ADSL router with mikrotik RB DMZ host

[Nikiforos]

Καλησπέρα! είχαμε συζητήσει τις προηγούμενες μέρες σε άλλα θέματα για το DMZ και είπα να το δοκιμάσω για να δω τι να κάνω με την INALAN που έρχεται σύντομα αν με καλύπτει ή να πάρω block ips.
Για να μην γράφω στα σχετικά θέματα με την ίδια, κάνω ένα άλλο θέμα που δοκιμαζω με το ADSL router που μου έχει δώσει η Forthnet το ZTE ZXHN H108L.
Εβγαλα λοιπον το bridge mode που ειχε, το εβαλα οπως ηταν, στα αρχικα μενου εβγαλα το ΝΑΤ και εβαλα DMZ host την ip που εχει το 109 rb.
Εχω απενεργοποιησει το pppoe client και του εβαλα ενα route ολα τα 0.0.0.0/0 να εχουν gw την ip του adsl router.
Επισης εχω ενα ΝΑΤ add action=masquerade chain=srcnat comment="Gia internet apo pppoe client" dst-address=!10.0.0.0/8 out-interface=bridge1-lan-wlan src-address=10.X.XXX.0/27
Eτσι εχω κανονικα ιντερνετ και στο 109 και στα μηχανηματα μου.

Η πορτα που ερχεται το adsl router ειναι μαζι με ολες τις αλλες και το wifi σε bridge γιατι το εχω και σαν switch.

Ειναι σωστα τα παραπανω?
Βεβαια ενω το noip που τρεχει σε nas βλεπει την ιντερνετικη ip μου δεν συμβαινει το ιδιο με το ip cloud που δεν παιζει.
Τα openvpn με το 951 εξοχικου-κινητης παιζουν κανονικα.

Δεν εχω καταλαβει τωρα τι ακριβως κανω με το DMZ? δλδ τι πρεπει να κανω στο ROS να κανει το internet routing το mikrotik ? αρκει το route που ειπα και το nat masqerade ?

- - - Updated - - -

Δεν ειναι μονιμα τα παραπανω ετσι? ειναι για δοκιμη και ΜΟΝΟ.

- - - Updated - - -

Καλα η γραμμη μου ειναι ΤΕΛΕΙΑ ΛΕΜΕ!!!!

- - - Updated - - -

μαλλον ετσι που το εχω κανει περναει την κινηση δουλευοντας το ιντερνετ απλα απο το adsl router απευθειας οπως παλια πριν το bridge + pppoe client, κατι μου διαφευγει...
https://forum.mikrotik.com/viewtopic.php?t=55723
θελει πολυ ψαξιμο.
Το εχει κανει καποιος με mikrotik ?

- - - Updated - - -

xxmmm μαλλον υποχρεωτικα πρεπει να ειναι σε ξεχωριστη πορτα και να εχει και αλλη ip αλλο subnet δλδ γιατι οπως βλεπω και το ΝΑΤ εκεινο που λεω να κλεισω παλι εχω ιντερνετ παιρνει με το route.
Εβαλα και εναν κανονα για DMZ δειχνει κινηση μεν, αλλα παλι περναω απευθειας στο ιντερνετ ρουτερ μαλλον.
https://wiki.mikrotik.com/wiki/NAT_Tutorial
https://mikrotik.com/testdocs/ros/2.8/appex/dmz.pdf

add action=dst-nat chain=dstnat comment=DMZ disabled=yes dst-address=10.X.XXX.4 log=yes src-address=!10.x.xxx.5 to-addresses=10.x.xxx.4

ΕDIT : Τελικα το παρατησα θελει οπωσδηποτε να ειναι σε αλλο subnet το adsl router γιατι τωρα ειναι στο ιδιο και περναει ολη η κινηση μεν στο mikrotik αλλα δεν θελει και port forwarding και παιζουν ολα, ομως παρακαμπτει το firewall του mikrotik ετσι.
Επισης ειχα στο bridge και την ethernet που εχει πανω το adsl router.
Οποτε για να μην πεδευομαι τωρα τσαμπα, οταν ερθει η INALAN θα ζητησω μονο static ip για να μην εχω αναγκη το ip cloud και θα δω αν μου κανει με DMZ, αν οχι τοτε ζηταω block ips.
Αλλωστε δεν πιστευω κανεις να εχει δοκιμασει DMZ σε mikrotik router απο ADSL router αφου αυτα τα βαζουμε σε bridge mode και κανουμε στο mikrotik PPPOE Client...

