Port tovabbitas beallitasa Mikrotik routeren CGNAT mogul

 ( levimester | 2018. április 12., csütörtök - 19:02 )

Kedves Mindenki!

Port tovabbitas beallitasaban szeretnek segitsegek kerni egy otthoni Mikrotik RB951G-2Hnd routeren.
Ugy tunik, hogy a Mikrotik router egy Carrier Grade NAT (CGN) mogott van. A Mikrotik router Internet IP cime 100.64.0.0/10 tartomanybol van, viszont ha egy bongeszoben megnezem a publikus IP cimemet, akkor valami teljesen mast latok.

Egy kis guglizas utan eljutottam idaig: https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Source_NAT
Az utolso resz szol a Carrier-Grade NAT-rol, de nem igazan tudtam ezeket a beallitasokat a routeremen alkalmazni.

A DDNS funkciot is sikerult bekapcsolni a Mikrotik routeren, de ez sem mukodik rendesen, ezt a hibauzenetet dobja:
DDNS server received request from IP X.X.X.X but your local IP was 100.64.X.X; DDNS service might not work.

Tudna valaki segiteni abban, hogy hogyan tudnam elerni a router-emet az otthoni halazaton kivulrol?
Elore is koszi a segitseget.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Először is kérd meg a szolgáltatódat, hogy adjon a hozzáférési pontodnak publikus tartományból IP címet. CG-NAT mögött ez nem fog menni.

100.64.0.0/10 nem publikus ip, hanem a cgnat altal hasznalhato "megosztott" ip tartomany, gyakorlatilag olyan, mint ha 192.168.0.0/24-ben lennel
ha diginel vagy, akkor ugy tudom a support tud adni rendes ip-t

--
NetBSD - Simplicity is prerequisite for reliability

+1

Mindenkinek adnak, aki panaszkodik.

Kár, hogy az IPv6 nem akar elterjedni, helyette CGN-nel próbálja a világ átvészelni az egyre fogyó IPv4 címeket és végülis az internetezők szívnak vele, miután ez nem megy, az nem megy, ...

Amíg van választásod és kérésre adnak, addig nincsen ezzel probléma, szerintem. A mai internet használók 99,99%-ának tökéletesen megfelel a CGNAT-olt szolgáltatás.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Es igy IPv4 cim is annyi felszabadul, hogy mindig lesz eleg :)

Torrentezőknek is? (azok kicsit több, mint 0.01% szerintem)
Sosem használtam, így fogalmam sincs, hogy valójában működik-e ebben a felállásban.

miota is tartozik a "normal" internetforgalomba?

Magyarorszagon? Miota elerheto a protokoll..:D

Miért ne tartozna oda?
Gondolom, neked még annyi fogalmad sincs a torrentről, mint nekem.
Pl. ubuntu image-eket is terjesztenek rajta.
Arról nem beszélve, hogy kis hazánkban a lelkes jogvédők oly sikerrel terrorizálják a számítógéphasználókat, hogy minden adathordozóra adót kell fizetni a rajta tárolt "illegális" tartalom miatt -> letöltés és újabban a nem üzletszerű publikálás is legális. (a letöltésben biztos vagyok, a terjesztésben nem teljesen, de asszem, itt a hupon írta valaki, mikor azt mertem mondani, hogy csak a letöltés van legalizálva)

Normál internet forgalom IP cím --> IP cím között tetszőleges unicast protokoll.
Lásd:
$ less /etc/protocols

Külön kiemelném a 93-ast. :)

Sajnos tény, hogy sokaknak jobb esetben a http,

rosszabb esetben

a facebook jelenti az össz internetet.

De ettől még normál internetes felhasználásnak az első mondatomban írt az elvárás. Ha AX.25 kereteket akarok átvinni proto 93-mal, akkor a normális internet az RFC-ben leírtak szerint arra alkalmas.

Valamit nem értek.
Ez a valami lehet az, amit írtál vagy az, hogy miért nekem. :)

OK, a százalék persze sántít (OK, legyen csak 95%!), de valójában arra akartam utalni, amire te is: Átlag Pistának kb. Internet == Facebook - az meg tökéletesen megy CGNAT-on

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ameddig nincs publikus IP címed és nem férsz hozzá a natolást végző eszközhöz, akkor kb. abból tudsz tudsz választani, hogy:
-a mikrotikről vpn egy külső helyre, ahonnan a vpn-en keresztül be tudsz jönni, vagy
-a mikrotik helyi hálózatán levő gépen valamilyen remote desktop / teamviewer jellegű alkalmazás.

--
http://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

Koszonom a valaszokat, felveszem a kapcsolatot a vidanettel.

Náluk elég könnyen ment egy pár hónappal ezelőtt. A weboldaluk ügyfélszolgálat/kérdés menüjében írtam nekik este, másnap hívtak, hogy elintézték, 3 órán belül megújul az IP címem.

Igen, hip-hop megcsinaltak, meg hetvegen is.
Meg volt egy ilyen alapbeallitas a router-ban, hogy defconf: drop all from WAN
ezt disabled-re tettem es igy szepen mukodnek a port tovabbitasi szabalyok.
Koszonom a segitseget mindenkinek!

A te helyedben visszakapcsolnám azt a drop all from WAN-t, és elé tennék olyan szabályokat, ahol kizárólag azokat a portokat engedném, amire tényleg szükség van (sőt, ha lehet forrás IP-re korlátozni a portok elérését, akkor még jobb lenne...)

--
http://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

Egy ilyen alapbeallitas van most ervenyben: defconf: drop all from WAN not DSTNATed
Szerintem ezzel jo vagyok, vagy nem?