Bericht 1 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Ronald Beuker | Datum | : | 06-03-2008 |
| Aan | : | Allen | MsgID | : | 3767.1 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Beste Forumleden,
Ik zit met de volgende uitdaging: op mijn werk hebben we een stuk of wat (ik geloof 5) externe IP-nummers tot onze beschikking. We gebruiken er echter 1. Hiervoor is NAT ingeschakeld en via PAT worden wat inkomend verkeer (op poorten 80, 443 en 25) doorgesluisd naar de juiste interne computer. Werkt allemaal prima!
Maar... nu hebben wij ook een programma in gebruik om remote support te geven. Hiervoor wordt een client executable gemaakt, waarin een extern IP-nummer staat (dat van ons dus) en de te gebruiken poort. Standaard worden de poorten 5500, 5501 en 5502 gebruikt. E.e.a. is nog met 128-bits versleuteld, dus het is nog veilig ook. ;-) De gebruiker hoeft alleen maar die executable te starten, en de rest gaat vanzelf.
Nadeel is dat bij veel van onze grotere klanten deze poorten meestal dicht staan. Met enig zeuren krijgen we die dan meestal wel open, maar het zou makkelijker zijn als we dit anders zouden kunnen gaan doen. Ik zat bijvoorbeeld te denken om maximaal 3 van onze interne computers bereikbaar te maken via een in gebruik te nemen extern IP-nummer, en dan op een standaard poort. Poort 443 lijkt mij bijvoorbeeld heel geschikt
Stel, mijn interne IP-nummer is nu 192.168.254.1. Ons externe IP-nummer is... iets anders. <g> Laten we zeggen dat het 71.81.91.1 is (ik verzin dit ter plekke), en dat wij bijvoorbeeld 71.81.91.2 t/m 71.81.91.4 extra in gebruik kunnen nemen. Is het dan mogelijk om een inkomend verzoek op 71.81.91.2:443 door te leiden naar mijn interne IP 192.168.254.1:443? Of moet ik er juist voor zorgen dat mijn interne IP-nummer wordt vervangen door het externe IP-nummer 71.81.91.2? Maar hoe (on)veilig is dat dan?
Alle ideeën hierover zijn welkom! Dit gaat net 'even' te veel boven mijn pet. ;-)
Groeten,
Ronald (Sysop)
Bericht 2 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Michel Uphoff (Sysop) | Datum | : | 06-03-2008 |
| Aan | : | Ronald Beuker | MsgID | : | 3767.2 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Ronald,
Als ik je goed begrijp, wil je drie computers via de router aan de buitenwereld koppelen, zodanig dat bij ieder Wan IP adres een interne pc hoort.
Shakespeare zei het al "To Nat or not to Nat" ,en het lijkt er op dat jij beiden tegelijk wilt. Als ik je goed begrijp heb je 5 Wan Ip adressen (mogelijk zo'n Kpn abo).
Je kan bij een bepaalde NIET nat router instelling maximaal 5 computers een wan IP adres geven op deze manier. Ik houd niet van deze methode, en zodra je een pc meer nodig hebt, gaat de vlieger niet meer op en moet je op NAT terugvallen.
Althans... met een 'gewone' huis tuin en keuken modem/router. Er zijn echter ook full feature Nat routers die meerdere WAN ip adressen kunnen vertalen naar even zoveel interne Lan adressen. De Zyxel 660 is zo'n ding. Maar ik geloof niet dat het eenvoudig is zoiets te programmeren. Voor wat inzicht, zie
HIERMeestal gebruiken we in SoHo situaties 1 extern IP adres, en meerdere poorten. Zo heb ik bijvoorbeeld klanten die willen dat ik bij hun computers kan (hoe kómen ze op het onzalige idee..)
