marudok

Konfiguracja NAT Loopback na routerze Dasan

Recommended Posts

marudok

Witam,

ostatnio zmieniłem operatora od internetu i dostałem od nich ich router Dasan H660GM (chciałem sam modem ale router był wymagany ze względu na ofertę łączoną z telewizją).

I tutaj zaczyna się problem, o ile udało mi się dostać do tego urządzenia dostęp jako "user" i skonfigurować DMZ na mój router na którym mam przekierowane porty i wszystko poustawiane to zauważyłem że w sieci wewnętrznej nie działa mi łączenie ze swoim serwerem poprzez ip zewnętrzne (connection refused).

Znalazłem w internecie informację, że jest to tak zwany wirtualny interfejs (Hairpinning zwany nat loopback), w routerze który dostałem od operatora jest to opcja do skonfigurowania lecz pomimo wielu prób i szukania w internecie nie udało mi się tego zrobić.

 

router dasan - pole do skonfigurowania nat loopback

mój router na który jest ustawione DMZ

 

Dodam, że widoczność z zewnątrz i łączenie się np z telefonu przez mobilny internet działa oraz, że z poprzednim operatorem gdzie miałem sam modem podłączony do swojego routera wszystko działało. Mogłem w sieci lokalnej łączyć się z serwerem poprzez ip zewnętrzne i wewnętrzne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
SLX

Nie wiem czy w ogóle taka konfiguracja jest możliwa na prostych routerach jak masz podwójny NAT. NAT loopback powinien być skonfigurowany na tym Twoim routerze (ten który przekierował port). Ale musiałbyś sprawdzić co się dzieje z pakietami wysyłanymi na adres zewnętrzny, włączając się jakimś snifferem między swój router i Dasana. Pakiety muszą wracać na port LAN. Najlepiej jakby Dasan był skonfigurowany w tryb bridge jeśli ma taką opcję.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
marudok

Wcześniej mając sam modem od operatora + swój router (archer c7) to wszystko działało bez problemów. Miałem przez jakiś czas stworzoną podsieć ze starym routerem belkin (który też domyślnie ma skonfigurowany nat loopback) i wszystko działało.

Problem jest z routerem od obecnego operatora. Miał być sam modem, ale ze względu że oferta z telewizją (ip tv) to musiał być ich router. Na początku był problem z zewnętrznym ip i przekierowaniem portów. Po długich rozmowach sami nic nie zrobili tylko dali mi dostęp jako user a tam mam ograniczone opcje do skonfigurowania, mogłem tylko zmienić ustawienia wifi i ustawić DMZ na swój router. Opcji bridge nie mam możliwości do ustawienia. a podłączenie bezpośrednio pod Dasan i przekierowanie portów na pc-serwer powoduje, że widać go z zewnątrz i wszystko działa tylko nie łączenie z sieci wewnętrznej poprzez ip zewnętrzne.

We wszystkich routerach z których korzystałem opcja nat loopback była domyślnie skonfigurowana i nigdzie nie była widoczna do skonfigurowania. W tym routerze Dasan po raz pierwszy widzę taką opcję do skonfigurowania i po próbie ogarnięcia tego tematu nie udało mi się nic osiągnąć.

Tutaj moje pytanie czy ktoś wie czy da się jakoś to skonfigurować, wpisać odpowiednie rzeczy w tych polach co widać na załączonym screenie  (dasan-nat looback).

A co do sniffera i analizą pakietów to chodzi o np Wireshark i sprawdzenie jak pakiet krąży między routerami? Z urządzenia A z sieci wewnętrznej który się łączy poprzez ip zewnętrzne z serwerem B który jest w tej samej sieci wewnętrznej?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
SLX

Original SIP - to źródłowy adres IP przed NATem - czyli pewnie 192.168.55.0/24
Original DIP - to adres docelowy, twój adres zewnętrzny, przy pomocy którego łączysz się z serwerem.
Original Dst port - to zakres portów, które mają być objęte NATem, czyli najlepiej te które przekierowałeś.
Translated DIP - według mnie powinno być tutaj SIP, a powinien oznaczać adres źródłowy na jaki ma zmienić, czyli adres LAN Twojego drugiego routera (chyba 192.168.55.101). Jeśli się nie da takiego wpisać, to trzeba użyć adresu LAN z modemu. Chyba, że faktycznie chodzi o o adres docelowy, i ta funkcja robi automatycznie DNAT (a to skomplikuje sprawę, bo ten drugi router już dostanie niepoprawne dane), wtedy powinien być to adres serwera, ale wtedy ten router prześle pakiety nie na ten interfejs co trzeba, bo to drugi router ma informację gdzie jest serwer. Więc tutaj może być problem.
Translated Dst port - te same porty.

Jeśli potrafisz obsługiwać Wiresharka, to by wiele ułatwiło. Najlepiej przełączyć interfejs w tryb promiscuous i podłączać się po kolei na drodze pakietu. Ogólnie pakiet wysłany na adres zewnętrzny po dojściu do serwera powinien mieć adres źródła zmieniony na adres routera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
marudok

Wiresharkiem próbowałem ale zupełnie się tym posługiwać nie potrafię.

Dane które podałeś wpisałem, w pierwszym polu wyskoczył błąd, że niepoprawny adres https://i.imgur.com/hukCnSM.png więc wpisałem adres routera 192.168.55.1 lecz i tak nadal nie działa. Serwer www postawiony na windowsowskim IIS zwraca komunikat w chrome, że połączenie odrzucone, a serwer ftp FileZilla w chromie zwraca, że przekroczono limit czasu oczekiwania.

Ogólnie dziękuje za pomoc ale chyba poddam się już z tym, nawet na helpdesk od operatora informatyk stwierdził, że nie jest wstanie tego ustawić.

Pozostaje używać wewnętrznego ip w sieci lokalnej

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
SLX

Tam na screenshocie z Dasana, jest pokazana opcja NAT - Status: Enable. Więc pewnie jest gdzieś opcja do jego wyłączenia, może w tym polu Interface.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
marudok

Tak, też to zauważyłem, lecz nigdzie nie ma opcji zmiany tego.

Jako user mogę jedynie podejrzeć status, ustawić DMZ, przekierować porty i podstawowa konfiguracja wifi.

Rozmawiałem o tym z "informatykami" od nich i sami nie potrafią tego zrobić, nie mają dokumentacji etc.

Na szczęście powiedzmy jest to drobiazg, tak zwane quality of life i powoli się przyzwyczaiłem do tego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Janiaking

skoro to tylko na wymogi sieci lokalnej to nie kombinuj z Dasanem tylko ustaw w pliku hosts aby kierował na wew IP po wpisaniu zewnetrznego IP . Gdyby w gre wchodził jakiś VPN to inna sprawa

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chcesz dodać odpowiedź ? Zaloguj się lub zarejestruj nowe konto.

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to bardzo łatwy proces!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się