/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
"ip helper-address" og "nat"
Fra : Benny Sørensen


Dato : 26-11-02 11:01

"ip helper-address" på en router fowarder UDP broadcasts... og derfor
velegnet når klienter
skal bruge en DHCP-server på et andet netværk!

Men hvorfor kan den ikke håndtere dette, hvis det bagvedliggende net er et
"nattet" net ?

/Benny






 
 
Jens Fallesen (26-11-2002)
Kommentar
Fra : Jens Fallesen


Dato : 26-11-02 20:01

Benny Sørensen wrote:

> Men hvorfor kan den ikke håndtere dette, hvis det bagvedliggende net er et
> "nattet" net ?

Forwardingen fungerer ved, at routerens egen IP-adresse i det
bagvedliggende net indsættes som sourceadresse i den request, der sendes
videre til serveren (som unicast).

Ud fra sourceadressen kan serveren så se, hvilket net, der skal deles en
adresse ud til, hvorefter den sender et unicastsvar tilbage til routeren
indeholdende de informationer, der skal ud på det bagvedliggende net.

Dette fungerer ikke med NAT, fordi NAT jo ændrer sourceadressen i
pakkerne - serveren modtager altså en pakke med NAT outside-adressen,
som befinder sig i et andet net end den klient, der egentlig bad om at
få en adresse. Dette vil så få serveren til at undlade at svare eller at
svare med en adresse i det forkerte net - ingen af delene vil føre til,
at den oprindelige requester får en brugbar IP-adresse.

Kort sagt er forklaringen altså, at DHCP relay ikke umiddelbart er
muligt over NAT.


--
Jens Fallesen <jens@fallesen.dk> O-
Hedegaardsvej 41 st th, 2300 Copenhagen S, Denmark
Phone: (+45) 32 86 18 99 * Fax: (+45) 32 86 17 99
CCIE #5470


[2600] Benny Sorense~ (26-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 26-11-02 22:56

> Kort sagt er forklaringen altså, at DHCP relay ikke umiddelbart er
> muligt over NAT.

Det anede mig... men har Cisco så slet ikke nogen løsning på dette i sine
routere ?





Jens Fallesen (28-11-2002)
Kommentar
Fra : Jens Fallesen


Dato : 28-11-02 08:20

[2600] Benny Sorensen wrote:

>>Kort sagt er forklaringen altså, at DHCP relay ikke umiddelbart er
>>muligt over NAT.
> Det anede mig... men har Cisco så slet ikke nogen løsning på dette i sine
> routere ?

Det kommer lidt an på setuppet. Hvis man ønsker, at den centrale
DHCP-server kan uddele IP-adresser til det NAT'ede netværk, har man vel
også et ønske om, at serveren efterfølgende kan tale med hosts på det
netværk, og så har man vel i forvejen forbundet de to netværk via f.eks.
IPsec og/eller GRE - og så ville DHCP relay fungerer gennem denne
forbindelse.

Alternativt var det måske en løsning simpelt hen at bruge routeren selv
som DHCP-server på det lokale net.


--
Jens Fallesen <jens@fallesen.dk> O-
Hedegaardsvej 41 st th, 2300 Copenhagen S, Denmark
Phone: (+45) 32 86 18 99 * Fax: (+45) 32 86 17 99
CCIE #5470


[2600] Benny Sorense~ (28-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 28-11-02 22:12

> Det kommer lidt an på setuppet. Hvis man ønsker, at den centrale
> DHCP-server kan uddele IP-adresser til det NAT'ede netværk, har man vel
> også et ønske om, at serveren efterfølgende kan tale med hosts på det
> netværk, og så har man vel i forvejen forbundet de to netværk via f.eks.
> IPsec og/eller GRE - og så ville DHCP relay fungerer gennem denne
> forbindelse.

Tak for et smaddergodt indlæg !!!

Men jeg forstår ikke hvad du mener med,
at de to net vel i forvejen er forbundet via f.eks. IPsec og/eller GRE ????

De er kun forbundet via en router!

