| openrouter.info https://eko.one.pl/openrouter.info/forum/ |
|
| Restrykcja dla NAT https://eko.one.pl/openrouter.info/forum/viewtopic.php?f=22&t=5057 |
Strona 1 z 1 |
| Autor: | shibby [ 26 wrz 2023, 08:45 ] |
| Tytuł: | Restrykcja dla NAT |
W jednej lokalizacji mam neostratę biznes. Domyślnie router który dostałem od orange nawiązuje połączenie PPPoE i dostaje na WANie stałe IP, np 40.50.60.9. Jeżeli podłączę pod ten router jakieś urządzenie to dostanę IP prywatne z DHCP... ale dostałem 8-ipkową pulę IP (maska 29-bitowa) i zamiast dostawać adres IP z dhcp mogę przypisać sobie na hoście IP np 40.50.60.14 z bramą 40.50.60.9 i wyjdę z IP innym niż reszta sieci. Jak ten efekt uzyskać na openwrt? W sensie jakie zmiany wprowadzić w zonie firewalla by NAT nakładany był tylko dla połączeń z podsieci lokalnej np 192.168.1.0/24, by w sytuacji gdy jakiś host ma ręcznie wpisane IP publiczne to jego połączenia nie były natowane. Jeszcze idealniej byłoby wykluczenie czyli by NAT nie był nakładany jeżeli source jest 40.50.60.8/29, bo mogę mieć IP kilka podsieci prywatnych w VLANach. Drugie pytanie o serwer DHCP. Mam pulę 10.30.0.0/16 Jak zrobić by openwrt rozdawał IP od np 10.30.5.1 do 10.30.10.254, bo w openwrt nie widzę opcji IP startowego tylko offset startowy |
|
| Autor: | obsy [ 26 wrz 2023, 12:17 ] |
| Tytuł: | Re: Restrykcja dla NAT |
To pierwsze - robisz DNAT/SNAT na określony host w sieci po prostu. To drugie - nadal offset, tylko musisz sobie dać jako 1280 (czyli 5*256). Ciekawe jak to będzie działać, nigdy nie sprawdzałem dla tak dużej puli adresowej. |
|
| Autor: | shibby [ 26 wrz 2023, 12:33 ] |
| Tytuł: | Re: Restrykcja dla NAT |
Cytuj: nadal offset, tylko musisz sobie dać jako 1280 (czyli 5*256). też mi to przyszło do głowy. Ale dałem 255 i już DHCP nie rozdawał IPków :/ Zmieniłem na 254 i limit 1000 i rozdał mi bodaj 10.30.20.xxx więc to jakoś tak z rozmachem rozdaje  z DNAT/SNAT spróbuję |
|
| Autor: | obsy [ 26 wrz 2023, 17:29 ] |
| Tytuł: | Re: Restrykcja dla NAT |
Działa. root@MiFi:~# uci show network.lan network.lan=interface network.lan.device='br-lan' network.lan.proto='static' network.lan.ipaddr='192.168.0.1' network.lan.netmask='255.255.0.0' network.lan.ip6assign='60' network.lan.ipv6='0' root@MiFi:~# uci show dhcp.lan dhcp.lan=dhcp dhcp.lan.interface='lan' dhcp.lan.start='300' dhcp.lan.limit='150' dhcp.lan.leasetime='12h' dhcp.lan.dhcpv6='disabled' A w logach Thu Sep 21 01:17:40 2023 daemon.info dnsmasq-dhcp[1]: DHCP, IP range 192.168.1.44 -- 192.168.1.193, lease time 12h Siec ma 192.168.0.0/16 a zaczyna rozdawać od od 44, 256+44=300, czyli z takim offsetem. Tylko musisz pamiętać że dnsmasq jest wrażliwe jeżeli adres routera jest w puli rozdawanych adresów, więc lepiej zrobić go poza pulą. A tak jest dla 350 hostów: Thu Sep 21 01:26:29 2023 daemon.info dnsmasq-dhcp[1]: DHCP, IP range 192.168.1.44 -- 192.168.2.137, lease time 12h
|
|
| Autor: | shibby [ 28 wrz 2023, 11:17 ] |
| Tytuł: | Re: Restrykcja dla NAT |
u mnie router miał IP 10.30.0.2/16. Start dałem na 255 i limit 1000 i po zapisaniu zmian router przestał rozdawać IP - musialem wpisać sobie IP z palca bym mógł połączyć się do routera. Nie sprawdzałem w logach bo czas mnie gonił. Finalnie wróciłem do EdgeOS ale jak będę miał wolny router do zabawy to sprawdzę to raz jeszcze. |
|
| Strona 1 z 1 | Strefa czasowa UTC+1godz. |
| Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |
|