    : ip nat loopback on

    <==========press 'x' to save and exist

    router>

    router> sys view autoexec.net

    ip nat loopback on<=========="ip nat loopback on" exists sys 

    errctl 0 sys trcl level 5 sys trcl type 1180 sys trcp cr 96 128 sys trcl sw off

2.12.2008 13:36 jirka d.
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

To je přesně ono, sice nemám Zyxel ale už aspoň můžu ten problém nějak pojmenovat...NAT loopback. Díky moc

Neco jako

iptables -t nat -i $LAN_interface -s ! 192.168.0.10 -d $Verejna_Adresa -j DNAT --to-destination 192.168.0.10

by nepomohlo?

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

3.12.2008 10:21 Filip F
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

To by melo jit, ale musel by tem klientum v LAN siti dat vychozi branu na ten router/VPN server, a ne na ten dsl modem. Ale mozna i ten modem je nejaky s linuxem, tak by to tam mohlo iptables být taky.

3.12.2008 12:06 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

No kdyz uz mam v siti nejaky linuxovy router, tak bych asi ten router pouzival jako rozhrani site a modem nechal jen jako nejaky "black-box" ("prevodnik"), ktery mi z [ ADSL | wifi | kabelovka | cokoliv_jineho ] udela normalni ethernet, ktery bych teprve povazoval za "kabel od poskytovatele".

Dalsi moznost by mozna byla pridat klientum routovaci pravidlo jen pro tu jednu konkretni verejnou adresu

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

3.12.2008 13:12 Filip F
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

Ja osobne bych z toho modemu udelal ten "black-box" a vse resil na tom linux routru. Taky to tak mam ve firme, i kdyz nemam dsl, ale wifi. Ten nat loopback totiz delal nejake problemy(například nefungovalo FTP, stahovani aktualizaci pro widle, podivne s tim fungovalo OpenVPN), ale asi to byl jen problem toho zyxelu, ale to jsem uz nezkoumal, a rychle vyrobil ze stareho kompu router. A bylo po problemu :)

3.12.2008 14:36 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: NAT - port zevnitr i zvenku

Tomu převodníku se správně říká Ethernet bridge.

Pokud můžete, udělejte to tak. Ušetříte si spoustu nervů s neschopností výrobce modemu, dostanete veřejnou adresu na server a jako bonus si budete moci udělat 6to4 gateway, takže problémy s překladem adres zmizí.

Dotaz: NAT - port zevnitr i zvenku

Odpovědi