MadMax je napisal/-a:Napisano deluje pri statičnem IP, ali samo dinamičnem?
Poleg tega: a ni v varnostnem pogledu zadeva enmičken varnostno sporna? Router naj bi bil neka varovalka, pregrada med interno mrežo in svetom, tu pa je modem prek velikega hodnika povezan z interno mrežo. Praktično vse gre "na zaupanje" modemu. Kdor pride skozi modem, je praktično takoj v internem lanu.
Vseeno ali je IP statičen ali dinamičen. Itak ti IP določi PPPoE server (torej ponudnik). Če imaš statičen IP ti dajo vedno istega, če je dinamičen se pa lahko spreminja vsakič, ko vzpostaviš PPPoE sejo.
PPPoE seja, ki jo vzpostavi mikrotik z ISPjem je ubistvu tunel v katerega se modem ne vtikuje. Gre torej za tunel, ki pelje preko modema. Modem torej nima javnega IP naslova in v tak tunel praviloma ne posega.
pppoe.jpg
vir:
https://help.mikrotik.com/docs/spaces/R ... ickExampleNa zgornji sliki lahko rečemo, da je PPPoE klient v našem primeru Mikrotik, PPPoE server je ISP, modem je pa v sredini in deluje kot L2 switch (zato rečemo, da ima modem PPPoE passthrough).
Glede IP naslova na modemu je pa tako; lahko ga ima, lahko ga nima, lahko ima tudi nek dummy IP, če ga že mora imeti, npr: 10.20.30.40
Težava nastane, če želiš potem dostopati do modema, ki si mu dal ta IP. Moraš se postaviti v njegov IP segment, ki je definiran z masko, npr 10.20.30.40/24. Dokler modem sam ne vzpostavi PPPoE seje je iz interneta nedosegljiv.
Za razlago "router kot varovalka" je treba poznati tri stvari:
- routing
- NAT
- firewall ali access lista
Router je škatla, ki ji pošlješ IP paket in škatla v paketu pogleda destination (ciljni) IP naslov, potem v svoji routing tabeli pogleda preko katerega interfacea naj bi bil destination IP dosegljiv ter naposled paket pošlje skozi ta interface.
Konkreten primer recimo, če iz računalnika z IPjem 192.168.1.10 pošlješ ping na 8.8.8.8 (googlov DNS) bo router tak paket poslal proti internetu.
V ozadju so sicer stvari kompleksne ampak v tej točki ne bomo komplicirali.
No ampak google nima pojma kje na internetu se nahaja tvoj 192.168.1.10 in sicer iz dveh razlogov. Prvi je ta, da je ta IP namenjen privat uporabi in naj ne bi bil v internetni routing tabeli. Drugi razlog je ta, da bi moral vsak pameten ISP pakete s takšnim source IPjem odmetavati.
Ponudnik ti namreč da javni IP naslov in na tebi je, da ga uporabljaš. Tukaj pride na vrsto NAT oziroma Network Address Translation.
To je proces pri katerem router tvoj ping spremeni tako, da v IP paketu namesto 192.168.1.10 zapiše javni IP naslov, npr: 193.111.222.34 (ta IP sem dejansko imel pred 20 leti na kabelskem omrežju
) In ker je to javni IP oziroma se nahaja v internetni routing tabeli bo google na takšen ping lahko odgovoril.
Potem imamo pa še firewall oziroma access listo.
Gre za filter mehanizem s katerim poveš kakšen IP promet (pa tudi druge protokole) sploh dovoliš, da jih router sprejme v obdelavo.
Dandanes v škatlah, ki združujejo vse tri funkcionalnosti tesno sodelujeta NAT + firewall.. zakaj? Ker NAT sporoči firewallu da je šel tvoj ping proti googlu in naj ga firewall zato tudi spusti nazaj pri čemer upošteva, da je prepisal original IP naslov ko je šel paket ven. Ko se ping vrne v router ga NAT najprej prepiše tako, da tokrat ciljni IP naslov prepiše s tistim, ki je v NAT tabeli (torej 192.168.1.10). Seveda pod pogojem, da je firewall sploh dovolil naj gre ta ping reply v obdelavo. Zato pravim, da NAT in firewall tesno sodelujeta.
Da odgovorim: od firewalla na PPPoE strani je odvisno koga spuščaš v svojo mrežo.
Nimate dovoljenj za ogled prilog tega prispevka.
)
