1 Temat przez WoT (edytowany przez WoT 2020-05-31 17:25:16)

  • WoT
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-10-12
  • Posty: 208

Temat: Konfiguracja: przekierowanie do obcej podsieci

Cześć

Mam router (Router) podłączony do internetu przez WAN z zewIP i z własną podsiecią LAN 192.168...
Jeden z portów switcha Routera ma wydzielony vlan z podłączoną obcą podsiecią vLAN 10.0.0.0 innego routera (vRoutera) i jest tam przydzielone stałe ip 10.0.0.15
W sieci vLAN jest serwer vWWW ze statystykami na ip 10.0.0.14

Celem jest: przekierowanie z WAN:443 do vWWW:443 i poprawna praca statystyk

Niby nic trudnego, ot zrobienie reguły w firewall na routerze z zony WAN do vLAN:

config redirect
    option name 'www443'
    option proto 'tcp'
    option src WAN
    option dest vLAN
    option src_dport '443'
    option dest_port '443'
    option dest_ip '10.0.0.14'
    option target 'DNAT'

Niestety to nie działa. Gdy wpiszę w przeglądarce https://zewIP:443 niczego nie otwiera. Zewnętrzny portscan pokazuje, że port jest zamknięty.

Diagnoza:
- router ma internet
- router widzi serwer vWWW, ping 10.0.0.14 jest ok, port otwarty, netcat: 10.0.0.14 [10.0.0.14] 443 (https) open
- inne komputery z vLAN widzą i otwierają strony serwera vLAN
- firewall nie wykazuje błędów

Czemu więc przekierowanie nie działa?


(...)


Przeszukałem kilka wątków po których wpadłem na połowiczne rozwiązanie dopisania do zony vLAN maskarady:

config zone
    option name    vLAN
    option network    vLAN
    option input    ACCEPT
    option output    ACCEPT
    option forward    REJECT
    option masq    # dodane

W efekcie przekierowanie działa i można się dostać do serwera vWWW z WAN

Jednakże przy takiej konfiguracji nie działają poprawnie statystyki na vWWW.
Pokazują m.in., że wszyscy łączą się z IP 10.0.0.15 (czyli IP routera)
Netcat pokazuje ciekawe ostrzeżenie:
Warning: Host 10.0.0.14 isn't authoritative! (direct lookup failed)
10.0.0.14 443 (https) open
Dodanie maskarady wydało się tu niewłaściwe.
btw sprawdziłem też na :80

Jak skonfigurować przekierowanie, żeby statystyki również działały poprawnie?

2 Odpowiedź przez mar_w (edytowany przez mar_w 2020-05-31 16:05:12)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 1,994

Odp: Konfiguracja: przekierowanie do obcej podsieci

Skoro router nr. 1 ma 2 sieci LAN a)192.168.. Oraz b) 10.0...
A router 2 ma adres 10.0.0.15 i komp w tej sieci ma adres 10.0.0.14 tzn że router 2 jest switchem. Tak czy nie?

Nie napisałeś czy na R1 masz własny serwer www na portach 80 i 443.
Nie napisałeś czy masz forward z vLan do wan na R1.

EDIT: Bo jeżeli R2 ma swój osobny WAN bez publicznego IP (i chciałeś być cwany, żeby mieć z sieci vLAN wyjście na świat przez WAN R2 i świat mógł się łączyć do WWW BEZ tunelu poprzez Publiczny IP z R1) to host 10.0.0.14 będzie wysyłał odpowiedzi do nadawców z zewnątrz przez WAN z routera R2, bo taki ma routing w tablicy.
I wtedy to nie jest tradycyjna konfiguracja, żeby działał tradycyjny Redirect smile

Pewnie będziesz musiał znakować przychodzące pakiety na WAN:port routera R1 i mieć drugą tablicę routingu na hoście 10.0.0.14 dla pakietów oznakowanych jakimś MARK-iem.

Określ dokładnie co masz, to pewnie ktoś rozwiąże to zadanie.

* WNDR 4300v2 * ||  * Xiaomi Miwifi Mini * || Netgear R6220 *
* DVBT2 - T230C *

3 Odpowiedź przez WoT (edytowany przez WoT 2020-05-31 17:33:47)

  • WoT
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-10-12
  • Posty: 208

Odp: Konfiguracja: przekierowanie do obcej podsieci

Dla porządku poprawiłem nazewnictwo na Router (ten z przekierowaniem o który pytam) i vRouter (ten z drugą podsiecią z vWWW).

Dla uproszczenia powiem tak, że są sobie dwa routery:
1. Router z podsiecią 192.168.0.0
2. vRouter z podsiecią 10.0.0.0 w której jest serwer vWWW o IP 14 widoczny w sieci ale nie na zewnątrz
Router (z przekierowaniem) ma zrobionego vlana podłączonego na IP 15 do podsieci vRoutera który ma służyć za okno na świat dla serwera vWWW
...i reszta jak wyżej.

4 Odpowiedź przez mar_w (edytowany przez mar_w 2020-05-31 20:43:18)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 1,994

Odp: Konfiguracja: przekierowanie do obcej podsieci

Dobrze, wszyscy rozumieją co chcesz zrobić, ale narazie opisałeś tylko sposób podłączenia Routera:

WoT napisał/a:

Mam router (Router) podłączony do internetu przez WAN z zewIP i z własną podsiecią LAN 192.168...

Ale nadal nie napisałeś jak jest podłączony vRouter, (czyli ten drugi).
Czy on jest zwykłym switchem, bo adres 10.0.0.15 jest z tej samej klasy co serwer vWWW o adresie 10.0.0.14, czy ma swój osobny WAN.
Czy podłączyłeś jeden z portów LAN Routera do jednego z portów LAN vRoutera?
Czy vRouter też jest podłączony do internetu ale przez swój własny WAN bez zewnętrznego IP?

* WNDR 4300v2 * ||  * Xiaomi Miwifi Mini * || Netgear R6220 *
* DVBT2 - T230C *

5 Odpowiedź przez WoT

  • WoT
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-10-12
  • Posty: 208

Odp: Konfiguracja: przekierowanie do obcej podsieci

Tak, vRouter(ten drugi) jest klasycznym routerem. Ma swój vWAN i swoją podsieć vLAN 10.0.0.0 Jego numer IP to 10.0.0.1.
Tak, jeden z portów LAN Routera jest wydzielonym vlanem z wydzieloną zoną (dajmy na to vZONE) i jest bezpośrednio podłączony pod LAN vRoutera, pobierając od niego przypisane mu IP 10.0.0.15 metodą vDHCP.

I trafiłeś, że vWAN vRoutera jest nietypowy, na pewno nie ma zewIP, a do tego jest dość mocno filtrowany, stąd dostęp zewnętrzny do vWWW można tylko zorganizować tylko przez Routera.