The Book

User Tools

Site Tools

Trace: dhcp_option private_public
networking:mikrotik:private_public

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
networking:mikrotik:private_public [2021/05/20 12:54] rpleckonetworking:mikrotik:private_public [2021/05/21 11:19] (current) rplecko
Line 19: Line 19:
 [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]] [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{  :networking:mikrotik:hairpin_01.png?900  }}]]
  
-Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **http://mywebserver.dyndnsdomain.com**. Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu.+Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **[[http://mywebserver.dyndnsdomain.com|http://mywebserver.dyndnsdomain.com]]** . Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu.
  
-Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta.  +Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta.
  
 Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\ Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\
Line 41: Line 41:
  
 Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao. Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao.
 +
 ---- ----
 +
 === Hair Pin NAT === === Hair Pin NAT ===
  
Line 63: Line 65:
  
 Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag. Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag.
 +
 ---- ----
-===Zasebna mreža ===+ 
 +=== Zasebna mreža ===
  
 Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet) Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet)
  
-Slika+[[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpinnat_subnet.png|{{  :networking:mikrotik:hairpinnat_subnet.png?900  }}]]
  
 Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a **mywebserver.dyndnsdomain.com**. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese. Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a **mywebserver.dyndnsdomain.com**. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese.
Line 74: Line 78:
 NAT pravilo će sada izgledati ovako: NAT pravilo će sada izgledati ovako:
 <code> <code>
 +
 /ip firewall nat /ip firewall nat
 add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24 add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24
 +
 </code> </code>
-  
  
 ---- ----
-===Split DNS===+ 
 +=== Split DNS ===
  
 ---- ----
Line 87: Line 93:
  
 === Router "Internet" - konfiguracija === === Router "Internet" - konfiguracija ===
-<code> 
  
 +<code>
 # may/19/2021 14:59:58 by RouterOS 6.48.1 # may/19/2021 14:59:58 by RouterOS 6.48.1
 # software id = # software id =
networking/mikrotik/private_public.1621515292.txt.gz · Last modified: 2021/05/20 12:54 by rplecko