Hvordan skal de to net forbindes med en tunnel ????

Hvad er smartest at bruge GRE-tunnel eller IPSec. - hvis man ikke skal tænke
i sikkerhed?

>> - og så ville DHCP relay fungerer gennem denne

Det lyder godt!
Glæder mig til at høre nærmere!




Jens Fallesen (28-11-2002)
Kommentar
Fra : Jens Fallesen


Dato : 28-11-02 22:36

[2600] Benny Sorensen wrote:

> Men jeg forstår ikke hvad du mener med,
> at de to net vel i forvejen er forbundet via f.eks. IPsec og/eller GRE ????

Kort "tegning":

DHCP-server ---[NET-A]--- Router1 ---[WAN]--- Router2 ---[NET-B]--- pc

Du ønsker, at DHCP-serveren på net A skal give pc'en på net B en
IP-adresse. Hvorfor ønsker du at gøre det, når Router2 skal lave NAT?

Hvis en host på net B skal tale med en host på net A gennem NAT, vil der
efter min mening ikke være nogen logik i at ønske, at DHCP-serveren på A
skal uddele adressen til pc'en på net B.

Hvis det skal give mening, skal det være, fordi WAN i virkeligheden er
et fremmed net, f.eks. Internet, og at pc'en skal køre NAT for at komme
ud på det fremmede net men gennem en tunnel (uden NAT) for at komme til
net A. Og har man en tunnel, kan man også køre DHCP relay.

Men hvad er det, du prøver at opnå?


--
Jens Fallesen <jens@fallesen.dk> O-
Hedegaardsvej 41 st th, 2300 Copenhagen S, Denmark
Phone: (+45) 32 86 18 99 * Fax: (+45) 32 86 17 99
CCIE #5470


[2600] Benny Sorense~ (28-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 28-11-02 23:22

Jeg prøver at præciserer mig lidt mere.

En virksomhed har en stribe offentlige IP-adresser på Net A.
På denne sider DHCP-serveren!

Da man så mangler offentlige IP-adresser NAT'er man til et andet net,
Derfor følgende tegning:

> DHCP-server ---[NET-A]--- Router ---[NET-B]--- pc

DHCP-serveren på net A skal give pc'en på net B en IP-adresse

En løsning er at natte det hele, men det vil virksomheden ikke!

Kan dette løses uden brug af flere DHCP-servere ?






Asbjorn Hojmark (29-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 29-11-02 00:00

On Thu, 28 Nov 2002 23:22:16 +0100, "[2600] Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> En virksomhed har en stribe offentlige IP-adresser på Net A.
> På denne sider DHCP-serveren!
>
> Da man så mangler offentlige IP-adresser NAT'er man til et andet net,
> Derfor følgende tegning:
>
> > DHCP-server ---[NET-A]--- Router ---[NET-B]--- pc

Enten mangler der noget på den tegning, eller også giver det ikke
mening at NAT'e mellem de to netværk. Man kan nøjes med at route.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Benny Sorensen (29-11-2002)
Kommentar
Fra : Benny Sorensen


Dato : 29-11-02 11:26

Jeg forstår ikke helt hvad du mener, desværre!

En virksomhed har en stribe offentlige IP-adresser på Net A.

Men så mangler der flere officielle IP-adresser!

Så man tager en af de offentlige IP-adresser og får routeren til at NAT'te
til nogle
192.168.x.x-adresser!

---[NET-A]--- Router ---[NET-B]---

På den måde er routeren NAT-enhed!

---[NET-A]--- Router ---[NET-B]---

Hvorfor giver det ikke mening at NAT'e mellem de to netværk?
Hvordan kan man nøjes med at route





Asbjorn Hojmark (29-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 29-11-02 22:17

On Fri, 29 Nov 2002 11:26:00 +0100, "Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> En virksomhed har en stribe offentlige IP-adresser på Net A.

Ja, det forstod jeg.

> Men så mangler der flere officielle IP-adresser!

Ja, og derfor bruger man nogle private.

