DSTNAT na hranicnom routri s NAT

keksik

Ahoj,

poprosim ak niekto vie pomoct s tymto -

Pre siet mam jeden hranicny router s MK, kde sa robi NAT aj QoS. Potrebujem poradit ako nastavit funkcne dst-nat pre IP adresu a zariadenie vo VNUTORNEJ SIETI.

Nemysim klasikcky dst-nat co spristupni zvonka z internetu zariadenie vnutri siete cez verejnu IP, toto neriesim.

Riesim DNS server vo vnutornej sieti s vnutornou IP adresou.

hranicny router ma na LAN 192.168.10.1/24 a DNS server ma 192.168.10.10/24 a jego gw 192.168.10.1

pre tento pripad toto nefunguje:

chain=dstnat action=dst-nat to-addresses=192.168.10.10 to-ports=53

protocol=tcp dst-port=53 log=no

log-prefix=""

Funguje tento dst-nat len ked je to nastavene na routri pred edge routrom, kde sa nerobi NAT.

Takze by som potreboval nejaku fintu ako to spojazdnit na routri kde sa aj NAT von do netu robi (nie je tam masquerade ale src-nat).

Ja viem, mam si nastudovat traffic flow graf toku paketov v strukture MK,ale .. mam na to malo buniek to pochopit. :

Dakujem.

kuba

DNS pouziva prevazne UDP, ne TCP. Pak tam muze byt jeste jeden problem, pokud na paketu neni proveden srcnat. Cilova adresa se prelozi, paket odejde na DNS (pokud neni odfiltrovan jinym pravidlem), to by bylo v poradku. DNS ale odpovi primo na IP klienta a paket neprojde connection trackingem na hranicnim routeru, takze klientovi prijde z jine IP nez by mel a ten ho ignoruje. Je potreba pridat zhruba neco takoveho:

chain=srcnat action=masquerade dst-address=192.168.10.10 protocol=udp dst-port=53

ludvik

a) dns je udp i tcp.

b) sám si počkám, až to někdo pochopí. Proč ve vnitřní síti provádět NAT? Nechápu ... K tomu ještě luštění slovenštiny bez diakritiky a jsem v koncích.

keksik

Nuz, protoze ve vnitrni siti mam svuj DNS sever. A klienti maji ruzne nastavene DNS ve svych PC/routrech, tak tenhle NAT portu 53 smeruje DNS pakety na konkretni IP DNS servera v lokalni siti. Kdyby to byl DNS venku v internetu , neni problem. Pokud sa to dst-nat provadelo na routru pred hranicnym routrem taky to bolo ok.

Ted je problem, kdyz chci to pravidlo pouzit na hranicnim routru, na kterem bezi NAT von do Internetu.

chain=dstnat action=dst-nat to-addresses=192.168.10.10 to-ports=53 protocol=udp dst-port=53

Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

kuba

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

Nic dalsiho me nenapada. Potrebovali bysme videt zbytek firewallu ..

keksik

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

Nic dalsiho me nenapada. Potrebovali bysme videt zbytek firewallu ..

Tam niet co spekulovat. Okrem blbiniek nemaju ci na danu vec vplyv je tam NAT pre vyzstuo do Internetu (ip dole je vymyslena)

chain=srcnat action=src-nat to-addresses=34.23.11.10 out-interface=ether1-WAN log=no log-prefix=""

NAT pre DNS.jpg

Cize klientova poziadavka na DNs sluzby na porte 53, (klient ma cokolvek v nastaveni polozky DNS IP na svojom PC, napr. aj blbost ako napr. 1.1.1.1), je na tom routri presmerovana na 192.168.10.10 a ma sa mu vratit odpoved. No v tomto pripade sa nevrat.

tu je nacrt kedy to funguje v pohode:

NAT pre DNS-OK.jpg

majklik

Jednak bych ty dst-nat pravidla použil dvě, jak pro UDP , tka i pro TCP.

A druhák je možná problém v tom, že takto zadané ti to brání tomu, aby se ten DNS server dostal ven a provedl překlad. Sice klienta z LAN, který jako DNS použije 1.1.1.1, přesměruješ na 192.168.10.10, ale to pravidlo cyklicky zpět přesměruje i dotazy od 192.168.10.10, kterými se bude snažit spojit někam ven, aby resolving provedl. Takže by bylo vhodné ty pravidla doplnit o vyloučení toho vlastního DNS serveru, cca:

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=53 in-interface=!ether1-WAN protocol=udp src-address=!192.168.10.10 to-addresses=192.168.10.10

add action=dst-nat chain=dstnat dst-port=53 in-interface=!ether1-WAN protocol=tcp src-address=!192.168.10.10 to-addresses=192.168.10.10

A pak bude i problém, pokud takto převrátíš zpět i jiné klienty ze segmentu 192.168.10.0/24, pokud tma jsou, tak to také nebude fungovat pro ostatní IP v 192.168.10.x. Pro ty musíš použít ještě i srcnat (viz: http://wiki.mikrotik.com/wiki/Hairpin_NAT ).

ludvik

Jenom bych dodal, že krást někomu DNS spojení je prasárna. Možná tím rozbiješ víc věcí, než spravíš.

