The Book

User Tools

Site Tools

Trace:
networking:mikrotik:private_public

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
networking:mikrotik:private_public [2021/05/20 05:18] rpleckonetworking:mikrotik:private_public [2021/05/21 11:19] (current) rplecko
Line 18: Line 18:
  
 [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]] [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]]
 +
 +Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **[[http://mywebserver.dyndnsdomain.com|http://mywebserver.dyndnsdomain.com]]** . Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu.
 +
 +Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta.
  
 Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\ Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\
Line 31: Line 35:
 Kad istu radnju pokuša napraviti klijent DSL_01 sa privatne mreže 1, dakle uspostaviti vezu sa web serverom na računalu DSL_02 na istoj mreži koristeći pri tome URL web servera odnosno njegovu javnu adresu događa se sljedeće: Kad istu radnju pokuša napraviti klijent DSL_01 sa privatne mreže 1, dakle uspostaviti vezu sa web serverom na računalu DSL_02 na istoj mreži koristeći pri tome URL web servera odnosno njegovu javnu adresu događa se sljedeće:
  
-|Step^Source IP address^Destination IP address^Description|+^Korak^Source IP address^Destination IP address^Description|
 ^01|10.0.1.1|192.51.100.253|klijent šalje paket sa izvorišnom IP adresom <fc #ff0000>10.0.1.1</fc> na odredišnu IP adresu <fc #ff0000>192.51.100.253</fc> na port tcp/80 kako bi pristupio sadržaju na web serveru.| ^01|10.0.1.1|192.51.100.253|klijent šalje paket sa izvorišnom IP adresom <fc #ff0000>10.0.1.1</fc> na odredišnu IP adresu <fc #ff0000>192.51.100.253</fc> na port tcp/80 kako bi pristupio sadržaju na web serveru.|
 ^02|10.0.1.1|10.0.1.100|Router translatira odredišnu adresu paketa u <fc #ff0000>10.0.1.100</fc>. Izvorišna IP adresa ostaje ista: <fc #ff0000>10.0.1.1</fc>.| ^02|10.0.1.1|10.0.1.100|Router translatira odredišnu adresu paketa u <fc #ff0000>10.0.1.100</fc>. Izvorišna IP adresa ostaje ista: <fc #ff0000>10.0.1.1</fc>.|
Line 37: Line 41:
  
 Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao. Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao.
 +
 +----
  
 === Hair Pin NAT === === Hair Pin NAT ===
  
-Da bismo riješili ovaj problem potrebno nam je dodatno NAT pravilo na Routeru 1 koje će forsirati da odgovor web servera sa adrese 10.0.1.100 računalu DSL_01 na adrsi 10.0.1.1 prođe kroz router bez obzira na činjenicu što se obje nalaze na istoj mreži. Pravilo može biti vrlo specifično za točno određenu adresu odnosno tip prometa a može se i proširiti da zs svaki prosljeđeni servis nebismo imali po jedno+Da bismo riješili ovaj problem potrebno nam je dodatno NAT pravilo na Routeru 1 koje će forsirati da odgovor web servera sa adrese 10.0.1.100 računalu DSL_01 na adresi 10.0.1.1 prođe kroz router bez obzira na činjenicu što se obje nalaze na istoj mreži. Pravilo može biti vrlo specifično za točno određenu adresu odnosno tip prometa a može se i proširiti tako da za svaki prosljeđeni servis ne moramo imati po jedno.
 <code> <code>
  
