Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Problém s NAT, jak na řešení?

Aigor (201)|20.11.2008 09:10
Ahoj,

mám doma dost nepříjemný problém s internetem a protože v sítích se až tolik neorientuju, prosím o přítomné experty o radu...

původní stav:
wi-fi AP od providera, simple "no-name" mýdlová krabička s anténkou 1 LAN, statická IP.
Na mé straně router SMC s firewallem a printserverem - klasický NAT s IP maškarádou, nějaké ty filtry ve firewallu a pravidla. Odtud rozvedeno metalikou 100Mbit po bytě do zásuvek.


aktuální:
minulý týden začal zlobit (vypadávat) net, provider vyhodil svoje dosluhující zařízení a dostal jsem nový ZCOMAX s vlastním NATem a dyn.IP.
Na svém routeru jsem přepnul Dynamic IP addr. a všechno se zdálo OK.

Bohužel druhý den jsem zjistil, že některé věci jsou tímto způsobem neprůchozí, jako např. FTP upload, nemůžu poslat žádný příspěvěk na fórum, nebo se přihlásit na gmail..

Je mi jasné, že binec nejspíš dělá zřetězení NATů (samozřejmě na jiném rozsahu). Směrem ke mě funguje všechno jak má, ale ven se spojení rozpadá.
Provider nicméně chce na svém zařízení zachovat NAT jako std. "ochranu" a já se nechci vzdát svého zařízení nad kterým mám plnou kontrolu a kde mám firewall.

Strávil jsem laborováním 3 dny dovolené během kterých jsem byl odkázán jen na čtení příspěvků z fóra, ale řešení jsem nenašel.

Poraďte prosím nějaké schůdné řešení :cry
Pavel Boček (4169)|20.11.2008 12:29
Vypnul bych na routeru NAT a nechal ho jen ve stavu switche. Sice tím přijdeš o řízení, no ale co už...

Pokud ta věc od providera jde administrovat, tak mu řekni že chceš buď přístup anebo aby ti na požádání namapoval porty atp.
Aigor (201)|20.11.2008 15:24
[QUOTE=Pavel Boček;185145]Vypnul bych na routeru NAT a nechal ho jen ve stavu switche. Sice tím přijdeš o řízení, no ale co už...[/QUOTE]

Nechci vypadat jako BFU, ale přesně tohle jsem tam nenašel. Můžu vypnout DHCP, ale NAT nemá žádné další nastavení, přestože až tak jednoduchá krabice to není. Pochopil jsem, že řešením by bylo přenout do režimu bridge, ale to tohle taky neumí.

[QUOTE=Pavel Boček;185145]Pokud ta věc od providera jde administrovat, tak mu řekni že chceš buď přístup anebo aby ti na požádání namapoval porty atp.[/QUOTE]

Stalo se, dostal jsem tam přístup, ale možnosti firewallu jsou mizerné. Bez vlastního řešení se neobejdu. Ovšem jestli (a jak) umožnit lepší propojení ze strany tohoto zařízení to netuším..
Pavel Boček (4169)|20.11.2008 15:33
Co máš vlastně za router ? Nejlépe kdybys rovnou udělal screenshoty v menu...

Co se nastavení firewallu týče, co přesně potřebuješ ? Pokud je tam pravý NAT, tak je to firewall samo o sobě a stejně je dobré mít SW firewall. Nevím co dál bys chtěl nastavovat, snad jedině speciální chování na některých portech, pro některé IP či pro některé MAC adresy...ale to obvykle nikdo moc nepoužívá :)
Aigor (201)|21.11.2008 10:18
[QUOTE=Pavel Boček;185230]Co máš vlastně za router ? Nejlépe kdybys rovnou udělal screenshoty v menu...[/QUOTE]
SMC-BR14UP, screenshoty nastavení LAN/WAN. Protože se NEJEDNÁ o WiFi router, předpokládám, že NAT to jednoduše vypnout neumí.

[QUOTE=Pavel Boček;185230]Co se nastavení firewallu týče, co přesně potřebuješ ? Pokud je tam pravý NAT, tak je to firewall samo o sobě a stejně je dobré mít SW firewall[/QUOTE]
NAT se dá považovat za náhražku jakési ochrany jen v případě, že stahuju poštu a prohlížím stránky. V domácí síti mám několik serverů, kde testuju SW a pracuju s citlivýma datama (ochr. osobních údajů). Takže požadavek na neprůstřelnost je na prvním místě. Něco málo jsem psal na tady...