Mimochodem stačí, aby si klient hlídal, odkud mu přišla odpověď ... se stavovým firewallem běžná věc.

keksik

Jenom bych dodal, že krást někomu DNS spojení je prasárna. Možná tím rozbiješ víc věcí, než spravíš.

Mimochodem stačí, aby si klient hlídal, odkud mu přišla odpověď ... se stavovým firewallem běžná věc.

Ok, ten nat nebudem riesit, ak mi prosim ta poradis ako to spravit, ked tisicka klientov ma historicky nastavenu istu IP DNs servera, ale teraz sa adresa DNS severa zmenila. Co teraz? Dik. :

ludvik

Řešit se to mělo zavčasu. Upozorňovat na změnu. A pak prostě vypnout. Změní si to dost rychle. Správný klient má ovšem minimálně dva DNS servery ... tomu to bude jedno, pravda.

Pokud se nepoužívá DHCP, musí být adresy DNS stabilnější, než atom olova ... tak to prostě je.

A nebo menší prasárnu. Použít přímo tu původní adresu. Pokud tedy na ní neběží něco jiného důležitého. A připravit lidi na vypnutí. Po nějakém čase tam dát záznamy pro seznam, google, facebook a youtube a přesměrovat si je někam k sobě, aby si lidi mohli přečíst, že si to nezměnili ...

Ono by ti pomohl nejspíš i ten NAT. Prostě musíš provést DST-NAT na novou adresu (ale specifikovat dost přesně, viz Majklik) a také zpětně SRC-NAT a to pokud možno právě na tu původní adresu.

ludvik

Autor uvedl právě jen TCP. Kromě toho, v dnešní době DNSSEC je to možná obvyklejší přes TCP, než by člověk čekal ... I když statistiku jsem si nedělal.

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

keksik

Autor uvedl právě jen TCP. Kromě toho, v dnešní době DNSSEC je to možná obvyklejší přes TCP, než by člověk čekal ... I když statistiku jsem si nedělal.

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Jasne ze cez UDP to ide takmer vsetko. To bol len priklad... jasne ze praidla robim pre oba protokoly.

Ok, srdecny dik, poskusam.

keksik

Nakoniec som to vyriesil genialne :

Ten dst-nat som nastavi na IP LAN toho edge routra, spustil som na tom routri DNS server Mikrotiku, kde som ako prvy dal svoj DNS a za nim dalse tri free DNS.

Fici to ako dive, a je to aj pekne zalohovane. : : :

kuba

V tom pripade zase pozor na DNS amplification utoky, prichozi spojeni z internetu na DNS bys mel blokovat, jinak ti tam bude za chvili litat hromada zbytecnych paketu.

keksik

V tom pripade zase pozor na DNS amplification utoky, prichozi spojeni z internetu na DNS bys mel blokovat, jinak ti tam bude za chvili litat hromada zbytecnych paketu.

Jaj. Doslaka, Dakujem.

toto by malo stacit

filter add chain=input action=accept connection-state=established,related

filter add chain=input action=drop in-interface=wlan1-gateway

maetoo

Trochu obnovim tuto tému.

Mám RBčko 750. Ether1 je WAN, Ether2 - Ether4 lan sieť a Ether 5 patrí tiež do lan siete, ale tu mám pripojeny server na ktorom mi beži služba DNS.

Ako nastaviť MK tak, aby žiadosti smerovali na DNS server, odtiaľ von na DNS servery ISP,

odtial odpoveď spať do mojho DNS servera a do počítala v lan sieti, odkiaľ požiadavka prišla.

Zatiaľ som vymyslel niečo taketo, ale zatiaľ sa mi nedari.

add action=dst-nat chain=dstnat disabled=no dst-address-list="DNS Servery" dst-port=53 protocol=udp to-addresses=192.168.111.250

Toto pravidlo zareaguje, počita packety a Bytes.

Keď je toto pravidlo spustene, lokálne počítače v sieti si snažia rozpoznať hostitela. Toho ako inak nenajdu.

Stránka sa korektne načíta až, keď toto pravidlo vypnem. Ma niekto nejake napady ako by sa to dalo riešiť?