Daarvoor gebruik ik remote access software, en op iedere computer in het netwerk draait zo'n remote access servertje. Nu kan ik de connectie op twee manieren oplossen: Via een gateway of via poorten:
Gateway: Ik maak van een pc in het netwerk een doorgeefluik (de gateway). Deze computer staat via het lan in verbinding met de andere computers, en ik kom alleen bij de gateway binnen. De gateway ziet dat ik het IP adres van een andere pc oproep en stuurt mij naar die pc door. Voor de verbinding hier heb ik dus alleen het Wan ip adres van de router in dat netwerk nodig, en het Lan ip adres van de pc waar ik 'op' wil. In de router wordt slechts één poortje open gezet, naar de gateway in dit geval. Voordeel: eenvoudig. Nadeel je hebt een pc als gateway nodig (die dus wel aan moet staan). Overigens kan de gateway een gewone pc zijn, de extra belasting is zo minimaal dat iemand volkomen ongemerkt van de gatway faciliteiten gebruik kan maken.
Via poorten: In de router staan 10 opeenvolgende poortnummers naar 10 pc's in het lan geforward:
Poort Lan IP pc
10001 192.168.1.101
10002 192.168.1.102
10003 192.168.1.103
..
..
10010 192.168.1.110Wil ik op pc 101 dan geef ik naast het Wan Ip van de router poort 10001 op.
Voordeel iedere pc is direct en zonder tussenkomst van buiten af te bereiken, dus geen gateway nodig. Nadeel iets meer werk in de router, en alle pc's wel graag een vast IP adres geven wil je niet binnen de kortste keren heerlijk verdwalen.
In jouw geval lijkt meerdere poorten een goede optie, klant A krijgt poort 1111 en gaar naar Pc 1, en klant B krijgt poort 1112 en gaat naar Pc 2 et cetera.
Heb je een vette Multi-Nat router, dan kan wat jij wilt ook wel, maar dan moet je toch wel even blokken op de in's en outs.
Michel Uphoff (NLcomputer)
Homepage
Bericht 3 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Tony de Jonge (Sysop) | Datum | : | 09-03-2008 |
| Aan | : | Ronald Beuker | MsgID | : | 3767.3 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Ronald,
Tsja, hmmm, volgens mij wil je iets wat een standaard huis-tuin-en-keuken router (tenzij het een zeer complete full loaded full feature ding is) normaal gesproken niet echt kan...
Maar..., je hebt het over poort 5500 et. (en ik ndek ook 5900...<g>), in dat geval is er iets slims, PChelpWare, zie
www.uvnc.com voor diverse info. Kortgezegd zit daar een repeater bij die je op een PC (server) bij jullie zelf installeert en wel op een dusdanige manier dat deze via een poort (443?) vanuit de buitenwereld bereikbaar is. Vervolgena connecten jullie zelf naar die repeater, en jullie klanten ook, en met een cogenoemd ticket nummer koppel je ze aan elkaar, zo kun je met je collega's afspreken allemaal een eigen ticketnummer te gebruiken (let op, moet >= 1000 zijn, 1, 2 en 3 werken dus niet hebben we zelf ontdekt...!) of als je van een helpdesktool oid gebruikt maakt die ticketnumemr uitdeelt kun je die eventueel gebruiken.
Maar voor je eerste oplossing heb je een slimme router nodig, eventueel DMZ, terwijl die repeater het leven mogelijk al wat gemakkelijker maakt en er voor zorgt dat je je doel op een eenvoudiger manier kunt bereiken.
Ik kan je zeggen dat wij (mijn bedrijf dus...) die oplossing inmiddels al weer een poos (ik dnek al weer een jaar) naar volle tevredenheid gebruiken, en gezien het poortnummer 5500 schat ik in dat je het over VNC of een van de varianten hebt.
TdJ
Bericht 4 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Ronald Beuker | Datum | : | 20-03-2008 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3767.4 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Michel,
Het is inderdaad zo'n Kpn abo, nl. Zakelijk InternetPlusBellen XL. Volgens mij hebben we 8 IP-adressen toegewezen gekregen, waarvan we er effectief 5 kunnen gebruiken. Toen het modem een keer gereset was, zag ik inderdaad 'ergens' in de modeminstellingen die xx.xx.xx.1 t/m xx.xx.xx.5 IP-nummers boven water komen.