> Så man tager en af de offentlige IP-adresser og får routeren til at NAT'te
> til nogle 192.168.x.x-adresser!

Nej, så tager man en router og får den til at route mellem de
officielle og de private adresser. Der er ingen grund til at bruge
NAT.

> Hvorfor giver det ikke mening at NAT'e mellem de to netværk?

Det er unødvendigt.

> Hvordan kan man nøjes med at route

Jeg forstår ikke spørgsmålet. Jeg har på fornemmelsen, at du basalt
set ikke ved, hvad routing er.

-A

[2600] Benny Sorense~ (30-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 30-11-02 00:28

Må man ikke være uvidende
> Nej, så tager man en router og får den til at route mellem de
> officielle og de private adresser. Der er ingen grund til at bruge
> NAT.

Nej ok... man kan nøjes med at route! Men i hvilke tilfælde er NAT så
nødvendigt, hvis du altid kan
route!

Iøvrigt: Det jeg oprindelig er interesseret i at vide er:

DHCP-server ---[NET-A]--- Router ---[NET-B]--- pc

DHCP-serveren på net A skal give pc'en på net B en IP-adresse
Hvordan kan man det uden brug af flere DHCP-servere?

Er det i orden, at jeg spørger, selv om der er basale ting indenfor netværk
som jeg ikke kender til?





Asbjorn Hojmark (30-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 30-11-02 00:42

On Sat, 30 Nov 2002 00:27:35 +0100, "[2600] Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> Nej ok... man kan nøjes med at route!

Ja.

> Men i hvilke tilfælde er NAT så nødvendigt, hvis du altid kan
> route!

NAT er nødvendigt, hvis man ikke kan nøjes med at route, men det
er ikke tilfældet i dit setup.

> DHCP-server ---[NET-A]--- Router ---[NET-B]--- pc
>
> DHCP-serveren på net A skal give pc'en på net B en IP-adresse
> Hvordan kan man det uden brug af flere DHCP-servere?

Ved at konfigurere DHCP relay på routeren. Hvis det er en Cisco-
kasse, gøres det med 'ip helper A.B.C.D'.

> Er det i orden, at jeg spørger, selv om der er basale ting
> indenfor netværk som jeg ikke kender til?

Naturligvis.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

[2600] Benny Sorense~ (30-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 30-11-02 10:05

> NAT er nødvendigt, hvis man ikke kan nøjes med at route, men det
> er ikke tilfældet i dit setup.

Okay, jeg begynder at forstå lidt af , hvad du mener... men nu troede jeg
netop idéen med NAT kunne være at oversætte en offentlig
adresse til mange private:

Citat fra net-faq.dk

"Hvad er NAT?
NAT er forkortelsen for "Network Address Translation" og benyttes til f.eks.
at oversætte private IP-adresser til offentlige [snip] kan man translatere
et eller flere netværk til en offentlig IP-adresse. [snip] NAT oversætter IP
pakkerne således at de på ydersiden ser ud til at have en anden
afsenderadresse (eller source/destination port) end maskinen, de oprindeligt
kommer fra.



Hvis NAT/PAT ikke er nødvendig i mit setup, hvor det netop drejer sig om at
oversætte en offentlig IP-adresse til mange private
kunne jeg da godt tænke mig at høre et par eksempler på, hvornår NAT/PAT så
er nødvendigt og har berettigelse!

Hvis nogen kan svare på det.....








Jens Fallesen (30-11-2002)
Kommentar
Fra : Jens Fallesen


Dato : 30-11-02 17:54

[2600] Benny Sorensen wrote:

> Hvis NAT/PAT ikke er nødvendig i mit setup, hvor det netop drejer sig om at
> oversætte en offentlig IP-adresse til mange private
> kunne jeg da godt tænke mig at høre et par eksempler på, hvornår NAT/PAT så
> er nødvendigt og har berettigelse!

Vi tager lige "tegningen" igen:

[NET-A] -- Router -- [NET-B]

Hvis net A og net B bare er to lokale net, der bare skal tale med
hinanden, er der ikke brug for NAT.

