The Book

User Tools

Site Tools

Trace: dhcp_option private_public
networking:mikrotik:private_public

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
networking:mikrotik:private_public [2021/05/20 12:08] rpleckonetworking:mikrotik:private_public [2021/05/21 11:19] (current) rplecko
Line 18: Line 18:
  
 [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]] [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]]
 +
 +Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **[[http://mywebserver.dyndnsdomain.com|http://mywebserver.dyndnsdomain.com]]** . Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu.
 +
 +Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta.
  
 Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\ Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\
Line 37: Line 41:
  
 Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao. Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao.
 +
 +----
  
 === Hair Pin NAT === === Hair Pin NAT ===
  
-Da bismo riješili ovaj problem potrebno nam je dodatno NAT pravilo na Routeru 1 koje će forsirati da odgovor web servera sa adrese 10.0.1.100 računalu DSL_01 na adrsi 10.0.1.1 prođe kroz router bez obzira na činjenicu što se obje nalaze na istoj mreži. Pravilo može biti vrlo specifično za točno određenu adresu odnosno tip prometa a može se i proširiti da zs svaki prosljeđeni servis nebismo imali po jedno+Da bismo riješili ovaj problem potrebno nam je dodatno NAT pravilo na Routeru 1 koje će forsirati da odgovor web servera sa adrese 10.0.1.100 računalu DSL_01 na adresi 10.0.1.1 prođe kroz router bez obzira na činjenicu što se obje nalaze na istoj mreži. Pravilo može biti vrlo specifično za točno određenu adresu odnosno tip prometa a može se i proširiti tako da za svaki prosljeđeni servis ne moramo imati po jedno.
 <code> <code>
  
Line 60: Line 66:
 Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag. Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag.
  
-=== Separate subnet ===+----
  
-Split DNS+=== Zasebna mreža ===
  
-<hr>+Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet) 
 + 
 +[[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpinnat_subnet.png|{{  :networking:mikrotik:hairpinnat_subnet.png?900  }}]] 
 + 
 +Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a **mywebserver.dyndnsdomain.com**. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese. 
 + 
 +NAT pravilo će sada izgledati ovako: 
 +<code> 
 + 
 +/ip firewall nat 
 +add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24 
 + 
 +</code> 
 + 
 +---- 
 + 
 +=== Split DNS === 
 + 
 +----
  
 {{anchor:konf_router_internet:}} {{anchor:konf_router_internet:}}
  
 === Router "Internet" - konfiguracija === === Router "Internet" - konfiguracija ===
-<code> 
  
 +<code>
 # may/19/2021 14:59:58 by RouterOS 6.48.1 # may/19/2021 14:59:58 by RouterOS 6.48.1
 # software id = # software id =
Line 90: Line 114:
  
 /ip dns static /ip dns static
-add address=198.51.100.253 name=www.tuturutu.local+add address=198.51.100.253 name=mywebserver.dyndnsdomain.com
  
 /ip firewall nat /ip firewall nat
networking/mikrotik/private_public.1621512510.txt.gz · Last modified: 2021/05/20 12:08 by rplecko