Het apparaat dat we hebben, is deze:
Device : LA-110 , RAD Data Communication,Ltd.
Name : LA110
Date : MAR. 20, 2008
Time : 14:12:14
ATM port interface : ADSL
System clock : Adaptive Clock
Board revision : LA-110 REV 1.2
Loopback : none
Boot version : 0.0.0.0
Software version : 2.63 ADSL ANNEX A
Options : K
ELCP version : 1.00.00 ELCPAPP-1-15DEC00Voor het geven van support hebben we hier maximaal 3 pc's in gebruik. Essentieel hierbij is dat wij niet zelf een pc overnemen, maar dat de klant een toepassing start die zo'n verzoek doet. De klant kan daarbij kiezen naar welke pc van ons dat verzoek gaat (wij geven dan uiteraard aan welke hij moet hebben). Op dit moment resulteert dat in een verbinding vanaf de klant naar ons WAN-IP adres op poort 5500, 5501 of 5502 (pc1, pc2 of pc3).
Dit werkt prima, maar bij grotere klanten wil het nogal eens gebeuren dat verkeer via deze poorten standaard niet mogelijk is. Nu krijgen we dat uiteindelijk wel weer geregeld, maar het blijft een gedoe. ;-)
Daarom had ik bedacht om te proberen of we e.e.a. via een standaard poort zouden kunnen gaan doen. Poort 443 lijkt mij dan het meest geschikt. Maar dan moet ik wel van een ander WAN-IP adres gebruik gaan maken, want achter poort 443 op ons huidige (enige) WAN-IP adres zit een webserver.
Dus wilde ik eens testen of ik bijvoorbeeld mijn pc zo'n extern IP-nummer kan geven, om zo verkeer op poort 443 om te leiden naar bijvoorbeeld mijn pc. Moet ik dan ook echt mijn pc dat externe IP-nummer geven (waardoor ik volgens mij, als ik Internet op ga, ook dat externe IP-nummer heb gekregen), of kan ik volstaan met alleen binnenkomend verkeer voor xx.xx.xx.2:443 door te leiden naar 192.168.254.1:5501 ?
Groeten,
Ronald
Bericht 5 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Ronald Beuker | Datum | : | 20-03-2008 |
| Aan | : | Tony de Jonge (Sysop) | MsgID | : | 3767.5 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Tony,
Je bent behoorlijk warm! <g> De tool die wij gebruiken is ook op VNC gebaseerd:
http://www.remotesupportsystem.comVoor de verdere details, zie mijn bericht aan Michel. Zo'n repeater zit er trouwens ook bij, dacht ik. Ik ga eens kijken wat ik daar misschien mee kan doen...
Groeten,
Ronald
Bericht 6 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Michel Uphoff (Sysop) | Datum | : | 20-03-2008 |
| Aan | : | Ronald Beuker | MsgID | : | 3767.6 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Ronald,
Dat apparaat zegt mij niets, maar het kent wel twee modi als ik het goed begrijp, Nat en IPCP, dat bruikbaar is voor doorgifte van meerdere IP adressen (maximaal het aantal dat je huurt minus ik dacht 3, en de ingebouwde firewall moet het verkeer doorlaten, hoe het dan met de veiligheid op het netwerk zit, is te raden..). Dus heb je niet meer dan 5 computers, dan zou je ze allemaal een WAN adres kunnen geven, en ze dus direct van buitenaf bereikbaar kunnen maken.
Heb je meer computers, dan word je toch afhankelijk van Nat, en dan hebben de computers vanzelfsprekend een locaal IP adres. De tamelijk onvriendelijke handleiding van dit typische KPN apparaat vind je
HIER.
>> of kan ik volstaan met alleen binnenkomend verkeer voor xx.xx.xx.2:443 door te leiden naar 192.168.254.1:5501 <<Dit moet lukken en zou ik zeker eerst doen, want de IPCP methode heeft zo zijn bezwaren.
Michel Uphoff (NLcomputer)
Homepage
Bericht 7 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Ronald Beuker | Datum | : | 06-05-2008 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3767.7 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Michel,
Ik heb zojuist een dappere poging gedaan, maar ik kom er nog niet uit. <g> De situatie is nu dat alle computers naar buiten gaan met 1 IP-nummer, dus intern wordt het verkeer via NAT afgehandeld. Op poortniveau zitten er nog wat PAT-rules bij, zodat bijvoorbeeld verkeer op poort 443 op onze webserver uitkomt. Nu zou ik het inkomend verkeer via een
ander extern IP-nummer op poort 443 door willen sluizen naar mijn computer. Ons huidige externe IP-nummer is bijv. 77.x.x.1. Dat andere externe IP-nummer zou dan bijv. 77.x.x.2 zijn (we hebben 77.xx.xx.1 t/m 77.xx.xx.8, waarbij .6, .7 en .8 niet gebruikt kunnen worden).
Eerst probeerde ik dit:
LA110>add pat
Adding PAT number :10
Real IP Virtual IP Protocol
---------------------------------------------
77 .x .x.2 192.168.254.1 TCP
Port: User Define
Min Port User Define : 443
Max Port User Define : 443
ERROR: SINGLE NAT with matching real and virtual ip must be configure first.
2008-05-6T12:21:15Goed, probeer ik dat:
LA110>add nat
Nat type : Single
Interface : 1
Real IP Real Mask
------- ---------
77 .x .x.2 255.255.255.255
Virtual IP Virtual Mask
---------- ------------
192.168.254.1 255.255.255.0
ERROR : Illegal IP address
NAT entry was not added
2008-05-6T12:23:00Nou toen ging het licht wel uit, hier. <g> 'Real IP', dat is toch het externe IP? Zou ik dat 77.xx.xx.2 nummer nog ergens moeten toevoegen ofzo?
Groeten,
Ronald
Bericht 8 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Michel Uphoff (Sysop) | Datum | : | 10-05-2008 |
| Aan | : | Ronald Beuker | MsgID | : | 3767.8 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Hoi Ronald,
Wat jij wilt kan voorzover mij bekend niet.
Je wilt én een Nat router én 2 Wan Ip adressen gebruiken. Volgens mij zijn er twee valide setup's:
1: Nat router; alle pc's 'denken' dat de gateway, dus het interne IP adres van de router de poort naar buiten is, en de router zal via Nat alle interne IP nummers omkatten naar één (1) en hetzelfde Wan IP adres. Interne pc's kunnen benaderrbaar worden gemaakt via port forwarding. Wil je meerdere computers van buitenaf kunnen bereiken, dan heb je meerdere poortnummers nodig die via address translating naar de aangegeven pc worden gerouteerd.
2: Ipcp configuratie, waarbij je meerdere Wan IP adressen kunt gebruiken, maar ernstig beperkt bent in het aantal pc's (iedere pc heeft een van de uitgegeven Wan IP adressen). Ik heb geen ervaring met het opzetten van een Ipcp configuatie. (zie link naar manual in mijn vorige reply).
Kort gezegd: Nat sluit meerdere Wan ip adressen uit als ik het wel heb.
Michel Uphoff (NLcomputer)
Homepage
Bericht 9 van 9NL Computer Forum ~ Netwerken Verbinding | Van | : | Ronald Beuker | Datum | : | 25-05-2008 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3767.9 |
| Onderwerp | : | NAT, en PAT, en weet-ik-wat... | Forum | : | ws-nlcomputer |
Beste Michel,
>> Nat sluit meerdere Wan ip adressen uit als ik het wel heb <<
Helaas! We moeten wel Nat gebruiken, want er zijn flink wat meer pc's dan die 5 IP nummers.
In ieder geval hartelijk dank voor het meedenken, het was wel weer leerzaam!
Groeten,
Ronald (Sysop)