Hvis net A til gengæld dækker over f.eks. Internet, er du naturligvis i
den situation, at kun officielle IP-adresser kan snakke med hele
Internet, og i den situation har du brug for NAT, hvis hosts på net B
skal tale med noget ude på Internet.

Dit setup ligner noget i denne retning:

[INTERNET] -- AccessRouter -- [NET-A] -- DinOmtalteRouter -- [NET-B]

Her lader det til, at du har smidt nogle af dine ting direkte på net A,
som kører med officielle adresser, og nu er du så løbet tør, så du vil
sætte ting på net B.

Mit råd er at tage alt, hvad der ikke skal kunne nås udefra og sætte ind
på net B sammen med DHCP-serveren og herefter efterlade ting, der skal
kunne nås fra Internet, ude på net A med statiske adresser i stedet for
DHCP.

Og så har jeg i øvrigt fuldkommen ignoreret ting som firewalls og
sikkerhed, som jeg kraftig vil tilråde dig at gøre nogle grundige
overvejelser omkring, hvis du ikke allerede har gjort det.


--
Jens Fallesen <jens@fallesen.dk> O-
Hedegaardsvej 41 st th, 2300 Copenhagen S, Denmark
Phone: (+45) 32 86 18 99 * Fax: (+45) 32 86 17 99
CCIE #5470


[2600] Benny Sorense~ (01-12-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 01-12-02 10:51

> Mit råd er at tage alt, hvad der ikke skal kunne nås udefra og sætte ind
> på net B sammen med DHCP-serveren og herefter efterlade ting, der skal
> kunne nås fra Internet, ude på net A med statiske adresser i stedet for
> DHCP.

Jeg har lært meget af denne tråd!

Jeg kan sagtens se at routing IKKE er nødvendigt!

Jeg har lært meget af denne tråd...
Tak til både Jens og Asbjørn.




Benny Sorensen (03-12-2002)
Kommentar
Fra : Benny Sorensen


Dato : 03-12-02 21:56

Jens eller Asbjørn, jeg håber at I stadig følger med i denne tråd...

Jeg kan godt se, at NAT måske ikke er nødvendig og at man kan route i
stedet.

Men hvis en host skal fra et net med private adresser (Net A)
ud gnnem en router (til net B)
og derefter ud gennem
en router til Internettet...

Net A / Private adresser --- Router --- Net B / Off. adresser --- Router ---
WAN

Hvis så den private adresse ikke er NAT'et hvordan kan det så fungere?

Håber I kan forklare lidt!

Hilsen
Carsten

--

Carsten Junker Thomsen
cjt@callisto.dk
Lindevangshusene 40,1.th.
2630 Taastrup
tlf. 43 52 62 00
mobil 26 55 15 80




Asbjorn Hojmark (03-12-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-12-02 23:35

On Tue, 3 Dec 2002 21:56:10 +0100, "Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> Net A / Private adresser --- Router --- Net B / Off. adresser --- Router ---
> WAN
>
> Hvis så den private adresse ikke er NAT'et hvordan kan det så fungere?

Hvorfor skulle det ikke kunne fungere? (Router B kan NAT'e, hvis
det er nødvendigt for at få WAN'et).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Benny Sorensen (04-12-2002)
Kommentar
Fra : Benny Sorensen


Dato : 04-12-02 00:19

Nå ja, den sidste router kan selvfølgelig NAT'te i stedet...

> (Router B kan NAT'e, hvis
> det er nødvendigt for at få WAN'et).

Og det ER altid nødvendigt.... Am I right?






Asbjorn Hojmark (04-12-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 04-12-02 07:31

On Wed, 4 Dec 2002 00:18:55 +0100, "Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

>> (Router B kan NAT'e, hvis det er nødvendigt for at få WAN'et).

> Og det ER altid nødvendigt.... Am I right?

