» »

Več IP naslovov

Več IP naslovov

luli ::

Dobil sem mail od AMISA z naslednjo vsebino : na njegov primarni IP 90.157.xxx.xxx dodatno usmerjamo se 212.xxx.xxx.xxx/29. Če na edinem portu na modemu nastavim IP:90.157.xxx.xxx (z ustreznim prehodom) dobim internet povezavo, če pa nastavim katerega iz območja 212.xxx.xxx.xxx (z ustreznim prehodom), pa povezave ni.

Torej kako uporabiti te druge ip naslove?

c3p0 ::

Routani so preko tega IPja, kar pomeni da mora bit aktiven. Probaj enega dodat na kak notranji PC, default route nastavit na ta IP in seveda izklopit NAT.

SeMiNeSanja ::

Ali pa na novo pridobljene IP naslove dodaj v routerju in jih preko NAT-a preusmerjaj naprej do internih mašin.

SeMiNeSanja ::

Tista stara IP adresa in GW morata ostati na routerju - to je tvoj 'povezovalni segment' preko katerega se preusmerja promet do novih IP adres.

Ne vem, kakšen router imaš, če je low-end, potem je vprašanje, če mu lahko dodaš nove IP adrese na WAN strani. V tem primeru boš moral postopati, kot ti je @Sago rekel - izklopi NAT (spet vprašanje, če ti to router omogoča). Istočasno pa ti izklop NAT-a lahko na glavo postavi konfiguracijo omrežja, kakršno si imel doslej.

Če imaš malo boljši router/firewall, pa lahko na WAN portu dodaš nove IP adrese, na notranji strani omrežja pa ne rabiš ničesar spreminjat.
Če si doslej uporabljal zgolj Amis-ov 'for free modem' kot router, potem bo morda čas, da začneš razmišljati o čem malo bolj zaresnem.

luli ::

Vse opisano sem že preizkusil. Glede na to, da mi je bilo dodeljeno 212.xxx.xxx.xxx/29 bi znotraj teh 6 ip naslovov moral vsaj en biti prehod. Torej v kolikor izberem enega (recimo srednjega) in nastavim masko bi se moral ping vračati iz enega izmed preostalih, saj bi ta moral biti prehod.

Ali sploh razmišljam prav?

SeMiNeSanja je izjavil:

Tista stara IP adresa in GW morata ostati na routerju - to je tvoj 'povezovalni segment' preko katerega se preusmerja promet do novih IP adres.

Ne vem, kakšen router imaš, če je low-end, potem je vprašanje, če mu lahko dodaš nove IP adrese na WAN strani. V tem primeru boš moral postopati, kot ti je @Sago rekel - izklopi NAT (spet vprašanje, če ti to router omogoča). Istočasno pa ti izklop NAT-a lahko na glavo postavi konfiguracijo omrežja, kakršno si imel doslej.

Če imaš malo boljši router/firewall, pa lahko na WAN portu dodaš nove IP adrese, na notranji strani omrežja pa ne rabiš ničesar spreminjat.
Če si doslej uporabljal zgolj Amis-ov 'for free modem' kot router, potem bo morda čas, da začneš razmišljati o čem malo bolj zaresnem.

Imam Mikrotika. Sem poskušal konfigurirati na njem, pa ne dela. Pa tudi direktno očitno ne.

Zgodovina sprememb…

  • spremenilo: luli ()

SeMiNeSanja ::

Jaz sicer nisem Mikrotik ekspert, ampak sem 100%, da se da zadevo na Mikrotiku 'spedenat' - that's what that puppy was made for!

S čem konfiguriraš Mikrotika? CLI/Web ali Win aplikacija?

Ali si morda izbrisal staro IP adreso, subnet in gateway, kar si prvotno imel? TO mora namreč ostati in predstavlja tvojo osnovno povezljivost.

Za ostalo, pa si malo poglej ta članek in si ga prilagodi tvoji konfiguraciji.

Bistvo je v tistih ukazih:
add address=xxx.xxx.xxx.xxx/yy interface="WAN - ether2"
S tem tvojemu WAN interface-u dodajaš nove IP adrese.

