Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

[FritzBOX 4040] translacja NAT w sieci lokalnej

pete.c 13 Jun 2022 08:24 477 25
  • #1
    pete.c
    Level 12  
    Witam mam Fritzboxa 4040.
    Opis problemu:
    Mam router brzegowy w domowej sieci (nazwijmy ją LAN1). W nią wpięty jest Fryc z tematu (portem WAN). Pracuje on w trybie router. Ma DHCP i serwuje adresy do LAN2 z inną adresacją. Oczywiście ruch do internetu idzie przez router brzegowy. Jednak zależy mi żeby urządzenia z LAN2 nie widziały urządzeń z LAN1. Czyli żeby pakiety były przekazywane bezpośrednio do routera brzegowego. Możliwości konfiguracji jak to we Frycu są dość ograniczone. Czy ktoś wie jak rozwiązać opisany problem?
  • #2
    przeqpiciel
    Network and Internet specialist
    Tak działa sieć. Kiedy z sieci LAN2 wysyłasz pakiet, który nie jest skierowany do sieci LAN2 trafia na router, który już kieruje do tej Twojej sieci LAN1 i dlatego z LAN2 możesz dostać się do LAN1. Żeby zrobić to tak jak chcesz, to albo (o ile urządzenie ma konfiguracje) zablokuj na firewallu taki ruch albo zrób to jak należy i wywal te śmieszne zabawki i wstaw coś co jest do tego stworzone:
    - Draytek
    - Mikrotik
    - sprzęt z Tomato
    - Ubiquiti
    Wtedy będziesz mógł wydzielić VLANy i zapanować nad swoją siecią, bo z powyższego to jakiś taki trochę "śmiech na sali"
  • #3
    KOCUREK1970
    Network and Internet specialist
    @pete.c
    Jaką adresacje IP ma router brzegowy?
    Jaką adresacje IP ma Fritz?

    Fritz fabrycznie ma dość dziwną adresację 192.168.178.1, routery standardowo najczęściej maja 192.168.1.1 - więc już na tym etapie, nie powinno być komunikacji między Fritzem a routerem brzegowym w obrębie sieci LAN. Warunek, część sprzętów z sieci LAN1 wpięta do routera brzegowego, a część LAN2 wpięta do Fritza - wtedy każdy ma dostęp do internetu, ale nie ma dostępu między sobą.
  • #4
    stachu_l
    Level 31  
    KOCUREK1970 wrote:
    Fritz fabrycznie ma dość dziwną adresację 192.168.178.1, routery standardowo najczęściej maja 192.168.1.1 - więc już na tym etapie, nie powinno być komunikacji między Fritzem a routerem brzegowym w obrębie sieci LAN.
    To nie jest prawdą.
    Jest to klasyczny podwójny NAT i działa tak jak napisał @przeqpiciel :
    przeqpiciel wrote:
    Kiedy z sieci LAN2 wysyłasz pakiet, który nie jest skierowany do sieci LAN2 trafia na router, który już kieruje do tej Twojej sieci LAN1 i dlatego z LAN2 możesz dostać się do LAN1.

    Z sieci LAN1 do LAN2 nie da się dostać bo trzeba się przebić przez NAT (jak zdefiniujesz na Fritz DMZ albo forwarding portów to się da ale używając adresu WAN na Fritz a nie adresu komputera w LAN2).
  • #5
    KOCUREK1970
    Network and Internet specialist
    stachu_l wrote:
    To nie jest prawdą.

    Jeśli mnie cytujesz, to cytuj całość a nie fragment, bo sens wtedy jest zupełnie inny:
    KOCUREK1970 wrote:
    Warunek, część sprzętów z sieci LAN1 wpięta do routera brzegowego, a część LAN2 wpięta do Fritza - wtedy każdy ma dostęp do internetu, ale nie ma dostępu między sobą.
  • #6
    stachu_l
    Level 31  
    KOCUREK1970 wrote:
    Jeśli mnie cytujesz, to cytuj całość a nie fragment, bo sens wtedy jest zupełnie inny:
    KOCUREK1970 wrote:
    Warunek, część sprzętów z sieci LAN1 wpięta do routera brzegowego, a część LAN2 wpięta do Fritza - wtedy każdy ma dostęp do internetu, ale nie ma dostępu między sobą.

    Co ta konfiguracja zmienia?
    Ramka IP nadana z sieci LAN2 do adresu w sieci LAN1 wpada do Fritz, znajduje, że to jest adres w sieci lokalnej od strony WAN i tam przekazuje robiąc po drodze NAT a na wyjściu gdy trzeba wysyła ARP'a aby poszukać adresu. Ruter brzegowy ma wpięte stacje na portach LAN a tam domyślnie jest switch L2 więc przepuści ARP a także następujące po nim ramki IP do lokalnych stacji w sieci LAN1.
    Chyba, że ruter brzegowy ma możliwość filtracji i nie pozwala na sesje między lokalnymi stacjami. Port WAN Fritz w sieci LAN1 jest zwykła stacją lokalna dla rutera brzegowego.

    Dla ramek do Internetu ramka z sieci LAN2 po NAT w Fritz wygląda jak ramka z sieci LAN1 tylko jest skierowana na adres rutera brzegowego a nie do stacji lokalnej na LAN1. Ruter brzegowy robi to samo - ramki do sieci nieznanych wysyła na port WAN (nie koniecznie Ethernet bo może to być wbudowany LTE, ADSL...) wykonując drugi NAT. Jeżeli jednak wyślesz ramkę na adres dostawcy Internetu (np default gateway skonfigurowany na ruterze brzegowym) to taka ramka przejdzie podobnie jak ramki z LAN2 na stacje w LAN1.

    Jeżeli uważasz inaczej to proszę napisz jaka to działa.
  • #7
    KOCUREK1970
    Network and Internet specialist
    stachu_l wrote:
    Jeżeli uważasz inaczej to proszę napisz jaka to działa

    To temat Autora a nie mój.
    Autor jak na razie się nie odezwał.

    Autor wiele też rzeczy nie opisał precyzyjnie, a od tego zależy jak mu doradzić z problemem.
    Fritz wcale taki ograniczony nie jest, ale to nadal router SOHO, ramki ARP, gdzie na Fritzu?
    O routerze brzegowym nic nie wiemy - zatem to na tyle, co można Autorowi doradzić w tym momencie z informacji tu przekazanych.
  • #8
    stachu_l
    Level 31  
    KOCUREK1970 wrote:
    Autor wiele też rzeczy nie opisał precyzyjnie, a od tego zależy jak mu doradzić z problemem.
    Ale to nie upoważnia do twierdzeń nieprawdziwych o różnych sieciach LAN1 i LAN2 powodujących brak możliwości komunikacji z ALN2 do LAN1 przez NAT w ruterze Fritz.
    Raczej identyczne adresy sieci LAN1 i LAN2 przyblokują komunikacje pod warunkiem, że Fritz radzi sobie z taką konfiguracją - w tym wypadku musi mieć jakes nietypowe rozwiązania routing table z takimi samymi sieciami IP na LAN i WAN.
    KOCUREK1970 wrote:
    Fritz wcale taki ograniczony nie jest, ale to nadal router SOHO, ramki ARP, gdzie na Fritzu?
    Tam gdzie ruter powinien je wysyłać i odbierać. Przynajmniej odbiór zapytań z sieci LAN i wysyłanie odpowiedzi oraz wysyłanie zapytań do sieci WAN i odbiór odpowiedzi. Raczej działają zapytania i odpowiedzi po obu stronach.
    Można optymalizować wymianę ramek i uczyć tablice ARP z ramek DHCP tylko często entry w tablicy ARP ma krótszy czas życia niż dzierżawa adresu DHCP i przy braku komunikacji adres MAC default gateway wypadnie z tablicy co spowoduje wysłanie ARP przed ramka IP.
    Każda stacja IP na medium z wieloma stacjami (nie point-to-point) musi używać ARP aby poznać adres MAC innej stacji.

    Zaczynam wątpić w "Specjalista Sieci, Internet" przynajmniej w dziedzinie - jak te ramki tam latają - bo widziałem wiele porad z okablowania czy konfiguracji sieci które wskazują na duża wiedzę praktyczną.
  • #9
    KOCUREK1970
    Network and Internet specialist
    stachu_l wrote:
    Ale to nie upoważnia do twierdzeń nieprawdziwych o różnych sieciach LAN1 i LAN2 powodujących brak możliwości komunikacji z ALN2 do LAN1 przez NAT w ruterze Fritz.

    A gdzie ja wspomniałem w tej wypowiedzi o Fritzu?
    Nie dokładaj słów, których nie użyłem.
    stachu_l wrote:
    Tam gdzie ruter powinien je wysyłać i odbierać. Przynajmniej odbiór zapytań z sieci LAN i wysyłanie odpowiedzi oraz wysyłanie zapytań do sieci WAN i odbiór odpowiedzi. Raczej działają zapytania i odpowiedzi po obu stronach.

    Powinien, przynajmniej, raczej - czyli przypuszczenia.
    Ja np nie znam stanu faktycznego u Autora :D , widać Twoja szklana kula widzi więcej :D
    stachu_l wrote:
    Zaczynam wątpić w "Specjalista Sieci, Internet" przynajmniej w dziedzinie - jak te ramki tam latają - bo widziałem wiele porad z okablowania czy konfiguracji sieci które wskazują na duża wiedzę praktyczną.

    Ty o moje ramki się nie martw.
    Mam 2 Firtze i wiem co potrafią a czego nie.

    Teoretyzujesz na zasadzie co by było gdyby - a wiesz tyle co realnie tam jest jak i ja.
  • #10
    stachu_l
    Level 31  
    KOCUREK1970 wrote:
    A gdzie ja wspomniałem w tej wypowiedzi o Fritzu?
    Nie dokładaj słów, których nie użyłem.
    Nie zapominaj słów których użyłaś:
    KOCUREK1970 wrote:
    Fritz fabrycznie ma dość dziwną adresację 192.168.178.1, routery standardowo najczęściej maja 192.168.1.1 - więc już na tym etapie, nie powinno być komunikacji między Fritzem a routerem brzegowym w obrębie sieci LAN.
    Czy w tym zdaniu jest Fritz?
    KOCUREK1970 wrote:
    Warunek, część sprzętów z sieci LAN1 wpięta do routera brzegowego, a część LAN2 wpięta do Fritza - wtedy każdy ma dostęp do internetu, ale nie ma dostępu między sobą.
    Czy Fritz uczestniczy on domyślnie w ruchu LAN2 do LAN1? (czy stoi na drodze tego ruchu? bo Ty twierdzisz, że go zablokuje).

    Nie mam Fritz'a ale czy stacja ze statycznym adresem podłączona do jego LAN może dostać się do Internetu?
    Jeżeli tak to musi odpowiadać na ramki ARP - dzięki wiedzy teoretycznej nie muszę uruchamiać sniffera w niektórych przypadkach.
  • #11
    KOCUREK1970
    Network and Internet specialist
    stachu_l wrote:
    Czy w tym zdaniu jest Fritz?

    W tym zdaniu jest też:
    stachu_l wrote:
    KOCUREK1970 wrote:
    więc już na tym etapie, nie powinno być komunikacji między Fritzem a routerem brzegowym w obrębie sieci LAN.

    Nie znając faktów, tak tylko mogę to skwitować.
    Gdybym znał szczegóły, napisałbym "nie ma możliwości komunikacji".

    Luknij do PW
  • #12
    IC_Current
    Network and Internet specialist
    KOCUREK1970 wrote:
    stachu_l wrote:

    W tym zdaniu jest też:
    stachu_l wrote:
    KOCUREK1970 wrote:
    więc już na tym etapie, nie powinno być komunikacji między Fritzem a routerem brzegowym w obrębie sieci LAN.

    Nie znając faktów, tak tylko mogę to skwitować.
    Gdybym znał szczegóły, napisałbym "nie ma możliwości komunikacji".


    A więc trochę teorii:
    Przy kaskadowym NAT wszystkie urządzenia w sieci za drugim NAT (w sieci tworzonej) przez Fritzboxa ZAWSZE będą miały dostęp do urządzeń w sieci tworzonej przez router brzegowy. Żadne znane mi SOHO nie ma firewall na kierunku LAN-->WAN.
    W drugą stronę inicjacji połączenia nie będzie, ale odpowiedź na połączenie zza NAT też będzie.
    Dokładnie tak jest u autora i tak to opisał.

    @autor
    Nie da się zablokować u Ciebie tego ruchu. Lepiej zastąp router brzegowy Fritzboxem i zrób na FB dwie sieci. Możesz to zrobić tworząc sieć roboczą i "gościnną". Będą odseparowane.
  • #13
    pete.c
    Level 12  
    Witam,
    sęk w tym, że z uwagi na 'specyfikę' obiektu, jeden router musi znajdować się w jednym miejscu, drugi w drugim, i to wszystko lata do miejsca nazwijmy to rodzielenia po jednym kablu skrętki. Troszeczkę się zdziwiłem, bo wcześniej miałem tam z 15letniego dodam nieskomplikowanego Drayteka (bez żadnych cudów wianków poustawianych dodam bo specjalnie teraz sprawdzałem, zresztą ja go tam w zamierzchłych czasach podłączałem), i tak to właśnie działało jak oczekuję, a że w którymś momencie przyuważyłem że mam w rupieciarni takiego dość ciekawego Fritza, to stwierdziłem że czas wysłać Drayteka na emeryturę...
    A że byłem tu już wywoływany że nieprecyzyjnie coś opisałem, co jeszcze Wam rzec mogę? ;)
  • #14
    Erbit
    Level 42  
    pete.c wrote:
    Troszeczkę się zdziwiłem, bo wcześniej miałem tam z 15letniego dodam nieskomplikowanego Drayteka (bez żadnych cudów wianków poustawianych dodam bo specjalnie teraz sprawdzałem, zresztą ja go tam w zamierzchłych czasach podłączałem), i tak to właśnie działało jak oczekuję


    Jeśli to był router (z NAT) to nie mogło tak działać. Działało tak samo jak teraz tylko prawdopodobnie o tym nie wiedziałeś.

    pete.c wrote:
    sęk w tym, że z uwagi na 'specyfikę' obiektu, jeden router musi znajdować się w jednym miejscu, drugi w drugim,


    Jesteś w błędzie.

    To co Ty nazywasz routerem to urządzenie zawierające wiele urządzeń w jednej obudowie. Najczęściej jest w nim:
    - modem
    - właściwy router (to co my nazywamy routerem).
    - access point (punkt dostępowy WiFi)
    - switch


    Koelga @przeqpiciel w poście #2 dobrze to opisał. Należy zmienić "router brzegowy" na taki, który będzie umiał stworzyć wirtualne sieci (VLAN), utworzyć na nim VLAN1 (obecnie Twój LAN1) oraz VLAN2 (obecnie Twój LAN2) zaś w miejscu obecnego "Fryca" postawić switch + access point (pozbyć się routera czyli pozbyć się NAT).

    W kablach nic nie będziesz musiał zmieniać. Twoja sieć po prostu od początku jest źle zbudowana.
  • #15
    IC_Current
    Network and Internet specialist
    Erbit wrote:
    Należy zmienić "router brzegowy" na taki, który będzie umiał stworzyć wirtualne sieci (VLAN), utworzyć na nim VLAN1 (obecnie Twój LAN1) oraz VLAN2 (obecnie Twój LAN2)

    Można wykorzystać Fritzboxa. Ma dwa VLANY jak już wcześniej pisałem. Podstawowy VLAN jest przypisany do trzech portów LAn i jednego BSSID. Drugi VLAN jest przypisany do czwartego portu i drugiego BSSID.
  • #16
    soltyk
    Level 20  
    Do autora: ile masz urządzeń w sieci LAN1? Jeśli jest ich kilkanaście, nie więcej niż kilkadziesiąt, wystarczy w routerze 2 zablokować ruch na te wybrane IP. Dłuższa chwila roboty i problem z głowy. Mam stary, prosty TP-Link i on ma taką opcję (poblokowałem adresy, z których mam próby włamań).

    stachu_l wrote:
    Raczej identyczne adresy sieci LAN1 i LAN2 przyblokują komunikacje pod warunkiem, że Fritz radzi sobie z taką konfiguracją - w tym wypadku musi mieć jakes nietypowe rozwiązania routing table z takimi samymi sieciami IP na LAN i WAN.

    Czy możesz rozwinąć? Z tego co kiedyś wyczytałem, taka konfiguracja nie będzie działać. Komputer podłączony do LAN2 nie dostanie się do maszyny w LAN1, gdyż router 2 będzie próbował kierować taki ruch po niewłaściwej stronie NAT, czyli do LAN2. Poprawcie mnie w razie czego.
  • #17
    pete.c
    Level 12  
    Mam ich kilkanaście, z tendencją wciąż wzrostową. Brzegowy to Funbox6, raczej nie podejrzewam żebym mógł postawić na nim vlany, a postawienie kolejnego routera za nim zablokuje mi zdaje się dekodery (tzn. vlany orange'a), chyba że zrobię jakąś rzeźbę z ich puszczaniem...
  • #18
    stachu_l
    Level 31  
    soltyk wrote:
    Czy możesz rozwinąć? Z tego co kiedyś wyczytałem, taka konfiguracja nie będzie działać. Komputer podłączony do LAN2 nie dostanie się do maszyny w LAN1, gdyż router 2 będzie próbował kierować taki ruch po niewłaściwej stronie NAT, czyli do LAN2.
    Masz rację - ruter z tą samą siecią IP po obu stronach (LAN i WAN) generalnie nie powinien działać bo które entry w tablicy routingu będzie ważniejsze? Faktycznie chyba się zapędziłem z tym LAN2 do ALN 1 w takim wypadku. Jednak rutery radziły sobie z dostępem do Internetu w takiej konfiguracji - mogły się dostać do bramy czyli w tym wypadku rutera brzegowego nawet gdy on miał adres 192.168.1.1 na swoim LAN (LAN1) i nasz ruter tez miał taki adres na swoim LAN (LAN2). To generalnie było niezgodne z zasadzki routingu ale rozwiązywało problem podłącz-używaj dla taniego ruterka jeżeli dostawca Internetu też dawał sieć 182.168.1.0 a taka była domyślnie skonfigurowana na ruterku.
    Także ruchu z LAN2 do LAN1 nie było ale jakoś bramę domyślna w LAN1 dało się osiągnąć.


    @pete.c
    Czy wiesz jak masz skonfigurowane sieci LAN1 i LAN2 - jakie adresy IP i maski?
    Jakie były na Drayteku? Moze były takie same na WAN i LAN?
    Jeżeli Fritz wspiera ten "patent" z identyczna siecią WAN i LAN to możesz spróbować takiego ustawienia i ruch z LAN2 do LAN1 zniknie poza ruchem do Internetu.
    Jest to takie nieintencjonalne użycie pewnych własności rutera ale pozwoli powrócić do stanu przed wymiana Dryteka an Fritz'a.
  • #19
    soltyk
    Level 20  
    Jeśli w LAN1 jest kilkanaście urządzeń, nie ma sensu kupować nowego routera. Wszystko, co potrzeba, to zablokować te kilkanaście adresów IP na routerze 2. Tak to wygląda u mnie:

    [FritzBOX 4040] translacja NAT w sieci lokalnej

    Ruch na pozostałe adresy - a zatem Internet - będzie normalnie działać. Tutejsi forumowicze doradzali mi wymianę tego urządzenia, bo stare, więc zakładam, że twój router też ma filtrowanie IP.
  • #20
    IC_Current
    Network and Internet specialist
    Z Funboxem jest problem, ale do obejscia na dwa sposoby
    1. Montujesz trzy routery: Funbox, Router A dla sieci1 i Router B dla sieci 2
    Routery A i B podłaczasz portami WAN do portu LAN Funboxa. Masz wtedy separację i niestety podwójny NAT. Działa większość usług. Nie działa granie na konsolach Peer to Peer, niektóre VPN i niektóre VoIP. Dekoder TV podłączasz bezpośrednio do Funboxa.
    2. Dogadujesz się z Orange na wymianę Funboxa na Funbox+ terminal ONT. Demontujesz FB i do ONT podłączasz router Mikrotika lub inny z oprogramowaniem klasy Enterprise. Można tam zrobić VLANY dla Internetu z PPPoE i VLANY mostkowane dla IPTV. W razie potrzeby mogę podesłać działająca konfigurację dla takiego routera MT. tworzysz sobie sieci ile Ci do głowy przyjdzie.
  • #22
    IC_Current
    Network and Internet specialist
    pete.c wrote:
    openwrt na tym frycu mógłby to ogarnąć?

    Przecież Ci trzeci raz piszę, że na Frycu można zrobić dwie odseparowane od siebie sieci.
  • #24
    IC_Current
    Network and Internet specialist
    pete.c wrote:
    A możesz podać przykładowy MT?

    A jaka przepustowość łącza? Obecna i planowana? Ilu klientów? Ile jednoczesnych sesji?
    Bez tego to trudno coś doradzić.
  • #26
    IC_Current
    Network and Internet specialist
    Czyli takie absolutne minimum to seria RB2011, choć trzeba by zrobić próbę czy zawsze wydole u Ciebie.
    Optymalnie 3011, a przyszłościowo z zapasem i do rozbudowanej konfiguracji firewalla oraz QoS to 4011.
    Jeszcze kwestia PPPoE. Jeśli posiadasz PPPoE to raczej bierz 4011, bo Mikrotik nie potrafi obsłużyć sesji PPPoE na wielu rdzeniach jednocześnie. Korzysta wtedy tylko z jednego rdzenia a pozostałe są nieużywane.
    Co do szczegółów MT polecam uderzać do kolegi @Erbit . On siedzi w sprzęcie tego producenta.