Mja, det afhænger jo af, hvad man forbinder sig til. Hvis WAN'et
er Internet, og man kører ikke-routede adresser, så ja.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Benny Sorensen (04-12-2002)
Kommentar
Fra : Benny Sorensen


Dato : 04-12-02 00:44

I øvrigt, Asbjørn:

Er der nogen performance-forskel på at route pakkerne i stedet for at NAT'te
?







Asbjorn Hojmark (04-12-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 04-12-02 07:30

On Wed, 4 Dec 2002 00:44:02 +0100, "Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> Er der nogen performance-forskel på at route pakkerne i stedet for at NAT'te

Det afhænger af hardwareplatformen: På nogle routere er der en
ret væsentlig forskel, mens det andre boxe laver begge med wire
speed.

Pointen var mere, at der er ulemper (og ingen fordele) ved at
køre NAT internt i et net.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Asbjorn Hojmark (30-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 30-11-02 23:43

On Sat, 30 Nov 2002 10:04:46 +0100, "[2600] Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> Okay, jeg begynder at forstå lidt af , hvad du mener... men nu
> troede jeg netop idéen med NAT kunne være at oversætte en offentlig
> adresse til mange private

Det er også en af funktionaliteterne i NAT. Men det er der bare
ingen grund til at gøre i dit setup.

> Hvis NAT/PAT ikke er nødvendig i mit setup, hvor det netop drejer
> sig om at oversætte en offentlig IP-adresse til mange private

Hold nu lige vejret lidt.

Du har nogle maskiner med adresserne a.b.c.X. Og du har nogle
andre maskiner med adresserne d.e.f.X. Hvorfor i himlens navn
ønsker du, at maskinerne med adresserne a.b.c.X ser alle de andre
maskiner som om de hed a.b.c.Y?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

[2600] Benny Sorense~ (01-12-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 01-12-02 10:50

Fordi jeg havde misforstået nødvendigheden og idéen med NAT... men af denne
tråd er jeg blevet MEGET klogere...

Jeg kan godt se, at jeg nødt til at revurdere hele mit setup.
Desuden må jeg sætte mig lidt mere ind i routing!

Jeg har lært meget af denne tråd...
Tak til både Jens og Asbjørn.


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:djfiuu024vmstti155fs8rjee1p56g4hqh@news.tiscali.dk...
> On Sat, 30 Nov 2002 10:04:46 +0100, "[2600] Benny Sorensen"
> <beny_sorensen@hotmail.com> wrote:
>
> > Okay, jeg begynder at forstå lidt af , hvad du mener... men nu
> > troede jeg netop idéen med NAT kunne være at oversætte en offentlig
> > adresse til mange private
>
> Det er også en af funktionaliteterne i NAT. Men det er der bare
> ingen grund til at gøre i dit setup.
>
> > Hvis NAT/PAT ikke er nødvendig i mit setup, hvor det netop drejer
> > sig om at oversætte en offentlig IP-adresse til mange private
>
> Hold nu lige vejret lidt.
>
> Du har nogle maskiner med adresserne a.b.c.X. Og du har nogle
> andre maskiner med adresserne d.e.f.X. Hvorfor i himlens navn
> ønsker du, at maskinerne med adresserne a.b.c.X ser alle de andre
> maskiner som om de hed a.b.c.Y?
>
> -A
> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.net/
> FAQ : http://www.net-faq.dk/



Asbjorn Hojmark (28-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 28-11-02 23:12

On Thu, 28 Nov 2002 22:11:36 +0100, "[2600] Benny Sorensen"
<beny_sorensen@hotmail.com> wrote:

> Men jeg forstår ikke hvad du mener med, at de to net vel i forvejen
> er forbundet via f.eks. IPsec og/eller GRE ???? De er kun forbundet
> via en router!

Hvorfor NAT'er du overhovedet?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

[2600] Benny Sorense~ (28-11-2002)
Kommentar
Fra : [2600] Benny Sorense~


Dato : 28-11-02 23:17

> Hvorfor NAT'er du overhovedet?

Hej Asbjørn!

Se mit svar til Jens Fallesen!

/Benny




Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste