Chỉ định mạng IP công cộng cho máy trên mạng LAN

Vì vậy, gần đây tôi đã bắt đầu chơi với Windows Server, hoạt động rất tốt cho đến nay, sau đó tôi cơ bản gặp phải một bức tường gạch khi tôi cố gắng thiết lập VPN.

Nói một cách đơn giản nhất, tôi có 4 địa chỉ IP công cộng mà tôi đã mua từ ISP của mình và tôi muốn chỉ định một trong những địa chỉ đó cho máy Windows Server.

Tôi đã thử Chuyển tiếp DNS, tạo ARP Proxy và tạo NAT 1: 1 quy tắc tường lửa của tôi và tôi đã thử chuyển thẳng cổng nhưng dường như nó không hoạt động. Không chắc chắn những gì tôi đang làm sai.

Bộ định tuyến của tôi đang chạy pfSense.

Bất kỳ khách hàng tiềm năng sẽ có ích, cảm ơn bạn!

— CristianHG
nguồn

Bản sao có thể có của DD-WRT: Làm cách nào để cho phép chuyển tiếp cổng áp dụng cho các yêu cầu xuất phát từ bên trong mạng LAN?

— JakeGould

Có thể sử dụng IP công cộng với máy trên mạng LAN? Khẳng định?

— JakeGould

Làm thế nào chính xác là bạn được kết nối với ISP của bạn để nó có thể cung cấp cho bạn bốn IP công cộng? Bất cứ điều gì bạn sử dụng để kết nối với nó, bạn cần cấu hình máy đó. Làm thế nào để phía ISP hiển thị trên máy đó?

— dirkt

Câu hỏi trùng lặp không thực sự trả lời của tôi. Chúng tôi có một máy chạy pfSense được kết nối với modem do ISP cấp. Các IP là các IP có thể sử dụng được, tôi không chắc ISP đã thiết lập nó như thế nào, nhưng tôi đã có thể lấy nó để làm cho nó đưa bạn đến giao diện web pfsense. Tuy nhiên, khi tôi cố gắng chuyển tiếp nó sang một máy khác, thậm chí chỉ định địa chỉ, nó sẽ không hoạt động, nó sẽ chỉ đi đến cổng bất kể. Tôi không thể chỉ sử dụng giao diện WAN vì địa chỉ được gán bởi pfSense khác với địa chỉ tôi đang cố sử dụng.

— CristianHG

Câu trả lời:

Có một số khả năng, tùy thuộc vào cách ISP thiết lập kết nối của bạn.

Bạn chỉ định địa chỉ công cộng cho bộ định tuyến, DNAT (chuyển tiếp cổng) tất cả các cổng có liên quan đến địa chỉ LAN thông thường của máy chủ và tương tự SNAT tất cả các kết nối đi. (Trong pfSense, "1: 1 NAT" bao gồm cả hai cùng một lúc.) Điều này hoạt động bất kể ISP mong đợi điều gì, nhưng tất nhiên bạn vẫn đứng sau NAT. Proxy-ARP không được sử dụng, vì không có "proxy" nào xảy ra: bộ định tuyến đã tạo ra các phản hồi ARP hợp pháp trong thiết lập này.
Bạn chỉ định địa chỉ công khai trực tiếp cho máy chủ của mình, sau đó thêm tuyến đường liên kết trên bộ định tuyến của bạn (với địa chỉ là đích, LAN là giao diện và không có cổng). NAT là không cần thiết. Lưu ý: Tôi e rằng pfSense không hỗ trợ thêm các tuyến liên kết qua webUI hoặc ít nhất làm cho nó không rõ ràng.
- Nếu ISP mong muốn địa chỉ này là "on-link", tức là được gán trực tiếp cho bộ định tuyến, bạn cũng phải bật proxy-ARP trên bộ định tuyến (làm cho ISP nghĩ rằng nó vẫn còn liên kết).
- Nếu ISP đã định tuyến địa chỉ qua địa chỉ khác của bạn, proxy-ARP không cần thiết.
- Nếu kết nối WAN là "point-to-point" (ví dụ như PPPoE), proxy ARP là không cần thiết, hoặc, bởi vì có là không ARP trong đó loại kết nối.

