Sonera ADSL IP-osoitteet
Kimmo Tuomi
ongelman kanssa:
Koti-Intranetissäni on käytössä IP-avaruus 192.168.1.0/27. Internet
yhteyteni on otsikon mukaisesti Soneran ADSL, nopeudeltaan 2048/512. Tästä
yhteydestä saa napattua julkiset dynaamiset osoitteet verkossa oleville
koneille, mikäli ADSL-modeemi on sillatussa tilassa. Nyt ajan kuitenkin
sisäverkon koneita edelleen privaatti-osoitteilla ja ADSL-modeemilla on yksi
IP, johon yhteydet Internettiin NATataan.
Tahtoisin kuitenkin tehdä niin, että jokin purkki (ADSL, PC, whatever) hakee
itselleen kaikki saatavilla olevat viisi kappaletta IP:itä itselleen
DHCP:stä ja määritysten mukaisesti NATtaa niitä sitten staattisesti jotenkin
näin:
80.222.xxx.aaa <---> 192.168.1.aaa
80.222.xxx.bbb <---> 192.168.1.bbb
80.222.xxx.ccc <---> 192.168.1.ccc
80.222.xxx.ddd <---> 192.168.1.ddd
80.222.xxx.eee <--- 192.168.1.kaikki.muut.osoitteet, ns. "overload"
...eli portteja ei tarvitse aukoa Internettiin päin päästäkseen sieltä
suoraan läpi johonkin koneeseen sisäpuolella.
MITEN tämän saisi tehtyä? Ehdotuksia, ideoita, mitä vain? Olen tutkinut
asiaa aina energiapuuskan saatuani ja aina törmään samaan ongelmaan eli ei
onnistu!
-kt
JL
> MITEN tämän saisi tehtyä?
Minusta NAT:n teko on turhaa, jos halutaan portteja auki.
Näille avoimille koineille esim. jokin softa-palomuuri
ja ne hakevat DHCP:llä oman julkisen osoitteen suoraan
itselleen. Sitten tarvitaankin vain se NAT purnukka, jonka
taakse oma privaattiverkko ja N kappaletta koneita...
Selvittääköhän oheinen kuva asiaa? Ethernet kytkintä
tarvitaan vaan jos kaikkia haluttuja laitteita ei
saada liitettyä suoraan ADSL-modeemiin.
Kaikkien omien koneiden pitäisi päästä liikennöimään
keskenään kyvassa olevan Ethernet-kytkimen kautta, mikäli
DHCP:llä jaetut osoitteet kuuluvat samaan IP-lohkoon,
joten koneiden välinen liikenne ei kuormita ADSL-yhteyttä.
---------------- -------------- -------------- (
---| ADSL-modeemi |------| ETH kytkin |------| NAT tölkki |----( NAT verkko
| (silta) | |------------- | (Linux ?) | (
---------------- | | | | --------------
| | | |
PC PC PC PC (<- näissä DHCP ja julkinen IP)
--
Juha
Pasi Lahtinen
>
> Tahtoisin kuitenkin tehdä niin, että jokin purkki (ADSL, PC, whatever) hakee
> itselleen kaikki saatavilla olevat viisi kappaletta IP:itä itselleen
> DHCP:stä ja määritysten mukaisesti NATtaa niitä sitten staattisesti jotenkin
> näin:
>
> 80.222.xxx.aaa <---> 192.168.1.aaa
> 80.222.xxx.bbb <---> 192.168.1.bbb
> 80.222.xxx.ccc <---> 192.168.1.ccc
> 80.222.xxx.ddd <---> 192.168.1.ddd
> 80.222.xxx.eee <--- 192.168.1.kaikki.muut.osoitteet, ns. "overload"
Snapgear osaa tehdä tuon ainakin kiinteillä osoitteilla, mutta yhdelle
laitteelle (=yksi mac-osoite) on hieman hankala hakea useampaa
ip-osoitetta dhcp:llä. Etsiminen kannattaa aloittaa laitteista, joille
voi hakea viisi osoitetta dhcp:llä. Layer-2 palomuureista saatat löytää
sopivampia ratkaisuja, kun operaattorin dhcp-palvelin jakelee aidosti
osoitteet ja sitten palomuurissa kikkailet "dmz"-koneisiisi suoran
yhteyden.
Snapgear ohje:
http://www.snapgear.com/faqomatic/public_html/fom-serve/cache/116.html
Pasi
Ari Laitinen
"Kimmo Tuomi" <kimmo...@not.for.public.eyes> kirjoitti viestissä
news:bi4v29$3jg$1...@phys-news1.kolumbus.fi...
> Tahtoisin kuitenkin tehdä niin, että jokin purkki (ADSL, PC, whatever)
hakee
> itselleen kaikki saatavilla olevat viisi kappaletta IP:itä itselleen
> DHCP:stä ja määritysten mukaisesti NATtaa niitä sitten staattisesti
jotenkin
> näin:
Laitat ADSL modeemin siltaavassa tilassa ja sen perään viisi palomuuria
rinnakkain. Nyt voit määrittää jokaiselle palomuurille omat LAN osoitteet
haluamallasi tavalla eli päällekkäiset virtuaaliset verkot ja vain tuolle
overloadille laitat DHCP palvelun päälle.
Nyt sinulla on käytettävissäsi viisi gateway osoitetta (palomuurien LAN
IP:t) ja voit valita kunkin tietokoneen käyttämään sitä gatewaytä, jota
haluat yksinkertaisesti säätämällä verkkoasetuksia. Jos et säädä mitään
gateway osoitetta niin liikenne ohjautuu automaattisesti tuolle viimeiselle
DHCP palvelin laitteelle.