Potřebuju prostě na HW úrovni oddělit a řídit provoz několika PC bez nutnosti kvůli každé ptákovině obíhat všechny stanice a vrtat se v nastavení Comoda.

Např. pro jednu stanici povolit FTP, SMTP, POP3, HTTP a HTTPs, navíc příchozí :80 jen z vybraných stanic. Pro druhý PC povolit pouze HTTP a HTTPS, navíc pouze mezi 14-19h...

Jinak mezitím co jsem nemohl na net jsem znovu trochu hledal a IMHO by bylo řešení na routeru od providera vypnout NAT (viz screenshot) a pokud to správně chápu, potom se z něj stane opět jednoduchý AP a moje síť bude za vlastním NATem. Doufám, že tímto nastavením nemůžu způsobit nějaký další problém :notsure
KEOSAN (958)|21.11.2008 10:24
No - NAT by som, za prilis bezpecny nepovazoval. Osobne ho sice nechavam zapnuty, ale s obmedzenim na par PC, ci serverov - alebo ani tam nie. Bezpecnejsie je pustat vsetko vonku cez filtrovanu proxy.
Pavel Boček (4169)|21.11.2008 12:04
[QUOTE=Aigor;185476]Jinak mezitím co jsem nemohl na net jsem znovu trochu hledal a IMHO by bylo řešení na routeru od providera vypnout NAT (viz screenshot) a pokud to správně chápu, potom se z něj stane opět jednoduchý AP a moje síť bude za vlastním NATem. Doufám, že tímto nastavením nemůžu způsobit nějaký další problém :notsure[/QUOTE]

Na něm bych přímo nastavil bridge, stane se z toho pak jen redukce z Wi-Fi na Ethernet jak já říkám :) Ale nechtěl tvůj provider, aby tam běžel NAT ?
Aigor (201)|21.11.2008 12:49
[QUOTE=Pavel Boček;185515]Na něm bych přímo nastavil bridge, stane se z toho pak jen redukce z Wi-Fi na Ethernet jak já říkám :) [/QUOTE]
Mno to by bylo nejspíš přesně to co potřebuju. Jaký je tedy zjednodušeně rozdíl mezi režimy Bridge a Wireless ISP s vypnutým NAT:confused:

[QUOTE=Pavel Boček;185515]Ale nechtěl tvůj provider, aby tam běžel NAT ?[/QUOTE]
Ano, to chtěl - proto mě zajímá jaký to pro něj má mít přínos/smysl. Pokud by to vyřešilo můj problém, pak by se s ním dalo nejspíš domluvit...:notsure
Dojigiri (1629)|21.11.2008 12:55
No tak velice jednoduše z toho uděláš switch tak, že vezmeš drát, kterej je teď zapíchlej do WAN, a přepíchneš ho do LAN (a předtím určitě vypnout DHCP na routeru).

Problém by pak mohl být v tom, že pokud tam budeš mít připojených víc počítačů, budeš potřebovat od providera pro každej z nich přidělit IP adresu - stejnej problém by ale samozřejmě nastal i v režimu bridge (resp. v jakýmkoliv režimu bez NAT - protože jenom díky NAT můžeš používat víc počítačů na jednu vnější IP adresu, to pokud vím nelze zařídit jinak než NATem).
Aigor (201)|21.11.2008 13:20
[QUOTE=Dojigiri;185543]No tak velice jednoduše z toho uděláš switch tak, že...[/QUOTE]

moment, teď si asi nerozumíme. Já neřeším jak obejít NAT, ale zredukovat stávající 2xNAT na jediný (s mým firewallem).
EditorPO (2819)|21.11.2008 14:43
[quote=Aigor;185554]moment, teď si asi nerozumíme. Já neřeším jak obejít NAT, ale zredukovat stávající 2xNAT na jediný (s mým firewallem).[/quote]
A co tak nechat NAT na routeri providera a na svojom NAT vypnut? V konecnom dosledku to svoje zariadenie uz ani nepotrebujes. Mas predsa pristup na router providera, nakonfiguruj si ho podla potreby, zahesluj, zakaz pristup na WEB rozhranie z vonku a si v relativnom bezpeci. Preco stale trvas na svojom firewalle? Router providera tieto funkcie nema? Nepoznam ho, takze neviem.

