Toon posts:

[NAT] 2 netwerken achter router

Pagina: 1
Acties:
  • 314 views sinds 30-01-2008
  • Reageer

maandag 20 december 2004 12:11

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Topicstarter
Ik hoop dat de topictitel een beetje op de inhoud aansluit..

Ik ben er altijd vanuit gegaan dat NAT er voor zorgt dat verkeer van buiten bij de juiste computer aan de binnenkant terecht komt. Daarnaast kun je dan met NAT bepaalde poorten naar een specifieke computer mappen. Dat er meer is dan dat kwam ik achter doordat een software firma voor een klant van ons het volgende verzoek deed:
Bedrijf bouwt een VPN connectie op met IP 80.x.x.x (dit is het ip adres van de klant)
Binnenin die tunnel wordt de server benaderd op ip nummer 10.x.x.x
Nu hebben zij inderdaad een server in het netwerk geplaatst, waarschijnlijk met 2 adressen. De één sluit aan op het lokale netwerk zoals die er al is (192.168.0.x) en de ander is er neem ik aan één van hunzelf (dat zal die 10.x.x.x zijn).

Het gaat verder:
Er moet op de VPN router een NAT translatie gemaakt worden van 10.x.x.x naar 192.168.0.3. Er dient geen poort translatie plaats te vinden.

De Web server wordt gezien als 172.x.x.x

Ik heb op de server een routing toegevoegd voor host 172.x.x.x via gateway 10.0.0.200 waarbij ik heb aangenomen heb dat de VPN router is
Nu draait er daar een gewoon Draytek Vigor routertje die uitstekend voldoet voor wat ze momenteel doen. Ik snap niet wat er nu gevragd wordt. Is het nu zo dat ik op de router een ip-adres bij moet voegen (die 10.0.0.200) en vervolgens alle verkeer op dat adres naar die server moet laten wijzen? Kan die Vigor dat sowieso? Ik dacht het zelf van niet. Er is ook nog helemaal niet gesproken met de heren over het opzetten van een VPN met dit netwerk, bedoelen ze dat ze de VPN opzetten met de server zelf?
Ik heb op een computer binnen het netwerk een extra adres toegevoegd om te proberen (10.0.0.200 met SM 255.0.0.0) en ik kon die server dan niet eens pingen. Op het voor mij bekende adres (192.168.0.3) krijg ik gewoon antwoord.

Ik beschouwde mezelf niet echt als n00b, maar hier kan ik geen patat van maken. Ik heb RFC2663 en RFC 1631 over NAT geprobeerd door te worstelen, dat gaf me niet veel duidelijkheid. Ook heb ik op GoT de nodige NAT artikelen gelezen, maar daar stond niet veel meer info in dan ik al wist.

Welke prof kan hier duidelijkheid over verschaffen?

edit:

Wat ik nog vergeet, niet onbelangrijk, is die Draytek wel secure genoeg voor dit doeleind? Er worden directe gegevens van de klant verstuurd over deze lijn..

[ Voor 4% gewijzigd door Marlibica op 20-12-2004 12:13 ]

Sign here against sigs

maandag 20 december 2004 13:27

Acties:
  • pipo de C
  • Registratie: November 2004
  • Laatst online: 19-02 20:08

pipo de C

Wat heeft het internet hiermee te maken? Waar zit het 192 netwerk? Waar zit het 10 netwerk? en waar zit het 172 netwerk achter?

Dit zijn al 4 netwerken met 1 simpel routertje. Heeft die zoveel interfaces of secundary IP's op zijn ethernet interface? Routeert die router wel al die netwerken, zo nee, is het waarschijnlijk de verkeerde plek om NAT toe te passen.

maandag 20 december 2004 13:57

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Als je de opdracht niet snapt, zou je dan niet bij de opdrachtgever vragen wat hij bedoeld?

maandag 20 december 2004 13:59

Acties:
  • Exirion
  • Registratie: Februari 2000
  • Laatst online: 23:22

Exirion

Gadgetfetisjist

Marlibica schreef op maandag 20 december 2004 @ 12:11:
Welke prof kan hier duidelijkheid over verschaffen?
Krijgt die prof dan ook de helft van je maandsalaris uitgekeerd? Dan is het wel interessant :)

"Logica brengt je van A naar B, verbeelding brengt je overal." - Albert Einstein

dinsdag 21 december 2004 14:51

Acties:

Verwijderd

ooit het verschil tussen echt nat en pat (wat door 99% van de mensen onteracht nat genoemd wordt) onderzocht ?