Juha Laiho
>Kimmo Tuomi wrote:
>>
>> Tahtoisin kuitenkin tehdä niin, että jokin purkki (ADSL, PC, whatever) hakee
>> itselleen kaikki saatavilla olevat viisi kappaletta IP:itä itselleen
>> DHCP:stä ja määritysten mukaisesti NATtaa niitä sitten staattisesti jotenkin
>> näin:
>>
>> 80.222.xxx.aaa <---> 192.168.1.aaa
>> 80.222.xxx.bbb <---> 192.168.1.bbb
>> 80.222.xxx.ccc <---> 192.168.1.ccc
>> 80.222.xxx.ddd <---> 192.168.1.ddd
>> 80.222.xxx.eee <--- 192.168.1.kaikki.muut.osoitteet, ns. "overload"
>
>Snapgear osaa tehdä tuon ainakin kiinteillä osoitteilla, mutta yhdelle
>laitteelle (=yksi mac-osoite) on hieman hankala hakea useampaa
>ip-osoitetta dhcp:llä.
Ei se DHCP onneksi ole MAC-osoitteeseen sidottu, vaan client-identifieriin,
joka on vapaavalintainen. Oletuksena client-identifier toki on MAC, mutta
DHCP-clientistä riippuen se voi olla asetettavissa.
Kotilinuxilla on parhaillaan kaksi DHCP:llä haettua IP-osoitetta käytössä
(yhdellä fyysisellä verkkoliitännällä); vaati toki jonkun verran tutkimista
ja oikeat softaversiot, mutta ei siis ole mahdotonta.
--
Wolf a.k.a. Juha Laiho Espoo, Finland
(GC 3.0) GIT d- s+: a C++ ULSH++++$ P++@ L+++ E- W+$@ N++ !K w !O !M V
PS(+) PE Y+ PGP(+) t- 5 !X R !tv b+ !DI D G e+ h---- r+++ y++++
"...cancel my subscription to the resurrection!" (Jim Morrison)
Kimmo Tuomi
Juu, kyllä se tuolla tavalla onnistuu periaatteessa. Ainoa este tälle on se,
etten halua tehdä näin :) Eli jos vaikkapa oma pelikoneeni on tuolla
palveluntarjoajan IP-osoitteessa "DMZ:ssa", kiertää kaikki liikenne
privaattiverkossa olevaan tiedostoserveriin jonkin reitittimen kautta,
jolloin menetän huomattavasti verkon throughputtia.
"JL" <j...@eipostia.soon.fi.invalid> wrote in message
news:slrnbkc1ja.e...@localhost.localdomain...
Kimmo Tuomi
"kilpailijan" miehiä, joten mielelläni en Linuxia adoptoisi, mutta jos se
tosiaan on ainoa keino, niin sitten harkitaan uudestaan :)
Tuo oli hyvä uutinen että client-identifier voi olla mitä vain.
"Juha Laiho" <Juha....@iki.fi> wrote in message
news:bi8m00$bqm$2...@ichaos.ichaos-int...
Kimmo Tuomi
1-to-1 ja 1-to-many yms. NAT-mäppäyksiä. Valitettavasti myöskään se ei osaa
ottaa niitä osoitteita itseensä dynaamisesti vaan vaatii kiinteitä
määrittelyjä.
"Pasi Lahtinen" <pasi.l...@tavitex.com> wrote in message
news:3F4621E0...@tavitex.com...
Juha Laiho
>Kukahan osaisi ohjeistaa asiaa tarkemmin, miten tämä tehdään? Itsehän olen
>"kilpailijan" miehiä, joten mielelläni en Linuxia adoptoisi, mutta jos se
>tosiaan on ainoa keino, niin sitten harkitaan uudestaan :)
>
>Tuo oli hyvä uutinen että client-identifier voi olla mitä vain.
Tutkimaan vain, mitä eri DHCP-client -vaihtoehtoja löytyy, ja miten
mitäkin niistä konfiguroidaan (ja mitkä niistä suvaitsevat useamman
clientin ajon rinnakkain).
Linux-puolella päädyin "Phystech":in (http://www.phystech.com/download/)
dhcpcd:hen, versio 1.3.22pl1. Muitakin vaihtoehtoja varmaan olisi, mutta
tämä oli kivuttomin saada toimimaan muuten "hivenen" vanhentuneessa
käyttöjärjestelmäversiossa. Näitä on nyt sitten kaksi kappalein ajossa,
toinen eth1-interfacessa ja toinen eth1:0 - virtuaali-interfacessa.
Jälkimmäiselle "normaalivipujen" lisäksi "-I client-id" käynnistyksessä.
client-id toki lienee paras valita siten, että se ei mitenkään voi osua
jonkun verkkokortin MAC-osoitteen kanssa samaksi.
Tämän jälkeen sitten on oma säätämisensä iptables-palomuurisäännöissä
sen osalta, että miten eri sisäverkon osoitteet vastaavat noita julkisia
osoitteita.
Tuo siis Linux-puolelta; valitettavasti ei ole mitään kokemusta miten
tuo viritettäisiin millään muulla käyttöjärjestelmällä.
Heikki Kultala
Helpointa, muttei halvinta lienisi asentaa koneisiin 2 verkkokorttia,
ja rakentaa erilliset sisaiset ja ulkoiset verkot.
(jos koneita on vahan ja kaytossa vain 1 kytkin, sama seka ulko-
etta sisaverkolle, riittaa linux-koneisiin vain 1, linux osaa antaa
useamman IPn samalle kortille)
koneisiin sitten reititys etta esim 192.168.0.0/24-lohkoon toista
verkkokorttia pitkin, muualle ensimmaista.
Jonkun koneen voi sitten laittaa myos NATaamaan siten etta
vain sisaisesa verkossa olevat koneet paasevat sen kautta ulos.