Line 54: Line 60:
 ^02|10.0.1.254|10.0.1.100|Router translatira odredišnu adresu paketa u <fc #ff0000>10.0.1.100</fc>, ali i izvorišnu IP adresa zamjenjuje adresom routera: <fc #ff0000>10.0.1.254</fc>.| ^02|10.0.1.254|10.0.1.100|Router translatira odredišnu adresu paketa u <fc #ff0000>10.0.1.100</fc>, ali i izvorišnu IP adresa zamjenjuje adresom routera: <fc #ff0000>10.0.1.254</fc>.|
 ^03|10.0.1.100|10.0.1.254|Server odgovara na klijentov zahtjev paketom koji za izvorišnu IP adresu ima<fc #ff0000>10.0.1.100</fc> a za odredišnu <fc #ff0000>10.0.1.254</fc>.| ^03|10.0.1.100|10.0.1.254|Server odgovara na klijentov zahtjev paketom koji za izvorišnu IP adresu ima<fc #ff0000>10.0.1.100</fc> a za odredišnu <fc #ff0000>10.0.1.254</fc>.|
-^04|192.51.100.253| | | +^04|192.51.100.253|10.0.1.1|Router odlučuje da je paket dio prethodno uspostavljene konekcije, "skida" Source i Destination NAT i paketu vraća orginalne adrese pa tako za izvorišnu IP adresu dobije <fc #ff0000>192.51.100.253</fc> a za odredišnu <fc #ff0000>10.0.1.1</fc>|
- +
-|10.0.1.1+
- +
-|Router odlučuje da je paket dio prethodno uspostavljene konekcije, "skida" Source i Destination NAT i paketu vraća orginalne adrese pa tako za izvorišnu IP adresu dobije <fc #ff0000>10.0.1.1</fc> a za odredišnu <fc #ff0000>10.0.1.1</fc>|+
  
 Klijent dobiva odgovor u formi kakvu očekuje i veza je uspostavljena. Klijent dobiva odgovor u formi kakvu očekuje i veza je uspostavljena.
  
 Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag. Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag.
 +
 +----
 +
 +=== Zasebna mreža ===
 +
 +Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet)
 +
 +[[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpinnat_subnet.png|{{  :networking:mikrotik:hairpinnat_subnet.png?900  }}]]
 +
 +Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a **mywebserver.dyndnsdomain.com**. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese.
 +
 +NAT pravilo će sada izgledati ovako:
 +<code>
 +
 +/ip firewall nat
 +add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24
 +
 +</code>
 +
 +----
  
 === Split DNS === === Split DNS ===
  
-=== Separate subnet ===+----
  
 {{anchor:konf_router_internet:}} {{anchor:konf_router_internet:}}
  
 === Router "Internet" - konfiguracija === === Router "Internet" - konfiguracija ===
-<code> 
  
 +<code>
 # may/19/2021 14:59:58 by RouterOS 6.48.1 # may/19/2021 14:59:58 by RouterOS 6.48.1
 # software id = # software id =
Line 92: Line 114:
  
 /ip dns static /ip dns static
-add address=198.51.100.253 name=www.tuturutu.local+add address=198.51.100.253 name=mywebserver.dyndnsdomain.com
  
 /ip firewall nat /ip firewall nat
Line 102: Line 124:
   - dodijeljene su IP adrese na ether1 i ether5 koji će biti povezani sa routerom 1 i routerom 2   - dodijeljene su IP adrese na ether1 i ether5 koji će biti povezani sa routerom 1 i routerom 2
   - kreiran je dhcp klijent koji na ether3 postavlja adresu dobivenu od nadređenog DHCP servera   - kreiran je dhcp klijent koji na ether3 postavlja adresu dobivenu od nadređenog DHCP servera
-  - dozvoljeni su remote DNS upiti +  - dozvoljeni su DNS upiti 
-  - u statički dns je web server kako bismo mu mogli pristupiti po URL adresi +  - u statički dns dodan je web server kako bismo mu mogli pristupiti po URL adresi 
-  - kreiran je NAT masquerade prema ether3 interfejsu okrenutom Internetu+  - kreiran je NAT masquerade prema ether3 interfejsu okrenutom Internetu kako bi svi uređaji iza routera mogli razmjenjivati promet sa Internetom
 {{anchor:konf_router_1:}} {{anchor:konf_router_1:}}
  
Line 221: Line 243:
   - postavljeno je ime rutera   - postavljeno je ime rutera
   - kreiran je bridge_local   - kreiran je bridge_local
-  - u kojei su dodani ether1 i ether2+  - u koji su dodani ether1 i ether2
   - dodijeljene su IP adrese na bridge_local i ether5 koji će biti povezani sa lokalnom mrežom 1 i Internetom   - dodijeljene su IP adrese na bridge_local i ether5 koji će biti povezani sa lokalnom mrežom 1 i Internetom
   - kreiran je pool adresa za DHCP server   - kreiran je pool adresa za DHCP server
networking/mikrotik/private_public.1621487887.txt.gz · Last modified: 2021/05/20 05:18 by rplecko