Poglej še naprej v članku, kako jih potem forwardaš...

Zgodovina sprememb…

Bakunin ::

luli je izjavil:

na njegov primarni IP 90.157.xxx.xxx dodatno usmerjamo se 212.xxx.xxx.xxx/29.


tisti /29 je torej ROUTAN in ni AKTIVEN na WAN.

Nekje pri sebi ga moras vpisati/aktivirati - kot DMZ ali kot proxy-arp ali kot ip alias na WAN iface,....

luli ::

Bakunin je izjavil:

luli je izjavil:

na njegov primarni IP 90.157.xxx.xxx dodatno usmerjamo se 212.xxx.xxx.xxx/29.


tisti /29 je torej ROUTAN in ni AKTIVEN na WAN.

Nekje pri sebi ga moras vpisati/aktivirati - kot DMZ ali kot proxy-arp ali kot ip alias na WAN iface,....

Zgleda, je rešitev v tej smeri. Lahko poveš kaj več?

SeMiNeSanja ::

@luli - pa si ti prepričan, da veš, kaj bi rad?

Če iz tistih navodil, ki sem ti jih v linku nalepil, do zdaj nisi uspel izluščiti kar potrebuješ za svojo mrežo, potem bo bolje, da to prepustiš nekomu, ki VE kaj dela.

Celo če bi eksperimentiral, bi moral to do zdaj že imeti poštimano.

luli ::

SeMiNeSanja je izjavil:

@luli - pa si ti prepričan, da veš, kaj bi rad?

Če iz tistih navodil, ki sem ti jih v linku nalepil, do zdaj nisi uspel izluščiti kar potrebuješ za svojo mrežo, potem bo bolje, da to prepustiš nekomu, ki VE kaj dela.

Celo če bi eksperimentiral, bi moral to do zdaj že imeti poštimano.


Seveda sem poskusil narediti kot si opisal. Do zdaj sem podobne zadeve (več IP naslovov) brez težav na Mikrotiku rešil za ostale providerje (Siol preko PPPoe in T-2). Za AMIS mi pa zadeva očitno ne uspe.

Ker kot sem očitno napisal routing ni moje osnovno področje sem za začetek poskusil (odstraniti) del opreme in sem na Modem dal navaden swichh, na katerem sta bila tudi dva računalnika.

Na prvem sem nastavil IP naslov 90.xxx.xxx.xxx in ustrezen prehod ter zadeva dela brez težav. Na drugega pa naslov iz segmenta 212.xxx.xxx.xxx ter ustrezen prehod, pa zadeva ne dela. No sedaj sem razumel, zakaj mi prej na routerju zadeva ni delovala.
Potem sem klical na Amis, ki mi je dodatne naslove odobril ter jih vprašal za pomoč. In odgovor njihovih tehnikov je bil, da oni nimajo pojma kako se to natančno nastavi, ter da se segment 212.xxx.xxx.xxx routa preko primarnega ip naslova 90.xxx.xxx.xxx.
No in ker (kot sem večkrat napisal nisem strokovnjak) pač prosim za pomoč. Odgovor
tisti /29 je torej ROUTAN in ni AKTIVEN na WAN.

Nekje pri sebi ga moras vpisati/aktivirati - kot DMZ ali kot proxy-arp ali kot ip alias na WAN iface,....

govori točno o tem, kar so govorili na tehnični pomoči.
Mimogrede sem za pomoč zaprosil dve firmi v MB (sami pravijo, da so strokovnjaki) pa mi do sedaj niso znali pomagati.

OmegaBlue ::

Načeloma na hitro, ker ne vem kako imaš MT nastavljen. Na en switchport, izloči ga iz raznih switch group ali bridge portov, pod IP - addresses mu samo nastavi tvoj novi segment torej 212.xxx.xxx.xxx/29 na eth-3 recmo. Po IP-routes bi se ti moglo dodati dinamično pravilo in v kolikor imaš definirano default ruto (0.0.0.0/0) na gateway v 90.xx segmentu je to to. Potem vštekaš mašino (ali switch) v eth3 nastaviš en ip iz segmenta in kot gateway dodaš IP, ki si ga določil eth3.


