Dzisiaj jest 5 lis 2024, 01:43

Strefa czasowa UTC+1godz.




Nowy temat Odpowiedz w temacie  [ Posty: 5 ] 
Autor Wiadomość
 Tytuł: Restrykcja dla NAT
Post: 26 wrz 2023, 08:45 
Offline
Użytkownik
Awatar użytkownika

Rejestracja: 10 kwie 2010, 21:10
Posty: 568
W jednej lokalizacji mam neostratę biznes. Domyślnie router który dostałem od orange nawiązuje połączenie PPPoE i dostaje na WANie stałe IP, np 40.50.60.9. Jeżeli podłączę pod ten router jakieś urządzenie to dostanę IP prywatne z DHCP... ale dostałem 8-ipkową pulę IP (maska 29-bitowa) i zamiast dostawać adres IP z dhcp mogę przypisać sobie na hoście IP np 40.50.60.14 z bramą 40.50.60.9 i wyjdę z IP innym niż reszta sieci.

Jak ten efekt uzyskać na openwrt? W sensie jakie zmiany wprowadzić w zonie firewalla by NAT nakładany był tylko dla połączeń z podsieci lokalnej np 192.168.1.0/24, by w sytuacji gdy jakiś host ma ręcznie wpisane IP publiczne to jego połączenia nie były natowane. Jeszcze idealniej byłoby wykluczenie czyli by NAT nie był nakładany jeżeli source jest 40.50.60.8/29, bo mogę mieć IP kilka podsieci prywatnych w VLANach.

Drugie pytanie o serwer DHCP. Mam pulę 10.30.0.0/16 Jak zrobić by openwrt rozdawał IP od np 10.30.5.1 do 10.30.10.254, bo w openwrt nie widzę opcji IP startowego tylko offset startowy

_________________
http://openlinksys.info
http://tomato.groov.pl


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Restrykcja dla NAT
Post: 26 wrz 2023, 12:17 
Offline
Administrator
Awatar użytkownika

Rejestracja: 9 kwie 2010, 23:28
Posty: 14176
Lokalizacja: Warszawa
To pierwsze - robisz DNAT/SNAT na określony host w sieci po prostu.

To drugie - nadal offset, tylko musisz sobie dać jako 1280 (czyli 5*256). Ciekawe jak to będzie działać, nigdy nie sprawdzałem dla tak dużej puli adresowej.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Restrykcja dla NAT
Post: 26 wrz 2023, 12:33 
Offline
Użytkownik
Awatar użytkownika

Rejestracja: 10 kwie 2010, 21:10
Posty: 568
Cytuj:
nadal offset, tylko musisz sobie dać jako 1280 (czyli 5*256).


też mi to przyszło do głowy. Ale dałem 255 i już DHCP nie rozdawał IPków :/ Zmieniłem na 254 i limit 1000 i rozdał mi bodaj 10.30.20.xxx więc to jakoś tak z rozmachem rozdaje ;)

z DNAT/SNAT spróbuję

_________________
http://openlinksys.info
http://tomato.groov.pl


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Restrykcja dla NAT
Post: 26 wrz 2023, 17:29 
Offline
Administrator
Awatar użytkownika

Rejestracja: 9 kwie 2010, 23:28
Posty: 14176
Lokalizacja: Warszawa
Działa.
root@MiFi:~# uci show network.lan
network.lan=interface
network.lan.device='br-lan'
network.lan.proto='static'
network.lan.ipaddr='192.168.0.1'
network.lan.netmask='255.255.0.0'
network.lan.ip6assign='60'
network.lan.ipv6='0'
root@MiFi:~# uci show dhcp.lan
dhcp.lan=dhcp
dhcp.lan.interface='lan'
dhcp.lan.start='300'
dhcp.lan.limit='150'
dhcp.lan.leasetime='12h'
dhcp.lan.dhcpv6='disabled'

A w logach
Thu Sep 21 01:17:40 2023 daemon.info dnsmasq-dhcp[1]: DHCP, IP range 192.168.1.44 -- 192.168.1.193, lease time 12h

Siec ma 192.168.0.0/16 a zaczyna rozdawać od od 44, 256+44=300, czyli z takim offsetem.

Tylko musisz pamiętać że dnsmasq jest wrażliwe jeżeli adres routera jest w puli rozdawanych adresów, więc lepiej zrobić go poza pulą.

A tak jest dla 350 hostów:
Thu Sep 21 01:26:29 2023 daemon.info dnsmasq-dhcp[1]: DHCP, IP range 192.168.1.44 -- 192.168.2.137, lease time 12h

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Restrykcja dla NAT
Post: 28 wrz 2023, 11:17 
Offline
Użytkownik
Awatar użytkownika

Rejestracja: 10 kwie 2010, 21:10
Posty: 568
u mnie router miał IP 10.30.0.2/16. Start dałem na 255 i limit 1000 i po zapisaniu zmian router przestał rozdawać IP - musialem wpisać sobie IP z palca bym mógł połączyć się do routera. Nie sprawdzałem w logach bo czas mnie gonił. Finalnie wróciłem do EdgeOS ale jak będę miał wolny router do zabawy to sprawdzę to raz jeszcze.

_________________
http://openlinksys.info
http://tomato.groov.pl


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 5 ] 

Strefa czasowa UTC+1godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
cron
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info