Edit: ale asi ho potrebujes :-) az teraz som si vsimol, ze ma printserver.

Takze kludne vypni NAT na svojom routeri. Pozeral som jeho manual. Okrem NAT firewallu mas aj SPI firewall, ktory bude fungovat nadalej, aj s funkciami, ktore potrebujes (scheduling, mac filter, url filter...)
Aigor (201)|21.11.2008 15:39
[QUOTE=EditorPO;185587]A co tak nechat NAT na routeri providera a na svojom NAT vypnut?[/QUOTE]
Tomuto řešení se právě od začátku chci vyhnout, viz předchozí popis v příspěvku #5.

[QUOTE=EditorPO;185587]Mas predsa pristup na router providera, nakonfiguruj si ho podla potreby, zahesluj, zakaz pristup na WEB rozhranie z vonku a si v relativnom bezpeci. Preco stale trvas na svojom firewalle? Router providera tieto funkcie nema? Nepoznam ho, takze neviem.[/QUOTE]
Mno "zaheslovat si ho", navíc s odstřihnutím přístupu z WAN, to by se mi asi provider poděkoval...
Jinak opravdu NE, toto je především wi-fi router, nemá zdaleka možnosti firewallu jaké potřebuju a využívám já (neplést s NATem).

[QUOTE=EditorPO;185587]Takze kludne vypni NAT na svojom routeri. Pozeral som jeho manual. Okrem NAT firewallu mas aj SPI firewall, ktory bude fungovat nadalej, aj s funkciami, ktore potrebujes (scheduling, mac filter, url filter...)[/QUOTE]

Jak :confused: Prolezl jsem menu několikrát i pozpátku, ale možnost vypnout NAT tam prostě není.
EditorPO (2819)|21.11.2008 16:31
Fakticky, mas pravdu, NAT sa vypnut neda.

BTW ako to mas teraz zapojene? Pisal si, ze nemozes prispievat na forum a pritom tu pises.
Pavel Boček (4169)|21.11.2008 21:20
Jak jsem řekl, dal bych AP do režimu bridge. S úspěchem jsem to používal u modemu D-Link DSL-362T, který tak zastával funkci redukce z RJ-11 na RJ-45.

Co se týče rozdílu mezi Bridge a Wireless ISP s vypnutým NAT, to ti neřeknu, zkus pohledat po manuálu. Ale IMHO bude to první opravdu jen přesun toho co přijde z jedné strany na druhou stranu, v druhém případě to asi bude nějakým způsobem režírovat.
Aigor (201)|23.11.2008 12:48
Dnes jsem zapojil starý NB přímo na router providera, abych se z domu dostal provizorně na net.
Zkusím se domluvit s providerem a zapnout Bridge, jeví se mi to jako nejoptimálnější řešení.
havtom (47)|23.11.2008 23:19
Zvolil bych DMZ (default server nebo proste napt 1:1) vseho provozu na jednu adresu, kde bude dalsi krabka, ktera ti to uz osefuje. Ale to uz bude prinosnejsi proste rovnou zapojit vlastni zarizeni misto toho stavajiciho, ktery bude umet vsechno.
Aigor (201)|27.11.2008 21:36
Tak jen finále. Možná jsem úplně blbej, ale po změně režimu se mi nepodařilo za svým routerem už rozjet net. Hrál jsem si s tím celé odpoledne bez výsledku. Viděl jsem oba routery OK, ale nedařilo se mi protlouct na DNS.

Nakonec jsem to vyřešil střední cestou. Stanice, kde mám citlivá data de-facto nepotřebují/nesmí přistupovat na net (nebo jen minimálně, aktualizace, etc.), ostatně kvůli tomu používám firewall. Takže ty zůstaly za mým routerem. Notebook a pracovní stanice, kde potřebuju plně funkční net je připojena na NAT providera a protože má stanice má dvě síťovky, vidím bez problémů do obou sítí.

PS: Nejlepší by skutečně bylo vlastní komplet zařízení s lepšími možnostmi, ale protože tohle je už "zaplaceno" a navíc se rýsuje v blízké budoucnosti stěhování jinam, myslím že je to nejlepší řešení.

Samozřejmě díky za rady ;)