V Ip - firewall poglej da imaš za segment med prvimi pravili (pred drop) nastavljen segment 212.xx kot allow forward.

To je za začetek vse kar rabiš. Po tem greš lahko na bolj kompleksno kofiguracijo.
Never attribute to malice that which can be adequately explained by stupidity.

luli ::

Hvala!

Bom poskusil v ponedeljek (da se ne bi po nepotrebnem vozil v mb, da vrnem nastavitve nazaj).

SeMiNeSanja ::

Pri teh zgodbah z dodatnimi IP adresami /segmentom adres imaš vedno dva možna scenarija:

a) adrese/segment dodeliš nekemu od notranjih interace-ov in preko default route, brez NAT-a omogočiš promet z zunanjim svetom (OmegaBlue verzija)

b) adrese / segment dodaš kot dodatne adrese (/add address.....) zunanjemu interface-u in potem preko SNAT pravil preusmerjaš promet, ki do teh naslovov prihaja naprej, na neke privatne IP naslove na notranji strani routerja (my favorite).

Opcija A ti 'zacementira' uporabo novih naslovov na nek kvazi DMZ, ki ga ustvariš na enem od portov, medtem ko imaš pri opciji B več svobode pri odločanju, kam boš prepošiljal promet, ki bo prihajal na določeno IP adreso in port.
Tako lahko npr. eno in isto javno IP adreso uporabiš za SMTP in WWW server, čeprav se fizično dejansko nahajata na povsem drugih internih mašinah (IP naslovih). Če crkne SMTP server in aktiviraš nekega začasnega, ta ne rabi biti na isti IP adresi kot stari, temveč popraviš SNAT pravilo za port 25 in dejansko 'preusmeriš' promet na začasni strežnik, medtem pa popravljaš starega.

Vsakdo ima pač svoje preference, navade in način pristopanja k reševanju teh 'težavic'. Meni je bolj všeč fleksibilnejša verzija, kot tista 'harcore' varianta.
Po drugi strani, pa se z IPv6 'harcore varianti' ne bo tako lahko ogniti.

Bistveno je da RAZUMEŠ za kaj se gre pri eni in drugi varianti. Brez razumevanja, ti bo nastavljanje zagotovo nekje sodletelo. Je pa lahko še en catch pri Mikrotik-ih...ker očitno izklapljanje NAT-a ni nujno povsem trivialna zadeva (sta mi nazadnje dva fanta to dva dneva čarala, predenj sta zrihtala). Nekaj je bilo govora o nekem bug-u v firmware-u, in nevem kaj še. Kot rečeno, nisem ekspert za Mikrotika, pa ti lahko samo 'konceptualno' namignem o možnih smereh reševanja problema in zakaj ena ali druga smer.

Se mi pa zdi dejansko žalostno, da pri providerju nimajo enega 'mojstra', ki bi jim spisal 'cookbook' oz. How-To za npr. 5 najpogostejših usmerjevalnikov, ki so pri nas v uporabi. Mikrotik bi zagotovo bil med njimi.

Bakunin ::

SeMiNeSanja je izjavil:

Se mi pa zdi dejansko žalostno, da pri providerju nimajo enega 'mojstra', ki bi jim spisal 'cookbook' oz. How-To za npr. 5 najpogostejših usmerjevalnikov, ki so pri nas v uporabi. Mikrotik bi zagotovo bil med njimi.


Za nekoga, ki je sam zahteval dodatne IP naslove, se pac pricakuje, da ve kaj dela.

WAN - 90.x
LAN - 212.x

LAN se mu ROUTA na 90.x naslov. Kaj naprava na WAN naredi s tem paketom, pa ni vec stvar ISP, amapk uporabnika.
lahko da 212.x na DMZ iface, ali na LAN iface, ali v proxy-arp, lahko da 2x /30 na LAN in DMZ,....




Evo - v slovenscini:

ftp://ftp.scv.si/vss/ms/iztok_fister/RKO-2/Vodnik%20v%20TCP-IP-II.pdf

stran 14

1.2.5 Usmerjanje IP

Pomembna funkcija plasti IP je usmerjanje, ki določa osnovni mehanizem povezovanja
različnih fizičnih omrežij z usmerjevalniki. Vsak gostitelj IP lahko poleg svojega
normalnega dela opravlja istočasno tudi funkcijo usmerjanja (angl. IP forwarding).
Obstajata dve vrsti usmerjanja IP: neposredno in posredno.

Neposredno usmerjanje

Če sta tako ponorni kot izvorni gostitelj priključena na isto fizično omrežje, lahko
pošljemo datagram IP neposredno naslovniku. Ta način neposredne komunikacije
imenujemo tudi neposredno usmerjanje.

Posredno usmerjanje

Posredno usmerjanje nastopa, ko ponorni in izvorni gostitelj nista neposredno povezana
na isto omrežje. Edina pot, kako doseči naslovnika na drugem omrežju, je prek enega ali več
usmerjevalnikov. Naslov prvega izmed usmerjevalnikov (prvi skok, angl. hop) s
stališča algoritma za usmerjanje IP imenujemo posredni prehod. Ta naslov je
tudi edina informacija, ki jo potrebuje izvorni gostitelj. Tudi v primeru, da je na
istem omrežju definiranih več podomrežij, potrebujemo za paket, ki potuje skozi razli
čna podomrežja, posredno usmerjanje

Zgodovina sprememb…

  • spremenil: Bakunin ()

SeMiNeSanja ::

Bakunin je izjavil:

SeMiNeSanja je izjavil:

Se mi pa zdi dejansko žalostno, da pri providerju nimajo enega 'mojstra', ki bi jim spisal 'cookbook' oz. How-To za npr. 5 najpogostejših usmerjevalnikov, ki so pri nas v uporabi. Mikrotik bi zagotovo bil med njimi.


Za nekoga, ki je sam zahteval dodatne IP naslove, se pac pricakuje, da ve kaj dela.

Ravno obratno - kot provider moraš pričakovati, da boš naletel (tudi) na uporabnike, ki nimajo pojma o pojmu. Uporabnike, ki so nekje prebrali, da je Mikrotik najboljše, kar dobiš za 'mali denar', ki jim je nekdo rekel, da za RDP dostop do več računalnikov potrebujejo več javnih IP adres, o samem mreženju pa nimajo blage veze.

Že res, da so to bolj izjeme kot pravilo, ampak pripravljen moraš bitit tudi na takšne.

SaXsIm ::

Morda. Nikjer pa ne piše, da jim te storitve ne sme zaračunati. Čeprav si težko predstavljam, da bi uporabnik vedel in razumel, zakaj rabi več IP naslovov, ne bi pa znal tega skonfigurirati.
SaXsIm

SeMiNeSanja ::

SaXsIm je izjavil:

Morda. Nikjer pa ne piše, da jim te storitve ne sme zaračunati. Čeprav si težko predstavljam, da bi uporabnik vedel in razumel, zakaj rabi več IP naslovov, ne bi pa znal tega skonfigurirati.

Tipičen primer, ko neuki uporabniki 'rabijo več IP naslovov', je dostop do računalnikov preko RDP. Marsikdo namreč za VPN še ni slišal, če pa že je, pa nima pojma, kako to dejansko izgleda in kaj se s tem 'da početi'.
Da je skrajno nepriporočljivo imeti odprte RDP porte, pa jih še manj ve....

OmegaBlue ::

Takšnim se ponavadi ne dodeli ekstra IP, vsaj sedaj, ko alokacij ni več so utemeljitve tega prokleto pomembne.
Never attribute to malice that which can be adequately explained by stupidity.

Bakunin ::

Bakunin je izjavil:

...potrebujejo več javnih IP adres, o samem mreženju pa nimajo blage veze.

Že res, da so to bolj izjeme kot pravilo, ampak pripravljen moraš bitit tudi na takšne.