V prílohe je screen logov, ako to vyzera, keď je pravidlo vyšie zapnute. Snaď vám skor pride na rozum nejake riešenie.

keksik

chichi, toto co tu pises.. si to totalne domotal a nepochopil danu vec.

Vsak tvoj DNs server sa dotazuje tych serverov vonku, oni mu odpovedia a on zas odopvie tvojim PC. A pravidlo presmerovania DNS portov, nielen protokolu UDP ale aj TCP, som pisal v predoslych postoch.

majklik

Toto pravidlo zareaguje, počita packety a Bytes.

Keď je toto pravidlo spustene, lokálne počítače v sieti si snažia rozpoznať hostitela. Toho ako inak nenajdu.

Stránka sa korektne načíta až, keď toto pravidlo vypnem. Ma niekto nejake napady ako by sa to dalo riešiť?

Takže chceš přesměrovat dotazy mířící jen na některé DNS servery z address listu "DNS Servery" na svůj DNS server? Jesltiže se ten DNS server 192.168.111.250 obrací na nějaký vnější DNS server, který je v tom senamu "DNS Servery", takmu musíš dát vyjímku. Lépe by bylo asi (aby se tvůj legální DNS server dostal ven):

add action=dst-nat chain=dstnat disabled=no src-address=!192.168.111.250 dst-address-list="DNS Servery" dst-port=53 protocol=udp to-addresses=192.168.111.250

add action=dst-nat chain=dstnat disabled=no src-address=!192.168.111.250 dst-address-list="DNS Servery" dst-port=53 protocol=tcp to-addresses=192.168.111.250

A pak, pokud používáš LAN segment 192.168.111.0/24 a klienti jsou na stejném segmentu jako DNS server, tak je potřeba i:

add chain=srcnat src-address=192.168.111.0/24 dst-address=192.168.111.250 protocol=udp dst-port=53 action=masquerade

add chain=srcnat src-address=192.168.111.0/24 dst-address=192.168.111.250 protocol=tcp dst-port=53 action=masquerade

Dle toho logu se ti ten tvůj DNS server obrací i na 192.168.111.1, což je asi ten vlastní router na kterém tuhle šaškárnu provádíš. Tak pokud to má fungovat, tak se ten router musí obracet někam ven pro DNS a ne mít nastaveno v /ip dns jako adresu i 192.168.111.250!

maetoo

V address liste: DNS Servery sú 2 DNS servery môjho ISP a lokálna IP adresa Mikrotiku.

Potrebujem dosiahnuť to aby, môj dns server 192.168.111.250 posielal DNS žiadosti von na DNS servery, ktoré sú v address liste.

Áno, klienti sú v tom istom lan segmente v ktorom je aj lokálny DNS server.

Moja situácia je nasledovná.

Mám RB750. Na Ether1 je pripojený kábel od ISP. Na Ether2 - Ether4 sú bežne počítače. Na Ether5 je pripojený server.

Na tomto servery je spustená služba Active Directory.

AD, pokiaľ mam správne informácie frčí tiež cez port 53 ako DNS žiadosti.

A keď chcem dosiahnuť to, aby som lokálne počítače mohli pridať do AD, potrebujem takto nastaviť môj hlavný Mikrotik router.

O DNS server ako taký sa mi moc nejedna.

majklik

A není jednodušší, než násilnit to přes DSTNAT, tak nastavit ty klienty v LAN, ať se přímo obracejí na 192.168.111.250?

Pokud se konfigurují přes DHCP, který běží na tom RB750, tak v podstatě něco jako:

/ip dhcp-server network

add address=192.168.111.0/24 dns-server=192.168.111.250 domain=mojefirma.local gateway=192.168.111.1 ntp-server=192.168.111.250 wins-server=192.168.111.250

Jen to "mojefirma.local" nahradím za doménu, co mám nastavenu v AD a podle toho, zda mám i povolenu roli WINS přidám/vyhodím to wins-server=192.168.111.250

A ten windows server si nastavím, ať DNS server co neví, tak přímo forwarduje k GTSce na ty 195.168.1.2 a 195.168.1.4

I tu vlastní RB750 si nastavím, ať DNS dotazy posílá na ten Win server:

/ip dns

set allow-remote-requests=yes cache-max-ttl=30m servers=192.168.111.250

A pak nemusím dělat šaškárny s DSTNAT, pokud mermomocí nechci unášet spojení, které by zkoušel někdo dělat přímo ven. A pokud by trvala potřeba těch DNS únosů, tak se použijí ty 4 pravidla, co jsme uvedl výše a je nutno v nich mít tu uvedneou vyjímku pro 192.168.111.250, aby se jeho pokusy cylycky nevracely zpět routerem.

Další stránka »