Veřejná IP adresa nastavení

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod vladimir 22. 1. 2010 09:50

ANo, máš pravdu, bez hesla nelze Mikrotik nastavit.

Veřejnou (v tomto připadě pseudoveřejnou) adresu by mohl mít jeden jediný počítač, kdyby byl postavený v DMZ, to značí, že veškerá připojení z internetu by byla forwardována (přesměrována) na ten počítač. Ale v takovém případě by ostatní měli zcela neveřejnou adresu.

Pro sítě podobé tvé se používá forwardování konkrétních portů na konkrétní počítače. Počet takových přesměrování je omezený jenom možnostmi Mikrotika, odhaduji to na možnost nadefinování až stovek přesměrování (forwardování).

Ty si musíš udělat "inventuru", jaké porty na jaký počítač potřebuješ nasměrovat a ten seznam předáš providerovi a ten ti to nadefinuje.

Pokud ti provider povolil v mikrotiku UPnP, tak si umí některé programy forwardovat porty automaticky.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod mehturt 22. 1. 2010 14:20

vladimir píše:Na začátek, abychom si ujasnili pojmy: Ovislink 5460 není router ani wifi-router, ale jenom acces point.

vie fungovat aj ako router, od verzie firmware tusim 11
mehturt
Kolemjdoucí

Odeslat příspěvekod vladimir 22. 1. 2010 15:48

mehturt píše:vie fungovat aj ako router, od verzie firmware tusim 11
No vita, to abych si na to svém updatoval firmware :-[
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod mehturt 22. 1. 2010 16:00

ano, tiez som o tom nevedel kym kamarat s UPC modemom chcel pripojit do siete 2 pocitace
mehturt
Kolemjdoucí

Odeslat příspěvekod richi_bb 22. 1. 2010 23:10

vladimir píše:No tak já už snad mám jasno. Provider postavil tvůj mikrotik 192.168.111.2 do DMZ (demilitarizované zóny) a na tuto adresu jsou přesměrovávány všechna připojení z té veřejné adresy.

Ty teď musíš v Mikrotiku jenom takzvaně otevřít porty, abys mohl začít využívat výhody veřejné adresy (abys mohl přijímat připojení z internetu).

Aby to fungovalo, musí mít počítač, pro který chceš otevírat porty, stálou IP-adresu (ručně nastavenou nebo v mikrotiku nastavenou vazbu mezi IP a MAC).

Příkald: tcp port 5900 otevřeš pro počítač 192.168.4 100 tímto příkazem:
Kód: Vybrat vše
/ip firewall nat add chain=dstnat dst-address=192.168.111.2 protocol=tcp dst-port=5900 \
    action=dst-nat to-addresses=192.168.4.100 to-ports=5900

Ja by som to este zjednodusil
Tymto si otvoris vsetky porty pre tvoj PC a nemusis pisat tolko riadkov (Porty do 1024 pouzivaju aplikacie typu www, ftp a pod. tak preto od 1024)
Kód: Vybrat vše
/ip firewall nat add chain=dstnat dst-address=192.168.111.2 protocol=tcp dst-port=1024-65535 action=dst-nat to-addresses=192.168.4.100 to-ports=1024-65535
/ip firewall nat add chain=dstnat dst-address=192.168.111.2 protocol=udp dst-port=1024-65535 action=dst-nat to-addresses=192.168.4.100 to-ports=1024-65535

Ten prvy kod je ale lepsie pouzit pokial potrebujes iba konkretny port presmerovat dnu, je to bezpecnejsie.
Ale inak neviem naco ste to tu pisali kedze ten chalan ma Micronet SP916GK v5 a nie Mikrotik. :-)
richi_bb
Kolemjdoucí

Odeslat příspěvekod vladimir 22. 1. 2010 23:17

richi_bb píše:
Kód: Vybrat vše
/ip firewall nat add chain=dstnat dst-address=192.168.111.2 protocol=tcp dst-port=1024-65535 action=dst-nat to-addresses=192.168.4.100 to-ports=1024-65535
/ip firewall nat add chain=dstnat dst-address=192.168.111.2 protocol=udp dst-port=1024-65535 action=dst-nat to-addresses=192.168.4.100 to-ports=1024-65535
Jde o více počítačů, patřících více lidem, dá se předpokládat, že každý bude chtít otevřít nějaký port, takže otevřít všechny porty jednomu počítači je kontraproduktivní. Ale jako příklad otevření skupiny portů je to O.K.


richi_bb píše:Ale inak neviem naco ste to tu pisali kedze ten chalan ma Micronet SP916GK v5 a nie Mikrotik. :-)
Pokud Czuba nemá mikrotik, jak začal uprostřed diskuze tvrdit,(ještě jsem se ho extra ptal), tak ani já nevím, proč jsem se namáhal :D :D :D

A stejně nemá přístup...
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Czuba 23. 1. 2010 22:38

Mikrotika má ISP, na který já přístup nemám. To jsem tady psal Vladimíre.
Murphyho zákon : Pokud nezálohuješ, o svá data přijdeš. Pokud zálohuješ, vyskytne se při obnově dat na záložním médiu chyba. Důsledek: o svá data stejně přijdeš...
Czuba
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 23. 1. 2010 23:09

Takto jsem se ptal:
vladimir píše:Ten Mikrotik, o kterém teď píšeš, je ten tvůj Micronet?