Trong mọi trường hợp, "chuyển tiếp DNS" là công cụ hoàn toàn sai. (Trong pfSense, "DNS Forwarder" về cơ bản là một biến thể cũ hơn của chức năng "trình phân giải DNS" - cái sau sử dụng Không giới hạn và cái trước sử dụng dnsmasq.)

Làm thế nào để bạn tìm ra những gì ISP mong đợi (giả sử kết nối WAN giống như Ethernet chứ không phải điểm-điểm)?

Trước tiên, bộ định tuyến cần phải có chức năng "bắt gói" (hoặc "gói sniffer") - chẳng hạn như tcpdump. Bạn cũng sẽ cần một cách để ping hoặc liên hệ với địa chỉ từ một hệ thống bên ngoài (các trang web "kính nhìn" công khai khác nhau sẽ hoạt động). Ngoài ra, đảm bảo rằng bộ định tuyến không có địa chỉ được chỉ định và nó không có proxy-ARP hoạt động.
Trong khi hệ thống bên ngoài đang gửi các gói đến địa chỉ, hãy kiểm tra xem bộ định tuyến của bạn nhìn thấy gì. Nếu có các yêu cầu ARP đến từ ISP cho địa chỉ này, thì nó sẽ được dự kiến là "trên liên kết" (và đây là nơi yêu cầu proxy-ARP đến từ). Nếu không có gì, và các gói thực sự chỉ đến với MAC của bộ định tuyến của bạn trong tiêu đề, thì địa chỉ IP được định tuyến riêng.
Một lần nữa, điều này không áp dụng cho PPP / PPPoE: loại kết nối đó hoàn toàn không sử dụng ARP (và do đó không cần proxy-ARP); các gói sẽ chỉ đơn giản là đi qua đường hầm.

— sự tham lam
nguồn

Đầu tiên, bạn có nhận được 4 IP có thể sử dụng không?

Như trong 4 IP, cộng với một IP để phát sóng và một IP cho ID mạng. Vậy tổng cộng 6?

Hoặc bạn đã nhận được 4 IP, giả sử 4.3.2.0, 4.3.2.1, 4.3.2.2, 4.3.2.3

Tôi đoán cái sau, trong trường hợp sau:

4.3.2.0 là ID mạng của bạn và không thực sự sử dụng được.
4.3.2.1 thường là IP của cổng của bạn (ví dụ: IP bên trong của modem)
4.3.2.2 sẽ là IP duy nhất bạn có để sử dụng miễn phí (như trên, gán nó cho máy tính duy nhất của bạn).
4.3.2.3 sẽ là địa chỉ quảng bá.

Nếu tôi sai xin vui lòng đề cập đến các thiết lập trong bài viết của bạn. Không bao gồm IP litertal, vui lòng viết IPS của bạn dưới dạng aaa.bbb.132.32-5 / 252.

Nếu bạn có ý định sử dụng cả NAT và địa chỉ IP thông thường, cũng đề cập đến điều đó.

^{Bây giờ nếu tôi chỉ có thể sử dụng đánh dấu trong các bình luận thì điều này sẽ được đăng dưới dạng một bình luận thay vì đoán xem thiết lập là gì.}

— Hennes
nguồn

Điều này chỉ đúng nếu nó được cấu hình như một mạng con liên kết; có những khả năng định tuyến khác trong đó "ID mạng" và "địa chỉ quảng bá" hoàn toàn không áp dụng.

— grawity

Đúng. Tôi đoán ở đây. Chúng tôi thực sự không có đủ thông tin. Cố gắng yêu cầu nó như một bình luận và cố gắng hữu ích cho OP. Nhưng một khi OP trả lời thì rất có thể sai. Trong trường hợp đó tôi sẽ xóa nó.

— Hennes

Vâng, ISP của chúng tôi đã nói với chúng tôi rằng chúng là 4 IP có thể sử dụng được, tôi đã thử nghiệm nó bằng cách sử dụng chuyển tiếp cổng và nó hoạt động tốt, nhưng tôi muốn biết cách gán một trong số chúng cho một máy cụ thể.

— CristianHG

uhm Chỉ cần phân công họ? Nó chỉ nên làm việc. Không cần thiết lập PAT, NAT, chuyển tiếp cổng hoặc bất cứ điều gì. Chỉ cần gán IP cho máy tính để bàn của bạn và một trong bốn cái cho tường lửa (hoặc bất kỳ bộ định tuyến SOHO nào bạn sử dụng) để được sử dụng làm cổng.

— Hennes