SNAT / DNAT - konfigurace

zip

Hezký večer, řeším jak správně maskovat celou komunikace za jednu IP, kterou obdržím od DHCP serveru a následně ještě provést DNAT portu.

Lokální IP je 192.168.88.10/24 - pokud komunikuji směrem do dané sítě je zapotřebí celou komunikaci maskovat za IP 10.1.1.20. Tohle řeším pomocí SNATU "add action=src-nat chain=srcnat out-interface=lte1 to-addresses=10.1.1.20", ale při pokusu provést telnet na karetní IP a port ve vzdálené sítí se spojení neprovede. V dané konfiguraci nevidím žádnou chybu tohle by mělo standardně zafungovat.

S čím si moc nevím rady je, že bych potřeboval na Mikrotiku ještě provést DNAT a pak až SNAT pro představu dal bych ještě Mikrotiku dvě lokální IP 192.168.88.20 a 22 - a pokud zavolám IP 192.168.88.20 a port 2404 tak, aby se provedl klasický DNAT na IP 100.12.14.20 a port 2404, ale následně se to celé musí zamaskovalo za IP, kterou sem obdržel od DHCP serveru 10.1.1.20. Osobně bych to řešil pomocí pravidla DNAT a dal bych to na první místo a SNAT bych dal zato, ale i tak mi to neprojde směrem do vzdálené sítě - možná jen dělám někde chybu.

Jako poslední bod co nechápu vůbec, že pokud zařízení, které je ve vzdálené siti zavolá IP 10.1.1.20 a port 2404, že se daný port korektně nepošle do mé lokální sítě na zařízení 192.168.88.10. Mám to řešení pomocí DNAT "add action=dst-nat chain=dstnat dst-port=2404 in-interface=lte1 protocol=tcp to-addresses=192.168.88.10 to-ports=2404"

Děkuji moc za rady.

dacesilian

Neblokuje ti to firewall? Můžeš zkusit vypnout drop, lépe přidej logovani na drop i do tvých dnat/snat a uvidíš, kterými pravidly ti paket prochází.

zip

@dacesilian firewall nemam vubec nastaven 🙁

iTomB

Nepletes si to co chces? Kdyz vidim LTE, tak ti asi nikdo neda volne pristup na telnet do sve site 😃 Mel by jsi si uvedomit co potrebujes a hlavne zacit studovat.

zip

@iTomB nemůžeš vědět jak je to lte řešené takže prosím nesuď třeba je to privátní lte spoj 🙂 - kde myslíš, že je podle tebe chyba .?

kozlicek

zip privátní lte??? co je to za blbost.

zip

@kozlicek boze resit hovna jde kazdemu, ale resit to hlavni to ne .. je uplne jedno jestli tam je lte nebo wan.. Sitova komunikace je porad stejna .

kozlicek

napis konfiguraci (export nastavení), tom cos napsal se clovek neorientuje, treba ti nekdo poradi nebo je cesta jak psal Itomb.

zip

@kozlicek

----- 1
Mám lokální síť na subnetu 192.168.1.0/24 - moje zařízení má IP 192.168.1.10/24 - potřebuji volat IP adresu zařízení za lte, které májí IP 10.20.20.10 nebo 10.20.20.20.

Od DHCP serveru (lte) sem obdržel IP, která je 172.20.20.20.

Zařízení je přístupný pouze ze subnetu, který obdržím od DHCP, tedy veškerá moje komunikace se musí tvářit, že odchází pouze z IP 172.20.20.20 - nesmí nikde figurovat můj subnet 192.168.1.0/24.

Zařízení na IP 10.20.20.10 nebo 10.20.20.20 občas musí zavolat moje zařízení, které má IP 192.168.1.10, ale ja se i pro tohle volání musím tvářit, že poslouchám na IP 172.20.20.20.

----- 2
Abych to zkomplikoval tak IP 10.20.20.10 za LTE poslouchá na portu 2404 a druhá IP za LTE poslouchá na portu 2405. Bohužel moje zařízení umí volat pouze port 2404 jiný port nejde nastavit.

Tak mě napadlo, že bych volal interně IP 192.168.1.24 a port 2404 a to by se přesměroval na IP 10.20.20.10:2404 a zamaskoval za IP 172.20.20.20. Pro volá portu 2504 bych volal interně IP 192.168.1.25 a port 2404 a to by se přesměroval na IP 10.20.20.20:2504 a zamaskoval za IP 172.20.20.20.

Snad to už bude více srozumitelné než předtím .. Alfou omegou je vyřešit bod 1 a pak bych řešil bod 2.

Pomocí iptable bych nato šel následně:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 10.20.20.10/32 -j SNAT - -to-source 172.20.20.20
iptables -t nat -A PREROUTING -s 10.20.20.10/32 -d 172.20.20.20/32 -j DNAT --to-destination 192.168.1.10

Děkuji za help.