No, to už je jedno. Provider postavil tvůj Micronet 192.168.111.2 do DMZ (demilitarizované zóny) a na tuto adresu jsou přesměrovávány všechna připojení z té veřejné adresy.

Porty se budou forwardovat (přesměrovávat, otevírat, vytvářet virtuální servery) v tom Micronetu, viz strana 47 a 48 anglického návodu.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Czuba 24. 1. 2010 18:05

Vladimir: omlouvam se, špatně jsem to pochopil, vina je na mé straně.
Murphyho zákon : Pokud nezálohuješ, o svá data přijdeš. Pokud zálohuješ, vyskytne se při obnově dat na záložním médiu chyba. Důsledek: o svá data stejně přijdeš...
Czuba
Junior
Uživatelský avatar

Odeslat příspěvekod Czuba 25. 1. 2010 00:26

Vladimir: mohl by jsi mi dat odkaz na ten manual? Nemohu ho nikde najit. Diky moc
Murphyho zákon : Pokud nezálohuješ, o svá data přijdeš. Pokud zálohuješ, vyskytne se při obnově dat na záložním médiu chyba. Důsledek: o svá data stejně přijdeš...
Czuba
Junior
Uživatelský avatar

Odeslat příspěvekod Czuba 27. 1. 2010 20:15

TXH vladimir :-)
Takže já si to nastavil takto. Mám to dobře?
Obrázek

ve virtual dmz mam nastavit co? Mám vůbec něco nastavovat? je tam toto:
Obrázek

Díky
Murphyho zákon : Pokud nezálohuješ, o svá data přijdeš. Pokud zálohuješ, vyskytne se při obnově dat na záložním médiu chyba. Důsledek: o svá data stejně přijdeš...
Czuba
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 27. 1. 2010 21:13

Pokud chceš všechny porty přesměrovat na svůj počítač 192.168.4.30 (udělat si z něj jakoby veřejnou IP-adresu), tak to máš O.K..
Nezpřístupnil sis porty 1 - 1023, takže si nemůžeš vytvořit www server nebo ftp server. Pokud bys chtěl takový server vytvořit, musel by sis povolit porty od jedničky, a to bys rovnou mohl svůj počítač postavit do DMZ - to je ten druhý obrázek.

Jenom nezapomeň, že jsi svůj počítač právě vystavil všem možným útokům z internetu, takže si dej pozor na konfiguraci softwarového firewalu.

Pokud bys povolil i porty 1-1023, byla by možnost napadení z internetu ještě větší.

Proč si vůbec povoluješ všechny porty? Z bezpečnostního hlediska by bylo lepší povolit jenom to, co opravdu potřebuješ.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Czuba 27. 1. 2010 23:26

Ja chtěl jenom vědět jak to mám nastavit. Čistě teoreticky. Když jsem je všechny nastavil 1-65535 a chtěl jsem ztahovat z rapidshare z free účtu, tak mi to píše že stahuji atd. Takže jestli si to dobře dávám dohromady, tak veřejnou IP adresu stále nemám. Je to pravda? Tu veřejnou IP adresu budu směřovat na kolegu, jelikož chce stahovat z torrentu z cztorrent nebo tak nějak a musí sdílet, tak proto jsem ji nechal zřídit. A když chce stahovat z torrentu tak mu mám povolit jaký port?
Děkuji

//edit//
teď jsem najel na www.mojeip.cz a tam mi vyskočila IP adresa:
Vaše IP adresa je :
193.85.210.77
Vaše interní IP adresa je :
192.168.4.30
Vaše hostname je :
193.85.210.77

to je veřejnáí IP???
Murphyho zákon : Pokud nezálohuješ, o svá data přijdeš. Pokud zálohuješ, vyskytne se při obnově dat na záložním médiu chyba. Důsledek: o svá data stejně přijdeš...
Czuba
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 28. 1. 2010 09:10

193.85.xxx.xxx je veřejná a má ji nastavenou ten Mikrotik. 192.168.4.30 je interní adresa na tvém počítači a jsou na ni směřovány příchozí spojení z internetu. Pro Torrent nic jiného nepotřebuješ.

Torentu stačí otevřít (přesměrovat, forwardovat) jeden port. Torrentu se dá nastavit, jaký má používat, takže ať ti kolega řekne, jaký port má nastavený, nebo mu otevři třeba porty UDP 54320 a TCP 54321 a řekni mu, ať si ho/je nastaví (udp port není pro Torrenty nutný, ale je lepší, když je nadefinovaný i ten - ale záleží na tom daném torrent klientovi.).

A jak už jsem psal, musíš zajistit, aby ten kamarád měl pořád tu jednu stejnou IP-adresu, na kterou provedeš přesměrování.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod KyberNet 29. 1. 2010 20:51

Z jineho soudku. Ja si myslim toto:
Provider ti pres svoji sit namapoval IP adresu 80.82.xxx.xx na tvuj router(MicroNet).
To znamena, ze jedine co musis na routeru nastavit je , aby se IP adresa 80.82.xxx.xx prelozila dal do site ne jenom port, ale cela IP z jednoho eth rozhrani do druheho eth rozhrani...
Pote tu verejnou IP adresu 80.82.xxx.xx nastavis primo do jednoho z PC.

Nyni tu verejnou IP adresu nevyuzivas, jelikoz ji nemas nikde zadanou. Momentalne tvuj router prichozi dotaz na tuhle adresu zahodi.Kdezto pokud providerovi dojde dotaz na tuhle verejnou ip adresu preposle ji na tvuj router.
KyberNet
Junior

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků