Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Veřejnost / Všeobecná diskuse / Server za Turrisem
- - Od czjohn Dne 2015-07-28 18:08
Dobry den,
chtel bych se zeptat zda bude mozne na Turrisu nakonfigurovat pristup z verejne site k serveru schovanym za Turrisem? Mam na mysli staticky NAT, kdy bych server pripojil k LAN interface Turrisu, priradil mu statickou privatni IP a z rozsahu verejnych adres na WAN rozhrani mu nastavil staticky preklad z privatni IP na verejnou IP?
Diky za odpoved,
Honza
Nadřazený - Od horada (>) Dne 2015-07-28 19:07
Celkem určitě, Turris OS (tedy systém který běží na Turrisu) je postaven na OpenWRT a tedy v téměř vše co jde nastavit na OpenWRT (a potažmo i na obecně na Linuxu) půjde nastavit i na Turrisu...
Nadřazený - - Od CIJOML (>) Dne 2015-07-29 07:55
Hledej DMZ pripadne jestli to budes konfigurovat rucne tak DNAT SNAT
Nadřazený - Od czjohn Dne 2015-07-29 08:01
Ok, dekuju za odpoved. Zitra vyzvednu router a vyzkousim zda se mne podari nastavit pozadovanou funkcionalitu.
Honza
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-07-29 08:19
Postup je například zde: http://wiki.openwrt.org/doc/howto/port.forwarding
Nadřazený - - Od CIJOML (>) Dne 2015-07-30 15:52
Myslim ze nechce portforward ale smerovat primo IP adresu tzn jednu verejnou ma router druhou ma server
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-07-30 16:03
Aha, tak to jsem přehlédl. Tohle samozřejmě půjde zařídit kombinací SNATu, DNATu a přidáním další IP adresy na WAN rozhraní, ale úplně mi uniká smysl takového opatření. Celý systém se tím jen zbytečně komplikuje. Lepší je překonfigurovat switch, aby provoz z WAN rozhraní procházel přímo k serveru.
Nadřazený - - Od CIJOML (>) Dne 2015-07-31 06:54
pri SNAT/DNAT nemusis ani na rozhrani aliasovat dalsi IP to udela IP stack sam
Nadřazený - - Od czjohn Dne 2015-08-02 12:45
Ahoj,
zkousel jsem ruzna nastaven v Luci a nakonec jsem si vytvoril nove rozhrani WAN2 na fyzickem rozhrani eth2 s druhou verejnou IP
WAN - x.x.x.108
WAN2 - x.x.x.109
Takze nyni mam obsazeny dve verejne IP.
Zajimavy je ze v prehledu rozhrani vidim u WAN vedle pole IPv4 jak x.x.x.108 tak x.x.x.109

Dale jsem si presmeroval port x.x.x.109 na jednu konkretni privatni IP y.y.y.2   ve vnitrni siti. Ping funguje bez problemu, kdyz z venku pingnu na x.x.x.109 vidim ve wiresharku na stroji y.y.y.2 v privatni siti, ze prichazeji ICMP zpravy. Co mne vsak zarazi je, ze kdyz odpojim hosta y.y.y.2 a provedu ping z privatni site (WiFi) na x.x.x.109 tak se mne vraci echo-reply.

V konfiguraci Turrisu je spousta promennych, jsem z toho trosku na vetvi.
Honza
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-08-02 14:03
Zřejmě to přesměrování platí jen pro provoz z WAN strany, takže provoz z LAN rozhraní končí na Turrisu. Jak jsem psal, mnohem jednodušší bude v tomto případě překonfigurovat switch tak, aby daný server byl přímo připojen k WAN rozhraní.
Nadřazený - - Od czjohn Dne 2015-08-02 15:04
Ahoj,
uplne nerozumim jak mne konfigurace VLAN pomuze k "sparovani" verejne IP na WAN interface a serveru.
Nepomohlo by nadefinovat v "etc/config/firewall" presmerovani z privatni IP serveru na konkretni verejnou IP x.x.x.109?

etc/config/firewall
config zone
<------>option name 'wan2'
<------>option input 'ACCEPT'
<------>option output 'ACCEPT'
<------>option network 'WAN2'
<------>option forward 'ACCEPT'
<------>option family 'ipv4'
config forwarding
<------>option dest 'lan'
<------>option src 'wan2'
config forwarding
<------>option dest 'wan2'
<------>option src 'lan'
config redirect
<------>option enabled '1'
<------>option target 'DNAT'
<------>option dest 'lan'
<------>option dest_ip '10.0.0.2'
<------>option proto 'tcp udp icmp'
<------>option src 'wan2'
<------>option src_dip 'x.x.x.109'
<------>option name 'WAN2to10_0_0_2'

etc/config/network
config interface 'WAN2'
        option proto 'static'
        option ifname 'eth2'
        option ipaddr 'x.x.x.109'
        option netmask '255.255.255.248'
        option gateway 'x.x.x105'
        option dns 'y.y.y.y z.z.z.z'
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-08-03 08:03

> uplne nerozumim jak mne konfigurace VLAN pomuze k "sparovani" verejne IP na WAN interface a serveru.


Je to jednoduché. Když chcete mít server dostupný na veřejné adrese, tak ho prostě k té veřejné síti připojte a veřejnou adresu mu přidělte. Dávat mu privántní adresu a všechno na ni překládat všechno jen komplikuje bez jakékoli přidané hodnoty.

Pokud se ale chcete dobrovolně trýznit zbytečným dvojím překladem v Turrisu, myslím, že ke kýženému efektu dojdete pokud z vámi uvedeného výpisu z konfigurace redirect vypustíte řádek:

> <------>option src 'wan2'


Také asi není úplně žádoucí u interface wan2 nastavovat položky gateway a dns, tyto informace by pro každé připojení měly být uvedeny právě jednou.
Nadřazený - - Od czjohn Dne 2015-08-03 08:47
Takto to mam v soucasnem stavu, mezi serverem a ISP je switch, mam masku /29 takze verejnych adrest mam dostatek. Na tento switch je take pripojen Turris.
V soucasnosti server slouzi jako firewall a prochazi pres nej veskery provoz.
Ja bych chtel server presunout, az za Turris, tak abych mohl monitorovat odchozi provoz.
K serveru je potreba zachovat pristup z verejne site protoze na nem bezi FTP server a obcas je k nemu treba pristoupit i pomoci RDP, a snad jeste nejake dalsi sluzby.

Je to sice prasarna mit za jednim firewallem druhy firewall (a samotna architektura takove site je prinejmensim dost pochybna), ale rad bych videl jak se Turris bude chovat v zatezi provozu od cca 35 uzivatelu.
Honza
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-08-04 10:02
A nešlo by se domluvit s ISP, aby vám tu /29 na Turris naroutoval? Pak byste mohl v Turrisu založit jednu samostatnou podsíť s veřejnými adresami, kam byste server zapojil. Tohle už jsme tu kdysi dávno řešili.
Nadřazený - Od czjohn Dne 2015-08-04 10:13
To je dobra myslenka. Vyzjistim u sveho ISP.
Honza
Nadřazený - - Od maxsteel00 Dne 2015-08-04 09:20
Abych nemusel zbytečně zakládat nové téma. Mám jednu veř. IP adresu a chtěl bych na ní mít server (tedy věř. nasměrovanou přímo na server), který by byl izolovaný od zbytku sítě (tak abych na něj já z vnitřní sítě viděl, ale on ne). Šlo by to nějak udělat? S WRT nejsem úplný kamarád a se síťařinou taky moc zkušeností nemám. Pokud by se tu našla hodná duše, která by mi to nějak po lopatě sepsala, byl bych moc vděčný. Díky
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-08-04 09:59
Rozumím dobře, že také máte jednu veřejnou adresu navíc k veřejné adrese pro router?

Pokud ano, nevymýšlejte komplikace a zapojte server přímo do veřejné sítě před routerem. Dosáhnete přesně toho, co si přejete, adresa bude nasměrovaná přímo na server, ten bude izolovaný od zbytku sítě, vy ho z vnitřní sítě uvidíte.
Nemáte-li k dispozici switch, můžete překonfigurovat ten v Turrisu tak, aby propojoval dvě zásuvky přímo mezi sebou.
Nadřazený - - Od maxsteel00 Dne 2015-08-04 12:46
Naopak. Mám pouze jednu veř. IP adresu, kterou bych chtěl rovnou nasměrovat na server. Nechci přídávat další zař. (resp. mi to prostory ani moc nedovolují), takže by bylo nejlepší překonfigurovat právě přímo turris, s čímž bych potřeboval pomoci (nebo nějak nakopnout). Zatím díky :-)
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-08-04 13:00
Pokud máte jenom jednu adresu, pak musíte přesměrovat pouze nějakou část portů na počítač v síti za Turrisem, to se dělá pomocí přesměrování portů: http://wiki.openwrt.org/doc/howto/port.forwarding
Nahoru Téma Veřejnost / Všeobecná diskuse / Server za Turrisem

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill