Ako na verejnu IP z lokalu Mikrotik

Riesim mensi problem a hoci si myslim, ze mi routovanie celkom ide tu sa nejako zamotavam.
Mam MT u zakaznika, ktory ma na WAN porte verejnu IP od ISP...bohuzial nie priamo, ale natovanu 1:1 z nadradeneho MT routra. Na ten bohuzial nemam dosah, takze s nim spravit nic neviem (napadlo ma totizto riesenie, keby som vedel ovladat jeho).
Potrebujem vyriesit ako sa dostat na lokalny mail server cez verejnu IP adresu MT. Ide o to, aby klienti mohli pristupovat k mailom cez svojich mail klientov bez nutnosti zmeny adresy IMAP servera, cize cez verejnu IP adresu MT.
Toto sa riesi klasickym pravidlom cez src NAT a maskaradu, ale len v tom pripade, kedy ma MT verejnu IP adresu priamo na svojom WAN rozhrani, co tento bohuzial nema (ma privatnu len).
Ako vyriesit tento problem?
Tu je moj pokus o test pristupu na ssh server z verejnej IP.
;;; SSH na verejnu IP z lokalu
chain=srcnat action=masquerade protocol=tcp src-address=192.168.2.0/24
dst-address=192.168.2.2 out-interface=ether2-master-local dst-port=22

192.168.2.0/24 je LAN samozrejme.
Da sa to vyriesit bez nutnosti spoluprace s ISP a nastavovanim na jeho stroji?

Předmět	Autor	Datum
proč to řešit firewallem a NATem, když se to dá elegantně vyřešit DNSkem? V LAN bude lokální DNS, k… touchwood 12.08.2012 23:10	touchwood	12.08.2012 23:10
Nemam este MX zaznam, v pondelok sa este len idem spojit s chlapikom z firmy, domenu maju u telekomu… fleg 12.08.2012 23:34	fleg	12.08.2012 23:34
Moment, tebe přece DNS server v internetu v podstatě nezajímá, jen potřebuješ znát přesný MX záznam… touchwood 12.08.2012 23:44	touchwood	12.08.2012 23:44
Lokalny mail server fetchuje kazde 3min vsetky konta cez pop3 zo servra telekomu. Firma che mat zalo… fleg 12.08.2012 23:49	fleg	12.08.2012 23:49
Aha. V tom případě bych se vybodl na MX záznam a nechal si zřídit jen Ačkový a poštu odesílal přes S… touchwood 12.08.2012 23:51	touchwood	12.08.2012 23:51
Preposielanie na smtp ISP sa mi zdalo zbytocne, kedze ide o imapove konta dolezita bue aj odoslana p… fleg 12.08.2012 23:56	fleg	12.08.2012 23:56
Nerozumím. Tvůj SMTP server nastavíš jako smarthost, bude veškerou poštu předávat korektnímu SMTP se… touchwood 13.08.2012 00:00	touchwood	13.08.2012 00:00
Tomu rozumiem, ale naco? Ak dodam lokalnemu servru MX zaznam nemusim postu relayovat ns smtp telekom… fleg 13.08.2012 00:03	fleg	13.08.2012 00:03
až ti budou měnit IP adresu, tak mi pak ještě poděkuješ. ;-) Absolvovat martyrium se změnami DNS, po… touchwood 13.08.2012 00:07	touchwood	13.08.2012 00:07
No jo to ma tiez napadlo, ze to moze byt problem...uz som to raz u jedneho ISP absolvoval, ked neust… poslední fleg 13.08.2012 12:07	fleg	13.08.2012 12:07

proč to řešit firewallem a NATem, když se to dá elegantně vyřešit DNSkem?

V LAN bude lokální DNS, který ti MX záznam pro mail.doména.sk resolvuje na privátní adresu, v internetu bude fungovat standardní DNS server.

Druhá varianta pomocí firewallu je přes nat 1:1 (netestoval jsem, pravděpodobně bude vhodné omezit minimálně in rozhraní a ideálně i port)

iptables -t nat -A PREROUTING -d verejna_IP_adresa -j NETMAP --to LAN_IP_adresa

Nemam este MX zaznam, v pondelok sa este len idem spojit s chlapikom z firmy, domenu maju u telekomu a aj mailove schranky im zriadoval telekom, takze neviem, ci budeme mat pristup k nskam. MX zaznam na subdomenu mi snad spravia, ale ktovie kolko to bude zase u nich trvat.
Dnsko moze byt, ale ak bude mat klient vlastne dns servre (ja napriklad mam na nb) tak to nebude ucinkovat.

Moment, tebe přece DNS server v internetu v podstatě nezajímá, jen potřebuješ znát přesný MX záznam pro existující schránky.

Nebo jsem se ztratil pokud existují již nějaké schránky u ISP, jak může být IMAP server v LAN? Používáš doménový koš a ten vysosáváš serverem, nebo je to ještě jinak?

Lokalny mail server fetchuje kazde 3min vsetky konta cez pop3 zo servra telekomu. Firma che mat zalohu mailov, pretoze hosting u telekomu um nedava tolko miesta a navyse maju teraz zbytocny jeden linuxovy server, takze by ho aspon vyuzili. MX zaznam chcem preto, aby akceptovali postu odoslanu z neho aj ine servre a nepindali, ze ho nema.

Aha. V tom případě bych se vybodl na MX záznam a nechal si zřídit jen Ačkový a poštu odesílal přes SMTP server poskytovatele. Zbytek platí, tj. DHCP+DNS v LAN, které ukazují onen Ačkový záznam na server ne do netu, ale na server v LAN. To je vše.

Preposielanie na smtp ISP sa mi zdalo zbytocne, kedze ide o imapove konta dolezita bue aj odoslana posta, takze naco posielat z vlastneho servera postu na dalsi? Ak by som nechal ako smtp u klientov telekomacky server tak zase moze byt po case problem s miestom, kedze posta sa uklada na servri..
Riesenie s dnskom je elegantne az na to pouzitie vlastneho dns servera klientom, co nevyriesi ani A zaznam a budeme tam, kde sme boli na zaciatku.

Nerozumím. Tvůj SMTP server nastavíš jako smarthost, bude veškerou poštu předávat korektnímu SMTP serveru s MX záznamem, vyhneš se tak antispamovým potížím s tím, že budeš mít server bez MX záznamu.

Tomu rozumiem, ale naco? Ak dodam lokalnemu servru MX zaznam nemusim postu relayovat ns smtp telekomu.
AK klient pouzije vlastne dns bude hladat adresu vlastnymail.firma.sk na nete a packet "zabludi" ako teraz. Spravne nasmerovanie dostanu len klienti pouzivajuci dnskom pridelene dhcp serverom.

až ti budou měnit IP adresu, tak mi pak ještě poděkuješ. Absolvovat martyrium se změnami DNS, pokud je neadministruješ sám, je docela opruz.

No jo to ma tiez napadlo, ze to moze byt problem...uz som to raz u jedneho ISP absolvoval, ked neustale menil IP a zakaznikovi neslo OpenVPN do firmy. Nakoniec to ISP vyriesil tym, ze spravil ackovy zaznam u seba a odvtedy uz problem so zmenami IP nie je.
Vyzera to, ze asi pojdem cestou DNS, laborovanie s fw zatial neprinieslo zelany vysledok, ani ked som siel smerom, ktory si mi ukazal ty.

Zpět do poradny Odpovědět na původní otázku Nahoru