Saj so - vsak ISP ima eno sekcijo, ki se ji reče CENIK.
Tam si lahko zracuna koliko ga to stane.


Ali ima čas ali denar.

Čas da se sam nauči ali pa denar da nekomu plača, da naredi zanj.

Zgodovina sprememb…

  • spremenil: Bakunin ()

SeMiNeSanja ::

Učenje je lahko zelo draga zadeva, sploh če se učiš na napakah.....

Bakunin ::

zato pa je Internet poln gradiva, kjer se SAM naucis kako se stvari streze.

luli ::

Težava je bila pri Amisu - odpravljeno.
Vsem ukim uporabnikom se zahvaljujem.

Zgodovina sprememb…

  • spremenilo: luli ()

SeMiNeSanja ::

Pa ne, da je nek brihtnež pozabil vpisati routo?

luli ::

SeMiNeSanja je izjavil:

Pa ne, da je nek brihtnež pozabil vpisati routo?

Ja, ampak vseeno hvala. Uporabljajo res SNAT (ki ga do danes nisem nikoli konfiguriral).

Drugače pa rabimo dva dodatna IP naslova in sicer:
1. Hočemo vse obiskovalce (ki jim omogočamo Wireless, in ki jih je veliko) prestaviti na ločeno omrežje.
2. Postaviti testni strežnik (Win 2008), katerega servisi (Windows service) se redno nadgrajujejo in komunicirajo preko TCP protokola.

Zaradi omenjenega smo pač hkrati z menjavo internetnega ponudnika hkrati zaprosili za nove naslove.


Kot sem zapisal, mi ni bilo težko narediti
1. običajnega NAT-a,
2, zapore porta 25 razen za mail server,
3. in preusmeritev portov FTP, HTTP,... na strežnik
4. ter osnovnega pravila za požarni zid.

Z SNATom pa sem se srečal prvič.

In strinjam se, da bi bilo možno vse to doseči z enim naslovom. Ampak zakaj bi?

Zgodovina sprememb…

  • spremenilo: luli ()

SeMiNeSanja ::

Kakšnih 20 let nazaj mi je provider pozabil vnesti routo.

Takrat sem za router postavil FreeBSD in stvar nikakor ni delala - oz. je delala za par minut, potem pa padla.
Mi provider nakvasi, da to pa pod Linuxom (takrat še razmeroma noviteta) krasno dela.... Grem podret FreeBSD, inštaliram Linux.... ista zgodba.

Študiral in tuhtal, kaj delam narobe....dokler se enkrat ne spomnim, da vprašam providerja, če je res ziher, da mi je vpisal routo.....

Shit happens....

Bakunin ::

pppoe ali p2p ?

SeMiNeSanja ::

Bakunin je izjavil:

pppoe ali p2p ?

To mene sprašuješ? Slip over leased line (če se ne motim). Lahko pa je tudi že bil PPP ampak mislim, da ne.

čuhalev ::

Po koliko pa slovenski ISP v povprečju zaračuna dodatne IP naslove? Verjetno je potrebno imeti poslovni paket, ker so vsi ponudniki preventivno cepljeni, da dodatne IP naslove potrebujejo le pravne osebe.

luli, nam poveš koliko stane /29 na dvajset evrov natančno. ;)

Zgodovina sprememb…

  • spremenil: čuhalev ()

SeMiNeSanja ::

Takointako ne 'kupiš' dodatne naslove, ampak ti jih zgolj posodijo.

Nekoč davno, se je še dalo dobit 'lastniške' IP naslove (Provider Indepenent - PI adrese), in to kar zastonj. Te so se talale kar po /24. Res škoda, da se nisem takrat zagrebel za en tak paketek. Danes bi bil zlata vreden.

Večinoma providerji 'posodijo' IP adrese poslovnim uporabnikom brez da bi kaj posebej zaračunavali. Zagotovo pa tudi imaš kakšno izjemo.