Nat wordt gebruikt om te vertalen dit kan op diverse manieren, zoek maar eens op de cisco site.

[ Voor 32% gewijzigd door Verwijderd op 21-12-2004 14:53 ]

dinsdag 21 december 2004 18:17

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

MASH_MAN >
Ah, kan jij mij dat verschil eens goed uitleggen? Ik vind het namelijk maar een vreemd verhaal. Als je wilt mag je de iptables termen DNAT en SNAT gebruiken. Leg me meteen uit waarom (ip,port) geen "netwerk adres" is.

dinsdag 21 december 2004 19:03

Acties:
  • Exirion
  • Registratie: Februari 2000
  • Laatst online: 23:22

Exirion

Gadgetfetisjist

Verwijderd schreef op dinsdag 21 december 2004 @ 14:51:
ooit het verschil tussen echt nat en pat (wat door 99% van de mensen onteracht nat genoemd wordt) onderzocht ?
PAT is bekender als NAPT

"Logica brengt je van A naar B, verbeelding brengt je overal." - Albert Einstein

dinsdag 21 december 2004 20:21

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Er moet op de VPN router een NAT translatie gemaakt worden van 10.x.x.x naar 192.168.0.3. Er dient geen poort translatie plaats te vinden.

De Web server wordt gezien als 172.x.x.x

Ik heb op de server een routing toegevoegd voor host 172.x.x.x via gateway 10.0.0.200 waarbij ik heb aangenomen heb dat de VPN router is
Dit komt me heel bekend voor... Laatst met een Cisco SOHO router ook meegemaakt. We hadden op locatie A een router IPSec VPN-tunnels laten accepteren vanaf locatie B. Toen bleek dat vanaf locatie B de machines op het netwerk (zijde A) allen gewoon te benaderen waren, BEHALVE alle poorten die gePAT waren. Dus wanneer je poort 80 op zijde A gePAT zou hebben naar machine 192.168.0.20 en je zou poort 25 op zijde A gePAT hebben naar 192.168.0.25 oid, dan zouden alleen die specifieke poorten op die machines voor de person(en) vanaf locatie B niet te benaderen zijn.

Vandaar dat ik vermoed dat ze hier vragen om een aparte machine/router te gaan gebruken voor het accepteren van VPNs. Normaal is het wel zo dat je dit gewoon kan doen op een machine/router die achter je NAT-router (je Draytek in dit geval) staat. Je zou dan vanaf je Draytek poort 1723 en GRE (of de IPSec poorten) moeten forwarden naar die ??nieuwe?? VPN-machine/router..

At least, dat is wat ik uit het verhaal begrijp..

woensdag 22 december 2004 11:41

Acties:

Verwijderd

Sendy schreef op dinsdag 21 december 2004 @ 18:17:
MASH_MAN >
Ah, kan jij mij dat verschil eens goed uitleggen? Ik vind het namelijk maar een vreemd verhaal. Als je wilt mag je de iptables termen DNAT en SNAT gebruiken. Leg me meteen uit waarom (ip,port) geen "netwerk adres" is.
(ip+port) wordt op de outside interface met pat of napt zonder mapping in de net tabel gedropt aangezien de inside destination niet bepaald kan worden.

Bij Static nat wordt er alleen op ip adres vertaald en hab je dus geen poort maps.

http://www.cisco.com/en/U...tem09186a00800e523b.shtml

voor meer info.

woensdag 22 december 2004 15:21

Acties:
  • Bas!
  • Registratie: April 2000
  • Laatst online: 01-05 20:47

Bas!

Wat hij bedoelt te zeggen en er zijn gewoon goede artikelen over is dan nat een inmiddels algemene term is voor alle vormen van address translation.
We hebben het hier niet over dnat of over snat maar over de werking van nat
Als je daar wat over leest begrijp je wat ie bedoelt.
Het werkt zo dat er een lijst bijgehouden wordt met poorten en poorten en lan-adressen. Op deze manier houdt je router bij waar pakketjes van internet heen moeten als een pakketje een reactie is van een van het lan gestuurde pakketje het internet op.

woensdag 22 december 2004 16:07

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 10-05 16:05

Equator

Crew Council

#whisky #barista

Sendy schreef op dinsdag 21 december 2004 @ 18:17:
MASH_MAN >
Ah, kan jij mij dat verschil eens goed uitleggen? Ik vind het namelijk maar een vreemd verhaal. Als je wilt mag je de iptables termen DNAT en SNAT gebruiken. Leg me meteen uit waarom (ip,port) geen "netwerk adres" is.
DNAT en SNAT verschilt in de richting waarop er vertaald wordt.

DNAT = Destination NAT
SNAT = Source NAT

Het ligt er een beetje aan welk adres er publiek is.

De meeste mensen met een NAT router gebruiken SNAT voor internet toegang. Het IP adres waar de aanvraag vandaan komt (SOURCE) wordt vertaald naar het extern adres.

In het geval van een eigen MAIL/WWW server wordt er DNAT toegepast. Het destination adres wordt vertaald naar een publiek adres.

Dan is er nog NAPT / PAT Zoals MASH_MAN ook al meldde.
NAPT = Network Address Port Translation
PAT = Port Address Translation

Beide doen vrijwel het zelfde, en dat is een aanvraag voor een bepaalde poort vertalen naar een andere poort.
Waarschijnlijk (MASH_MAN indien onwaar hoor ik dat graag) is NAPT en combinatie van NAT en PAT.

[ Voor 3% gewijzigd door Equator op 22-12-2004 16:08 ]

woensdag 22 december 2004 16:30

Acties:

Verwijderd

Lees over bovenstaand ook http://expertanswercenter...9,sid63_gci972565,00.html eens door :)

woensdag 22 december 2004 19:14

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Die URL kon ik daarnet niet bereiken; dat probeer ik nog eens later.

Het beantwoorden van een concrete vraag blijkt nogal moeilijk te zijn. Ik heb ook eens gekeken en al die technieken heten gewoon NAT. Blijkbaar is dat niet nauwkeurig genoeg, en hebben rare vogels de volkomen mislukte term PAT (wat is een "port adres"?) en de iets handigere term NAPT (van een "netwerk adres" vertaal je alleen de port). Ik kan me voorstellen dat het nodig is om dat verschil te kunnen duiden, echter kan ik me niet voorstellen dat "NAT" gebruiken erg veel verwarring oplevert.

Ik blijf dus gewoon NAT is NAT is NAT zeggen (en soms misschien MASQUERADE, als ik in een nostalgische bui ben) ;)

woensdag 22 december 2004 23:43

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Sendy schreef op woensdag 22 december 2004 @ 19:14:
Die URL kon ik daarnet niet bereiken; dat probeer ik nog eens later.

Het beantwoorden van een concrete vraag blijkt nogal moeilijk te zijn.
Heb ik toch zo m'n best gedaan :'(

[ Voor 3% gewijzigd door Zoetjuh op 22-12-2004 23:44 ]

donderdag 23 december 2004 08:27

Acties:

Verwijderd

Sendy schreef op woensdag 22 december 2004 @ 19:14:

Ik blijf dus gewoon NAT is NAT is NAT zeggen (en soms misschien MASQUERADE, als ik in een nostalgische bui ben) ;)
Ehh die "rare vogels" is dan Cisco systems, tja die weten natuurlijk niet waar het in netwerk land om draait.

oh en met alle respect "NAT is NAT is NAT" is alleen zo als je in het water ligt / gelegen hebt.

Er zijn wel degelijk verschillen tussen diverse manieren van vertalen en het geen hier al aangegeven wordt is dat het hier GEEN onderscheid in maken de zaken juist onduidelijker maakt.

Hoe dan ook vraag ik mij af wat de bedoeling is van het vertalen van rfc1918 adressen naar rfc 1918 adressen aangezien ik niet lees dat deze tussen de bedrijven dubbel gebruikt worden.

Als alle netten uniek zijn kun je gewoon routeren hier zijn echter de meeste soho routers niet voor ingericht ik zou dan zoals je zelf ook al aangeeft eens naar een andere router gaan kijken.

Het is zoizo al niet verstandig om klasse a maskers te gebruiken waar je ze niet nodig hebt of was het bedrijf daadwerkelijk van plan een geswitched netwerk met to 16,7 miljoen nodes aan te leggen.

[ Voor 38% gewijzigd door Verwijderd op 26-12-2004 14:08 ]

donderdag 23 december 2004 11:18

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Zoetjuh schreef op woensdag 22 december 2004 @ 23:43:
[...]
Heb ik toch zo m'n best gedaan :'(
Sorry, Zoetjuh. Ik dacht dat je niet op mijn vraag reageerde (en dat deed je toch ook niet?) Ik wilde niet op je teentjes trappen.
Verwijderd schreef op donderdag 23 december 2004 @ 08:27:
[...]
Ehh die "rare vogels" is dan Cisco systems, tja die weten natuurlijk niet waar het in netwerk land om draait.

oh en met alle respect "NAT is NAT is NAT" is alleen zo als je in het water ligt / gelegen hebt.

Er zijn wel degelijk verschillen tussen diverse manieren van vertalen en het geen hier al aangegeven wordt is dat het hier GEEN onderscheid in maken de zaken juist onduidelijker maakt.
Tja, dat het CISCO mensen zijn die die termen bedacht hebben betekend helemaal niet dat de termen ook handig / nuttig zijn. Het is ook maar een bedrijf die winst wil maken: 1 mogelijkheid is dan allemaal vreemde termen verzinnen waardoor consumenten denken "dat wil ik ook" ;)

Maar zoals ik al heb aangegeven, het kan inderdaad handig zijn om een verschil in benaming te hebben. Al vind ik de hier geopperde benaming nogal vreemd.

donderdag 23 december 2004 14:34

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Topicstarter
Toch nog maar even een reactie.. Ik heb weer een hoop geleerd. Ik was idd één van de knakkers die er klakkeloos vanuit gaan dat NAT alleen om poorttranslatie gaat. Is ook niet zo vreemd IMO als je alleen met de normale huis tuin en keukenrouters werkt waar NAT automatisch poort translatie betekent.

Ik heb weer contact gezocht met de softwareleverancier en het gaat erom dat er een VPN wordt opgezet met de Draytek, waarna er contact wordt gezocht met dat 10.x.x.x adres. De Draytek moet dit transparant (NAT) vertalen naar het 192.168.0.3 adres in het netwerk. Dat 172.x.x.x adres zoekt de server dan zelf weer op via de Draytek. Het is me nu dus duidelijk wat er moet gebeuren.

Ik vraag me alleen af of de router dit kan. Ik ga het eens voorleggen aan support. Blijft alleen mijn vraag open of de Draytek hier secure genoeg voor is en dat er geen Cisco oplossing o.i.d. moet worden aangeboden. * Marlibica is helaas geen Cisco guru..

edit:

Er is me altijd geleerd netjes dankjewel te zeggen.. Bij deze bedankt voor de reacties. Ik heb weer wat leesvoer

[ Voor 8% gewijzigd door Marlibica op 23-12-2004 14:35 . Reden: Dankzegje ]

Sign here against sigs

maandag 3 januari 2005 09:54

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Topicstarter
Nog een kleine toevoeging: Draytek heeft inmiddels bevestigd dat de Vigor dit niet snapt.

Sign here against sigs

Pagina: 1
Reageer