Načeloma ne vidim razloga, zakaj naj fizična oseba nebi mogla zaprositi za dodatne IP naslove, in jih tudi dobiti dodeljene, če zna svojo potrebo dobro utemeljiti pravi osebi. Kar tako malo za hec, pa še poslovnim uporabnikom ne marajo dodeljevati dodatnih naslovov.

Lahko se pa greš IPv6, pa boš imel naslovov polno vrečo. Samo žal bodo dosegljivi samo tistim, ki tudi imajo IPv6....

luli ::

čuhalev je izjavil:

Po koliko pa slovenski ISP v povprečju zaračuna dodatne IP naslove? Verjetno je potrebno imeti poslovni paket, ker so vsi ponudniki preventivno cepljeni, da dodatne IP naslove potrebujejo le pravne osebe.

luli, nam poveš koliko stane /29 na dvajset evrov natančno. ;)

Izpogajali smo paket 100/100 na optiki + ip telefonija, mislim da 17 številk. Dod. naslovov ne plačujemo.

Bakunin ::

glede na to, da se IPv4 na "trgu" prodajajo po cca 10€/IP v paketih po najmanj /24, se bodo pričeli dodatni IPv4 računati...

Saj lahko sedaj tudi dobiš lasten IPv4, ampak je dražje:

A) postaneš LIR in plačaš cca 1300 vstopnih stroškov + 1300 vsako leto > dobiš /22 IPv4

B) postaneš PI, vzameš samo IPv6 - letno plačaš cca 100e in kupiš en /24 Ipv4 na trgu = 2560E enkratni strošek


tako da > IPv6. do it.

Bakunin ::

SeMiNeSanja je izjavil:

Lahko se pa greš IPv6, pa boš imel naslovov polno vrečo. Samo žal bodo dosegljivi samo tistim, ki tudi imajo IPv6....



v ZDA je to ze vec kot 21% vseh UPORABNIKOV [ https://www.vyncke.org/ipv6status/ ]

nekje je treba zaceti.

Luli / Amis ima tudi IPv6. naj ti ga dajo pa nastavi...

SeMiNeSanja ::

Da zadeva z IPv4 ni več hec, se lahko vidi tudi po tem, da providerji poslovnim strankam, ki želijo več IP naslovov dodeljujejo zdaj tudi že naslove, ki so iz različnih koncev nekega IP range-a. Nič /29 ampak eden po eden, npr. xxx.xxx.xxx.123, xxx.xxx.xxx.154, xxx.xxx.xxx.162,....
Imam ravno danes opravka z enim takšnim uporabnikom.

čuhalev ::

luli je izjavil:

čuhalev je izjavil:

Po koliko pa slovenski ISP v povprečju zaračuna dodatne IP naslove? Verjetno je potrebno imeti poslovni paket, ker so vsi ponudniki preventivno cepljeni, da dodatne IP naslove potrebujejo le pravne osebe.

luli, nam poveš koliko stane /29 na dvajset evrov natančno. ;)

Izpogajali smo paket 100/100 na optiki + ip telefonija, mislim da 17 številk. Dod. naslovov ne plačujemo.

Za ni mi vo. :D

Koliko pa sedaj plačujete za to?

Ena možnost, ki jo vidim za dodatne IP je nakup VPS v tujini in potem VPN. Ping bo seveda višji.

Bakunin ::

tujina ŽE zaračunava dodatne IPv4 naslove. Ne vem zakaj bi šel iz dežja pod kap. :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

[Router] Kako forwardirat oz. odpret porte (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Omrežja in internet
372340639 (41095) ignats
»

Povezava 3 ruterjev linksys wrt54gl

Oddelek: Pomoč in nasveti
151945 (1560) Bakunin
»

Ruter z 4x1Gbps LAN porti in VPN podporo (strani: 1 2 )

Oddelek: Kaj kupiti
868115 (6871) levaky
»

Kako v linuxu naštimat dva IP naslova na eni mrežni karticikartici?

Oddelek: Operacijski sistemi
71263 (1172) Bakunin
»

Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?

Oddelek: Omrežja in internet
262387 (1753) pecorin

Več podobnih tem