[Nikiforos]

καλησπέρα, επανερχομαι στο θεμα γιατι πλησιαζει ταχυτατα η INALAN να μην ψαχνομαι τελευταια στιγμη και να δω αν θα βαλω τελικα block ips (4) + 6 τον μηνα ή θα βολευτω με DMZ.

Ασχετο ή οχι δεν ξερω ακριβως, καταφερα ομως να βγαλω το ether1 απο το bridge, εδωσα σε αυτο το ονομα ether1-WAN και εβαλα ip 192.168.1.2/24, εβαλα και ενα σχετικο κανονα ΝΑΤ για το σχετικο masqerade για να εχω ιντερνετ με pppoe client και αλλο ενα ακομα για να μπορω να βλεπω απο το pc μου το web interface του adsl modem (bridge mode).
Οποτε πλεον εχει αλλο subnet η ether1-WAN και το adsl modem (router) την 192.168.1.1.
Oλα καλα παιζουν μεχρι εδω.

Τωρα τι κανω για DMZ.
Βαζω το adsl router σε κανονικη κληση PPPOE και ενεργοποιω και το firewall του.
Αφου εχει ενεργο ΝΑΤ στις ρυθμισεις της κλησης, στο μενου ΝΑΤ εχει και το DMZ και βαζω την 192.168.1.2 που εχει η ether1-WAN στο 109.
Απο εκει και περα δεν βγαζω καποια ακρη...
οτι και να κανω δεν μπορει το 109 να δει το adsl router, εχω δοκιμασει διαφορους κανονες ΝΑΤ και routes αλλα τιποτα.

Εχει κανεις καποια ιδεα? τι μου διαφευγει?

Το bridge που εχω lan με wifi ειναι στο subnet 10.X.XXX.0/27 και η ip του 109 ειναι ενα νουμερο απο αυτα στο bridge.

[x_undefined]

Δοκίμασε αυτό:

Κώδικας:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.1 src-address=10.X.XXX.0/27 to-addresses=192.168.1.2

EDIT: Μάλλον άκυρο, αυτό είναι για να έχεις πρόσβαση στο interface του modem, από κάποια συσκευή πάνω στο MikroTik. Δεν είμαι σίγουρος αν αυτό ψάχνεις.

[Nikiforos]

Δεν κάνει κάτι αυτό, ανέφερα και πριν έχω βάλει ήδη κανόνα για το Modem και το βλέπω. Με το dmz σαν ρουτερ πρέπει να δουλευει όμως αλλά Οκ το Web interface του το βλέπω από το Pc. Αλλά δεν κάνω Ping την ip του και δεν έχω ίντερνετ αν πχ βάλω route τα 0.0.0.0/0 να έχουν gw την ether1-Wan.

- - - Updated - - -

Ωπα κατι εγινε τωρα!!!
ανοιξα στο adsl router το dhcp server να δινει απο την 192.168.1.2 και μετα εκανα αυτα στο 109 :

Κώδικας:

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-WAN

/ip firewall nat
add action=src-nat chain=srcnat comment=DMZ dst-address=192.168.1.1 log=yes src-address=10.X.XXX.0/27 to-addresses=192.168.1.3
add action=masquerade chain=srcnat comment="gia na vlepw to web interface tou adsl modem" out-interface=ether1-WAN

το bold το ειχα απο πριν που εκανα το pppoe client με το adsl modem σε αλλο subnet για να το βλέπω απο το εσωτερικο μου.
Τωρα εχω ιντερνετ αυτοματα πηρε και το route.

- - - Updated - - -

Με βοηθησε ο κανονας σου thanks!

- - - Updated - - -

Βεβαια εχω ιντερνετ, αλλα με τις πορτες τι γινεται δεν καταλαβαινω ακομα! ενω ολες που ειχα ανοιξει δειχνουν σαν interface το pppoe-client εχουν συνδεθει ολα κανονικα!
τι γινεται ειμαστε μπειτε σκυλοι αλεστε?

[jkoukos]

Απορώ τι είναι αυτό που σε μπερδεύει με το DMZ.
Έχεις το DSL router στην γραμμή που κάνει κλήση ΡΡΡ και σύνδεση με το διαδίκτυο. Πίσω του έχεις το ΜΤ να παίρνει πρόσβαση από το DSL router.
Τώρα όμως έχεις 2πλό ΝΑΤ. Πώς το λύνεις; Αντί άλλων λύσεων, δηλώνεις την WAN IP του MT στο DMZ;
Το επιτυγχάνεις με αυτό; Επιτρέπεις (ουσιαστικά ανοίγεις όλες τις πόρτες) την ελεύθερη εισερχόμενη κίνηση μόνο προς αυτή την διεύθυνση (και όχι στο εσωτερικό δίκτυο του DSL router).
Προφανώς πίσω από την WAN IP πρέπει να υπάρχει firewall και προφανώς το ΜΤ θα το έχεις σωστά ρυθμισμένο όπως θα έκανες στην περίπτωση που αυτό έκανε την κλήση ΡΡΡ.

[Nikiforos]

Απορώ τι είναι αυτό που σε μπερδεύει με το DMZ.
Έχεις το DSL router στην γραμμή που κάνει κλήση ΡΡΡ και σύνδεση με το διαδίκτυο. Πίσω του έχεις το ΜΤ να παίρνει πρόσβαση από το DSL router.
Τώρα όμως έχεις 2πλό ΝΑΤ. Πώς το λύνεις; Αντί άλλων λύσεων, δηλώνεις την WAN IP του MT στο DMZ;
Το επιτυγχάνεις με αυτό; Επιτρέπεις (ουσιαστικά ανοίγεις όλες τις πόρτες) την ελεύθερη εισερχόμενη κίνηση μόνο προς αυτή την διεύθυνση (και όχι στο εσωτερικό δίκτυο του DSL router).
Προφανώς πίσω από την WAN IP πρέπει να υπάρχει firewall και προφανώς το ΜΤ θα το έχεις σωστά ρυθμισμένο όπως θα έκανες στην περίπτωση που αυτό έκανε την κλήση ΡΡΡ.

τιποτα δεν καταλαβαινω βασικα, δεν εχω ασχοληθει ποτε με αυτο το DMZ.
Wan ip του MT ποια λες? αυτη που εχω στο ether1-WAN οπως την εχω ονομασει? δλδ την 192.168.1.3 που τωρα την πηρε αυτοματα από το adsl router με το dhcp client που εκανα?
Firewall υπαρχει στο 109 που ηταν για το pppoe client που ηταν πριν, αλλα δεν ξερω αν θελει τιποτα αλλαγες, προφανως το interface απο pppoe-client αρκει να δηλωσω την ether1-WAN ?

δλδ τωρα πλεον δεν χρειαζεται να ανοιγω πορτες ειναι ολες ανοιχτες? αυτο ειναι ομως ασφαλες?

- - - Updated - - -

Εχω και κατι αλλα προβληματακια αλλα δεν αφορουν ακριβως το DMZ, απλα επειδη το adsl router τωρα εχει subnet 192.168.1.0/24 αντι του 10.Χ.ΧΧΧ.4/27 (awmn subnet) που ειναι το 109 τωρα οτι βαλω πανω του και στις ethernet αλλα και η ip camera που επαιζε με wifi που εχω γραψει σε αλλο θεμα δεν μπορουν να παρουν απο τον dhcp server του 109 πλεον.

- - - Updated - - -

Επισης απο το εξοχικο που εχω awmn subnet 10.Χ.ΧΧ.0/24 δεν μπορω να δω το adsl router αλλα αυτο οκ μικρο το κακο αφου εχω εκει αλλο ιντερνετ δεν με νοιαζει τοσο οπως παλια που επαιρνα απο Αθηνα μεσω awmn.

- - - Updated - - -

ok και η ipcamera συνδεθηκε μονη της πηρε ip απο το adsl router στο 192 κατι και παιζει και απο ιντερνετ και την βλεπω και τοπικα κανονικα με τον κανονα ΝΑΤ απο το 109.

[jkoukos]

Ναι η WAN IP του MT είναι αυτή που έχει πάρει από τον DHCP του Speedport. WAN IP είναι πάντα η διεύθυνση ενός router με τον έξω κόσμο, είτε αυτή δίνεται από μια ΡΡΡ κλήση (άρα μιλάμε για δημόσια ΙΡ) είτε από άλλον router (άρα μιλάμε για τοπική στο υποδίκτυο αυτού του router).

Ένας router αποτελεί την πόρτα μεταξύ εξωτερικού και εσωτερικού δικτύου. Σε αυτήν υπάρχει ένας θυρωρός που για να αφήσει κάποιον να περάσει απ' έξω προς τα μέσα, πρέπει κάποιος από μέσα να του το ζητήσει (port forward).
Όταν έχουμε 2 router στη σειρά (όπως καλή ώρα τώρα εσύ), αναγκαστικά υπάρχουν 2 πόρτες και 2 θυρωροί. Οπότε η αίτηση για μα επιτρέψουμε την είσοδο στο κτίριο, πρέπει να ζητηθεί 2 φορές, από μία σε κάθε θυρωρό πόρτας.

Με το DMZ, αυτό που κάνουμε είναι στον 1ο router δίπλα στην υπάρχουσα πόρτα (με θυρωρό) να φτιάχνουμε άλλη μία (χωρίς θυρωρό).
Έρχεται λοιπόν κάποιος και προσπαθεί να ανοίξει την 1η πόρτα. Εκεί υπάρχει ακόμη ως φύλακας ο θυρωρός. Εσύ τι λες θα τα καταφέρει να περάσει και με ποιον τρόπο;

Μετά το μάτι του πέφτει στην 2η πόρτα του 1ου router. Την ανοίγει (είπαμε δεν υπάρχει θυρωρός) και βλέπει μόνον ένα διάδρομο που τερματίζει στην πόρτα εισόδου του 2ου router.
Εκεί βρίσκεται αντιμέτωπος με τον θυρωρό και ζητά να μπει μέσα. Εσύ τι λες θα τα καταφέρει και με ποιον τρόπο;

[Nikiforos]

Ωραιες οι επεξηγησεις σου! thanks again.
Οπως βλεπω και στο firewall - connections μια χαρα παιζουν ολα.
Συνδεθηκα και μεσω κινητου με 4G στο openvpn ολα καλα και γρηγορα.

Το ip cloud λεει το γνωστο μυνημα οτι ειναι πισω απο ΝΑΤ παιζει ομως, βεβαια εχω και noip που επισης παιζει (το εχω δηλωμενο απο το NAS).
Για το DMZ το ξερω οτι προωθει την ιντερνετικη κινηση σε αλλο μηχανημα, πολλες φορες εχω διαβασει να δηλωνουν πχ μια ip απο pc για να μην ανοιγουν πορτες για καθε εφαρμογη χωριστα.

- - - Updated - - -

περιεργο κανω ping με interface ether1-wan σε μια εσωτερικη μου ip πχ στο nas, λεει status admin prohibited, αλλα ip δειχνει το gateway που εχει το adsl router δλδ την public ip.
τι ειναι αυτο τωρα?

- - - Updated - - -

και ενα port scanner απο android στο ονομα του noip μου δειχνει ανοιχτες πορτες, ενω πριν δεν γινοταν καν scanning!
σουρωτηρι ειναι φαινεται! μπα δεν εφταιγαν τα rules, απλα φαινονται πορτες αλλα δεν συνδεονται απεξω.
Δεν καταλαβαινω αυτο το DMZ πως συμπεριφερεται ετσι σχετικα με τις πορτες....χτυπαω τις υπηρεσίες απεξω που δειχνουν ανοιχτες πορτες και δεν μπαινω εκτος αυτή του openvpn βεβαια. Το θεμα είναι πως να τις κανω να μην φαινονται ανοιχτες.
Βρηκα εδώ και ένα ωραιο σχετικο θεματακι https://forum.mikrotik.com/viewtopic.php?t=88160

[jkarabas]

και ενα port scanner απο android στο ονομα του noip μου δειχνει ανοιχτες πορτες, ενω πριν δεν γινοταν καν scanning!

Άσχετο με το θέμα ποιο είναι το app που έχεις στο android?

[Nikiforos]

Άσχετο με το θέμα ποιο είναι το app που έχεις στο android?

εχει παρα πολλα ενα τυχαιο εβαλα καλο ειναι ομως https://play.google.com/store/apps/d...portscan&hl=el
τωρα καλυφθηκα οπως εγραψα στο θεμα με το firewall απλα δειχνει απο το adsl router μια 2 και του openvpn.
Oταν μπει σε bridge ειναι λογικο να μην δειχνει καμια γιατι το μονο κουμαντο στο ιντερνετ ειναι στο mikrotik.

- - - Updated - - -

Θα πηδηχτω απο το παραθυρο.....
στο ονομα του noip στην 80 ανοιγει μεσω ιντερνετ το web interface του adsl router!!!! μαλλον φταιει οτι του εκλεισα το firewall.

- - - Updated - - -

δεν ειναι απο αυτα παλι το βλεπω απο το κινητο μεσω 4G στην 80, αααα τα νευρα μου.....
συνεχιζω στο θεμα του firewall αφου εχει να κανει με το mikrotik.

- - - Updated - - -

ακυρο! ειχα στο κινητο ανοιχτο το wifi και τωρα πλεον παιζει με το noip απο το τοπικο δικτυο κατι που πριν DMZ δεν γινοταν....
απο εξω δεν μπαινω, ειπα και εγω!!!

[jkoukos]

Νικηφόρε, επειδή διαβάζω αυτά που γράφεις σε άλλα θέματα σχετικά με το DMZ και τους ενδοιασμούς σου επειδή (όπως λες) δεν το καταλαβαίνεις και το φοβάσαι, τα πράγματα είναι πολύ απλά.
Ξέχνα προς το παρόν όλα όσα έχεις στο μυαλό σου αλλά και την δικιά σου εγκατάσταση που είναι πολύπλοκη και με πολλαπλές συνδέσεις (Αθήνα-εξοχικό κλπ).

Ας πούμε ότι έχεις ένα Mikrotik router και μπορείς να το χρησιμοποιήσεις ως εξής:

Α. Ως κύριο router κάνοντας κλήση ΡΡΡοΕ:

1. Πίσω από ένα modem.
2. Πίσω από ένα modem/router που παίζει σε Bridge Mode.
3. Πίσω από άλλο modem/router που έχει ενεργή την επιλογή PPPoE Passthrough.

Β. Ως κύριο router στο εσωτερικό σου δίκτυο, αλλά παίρνοντας:

1. Σύνδεση μέσω WiFi.
2. Σύνδεση μέσω άλλου router.

α. Σε όλες τις παραπάνω περιπτώσεις (Α & Β λειτουργία), το Mikrotik από την στιγμή που παίζει ως κανονικό router, θα δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Αν θέλεις να ανοίξεις μια πόρτα ώστε να έχεις πρόσβαση σε κάποια εσωτερική σου υπηρεσία (π.χ. VPN), αναγκαστικά θα πρέπει να το επιτρέψεις στο Mikrotik.

β. Σε όλες τις περιπτώσεις της (B) λειτουργίας, υπάρχει άλλος router (μπροστά από το ΜΤ) που και αυτός δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Τώρα όμως το δικό σου εσωτερικό δίκτυο είναι πίσω από 2πλό ΝΑΤ. Άρα πρέπει να γίνει διπλό άνοιγμα της ίδια πόρτας.
Αυτό όμως δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Έρχεται λοιπόν η λειτουργία DMZ και μέσω αυτής ανοίγεις μία δίοδο που παρακάμπτει το πρώτο ΝΑΤ και τα πακέτα φθάνουν απ' ευθείας στο ΜΤ.
Το μόνο που αλλάζει με πριν, είναι ότι πλέον απλά δεν χρειάζεται να κάνεις διπλό άνοιγμα της πόρτας. Αρκεί το μοναδικό που γίνεται στο Mikrotik.
Και πάλι σε αυτή την περίπτωση, δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Κι εδώ σταματά η δικαιοδοσία του DMZ. Ότι υπάρχει πίσω από το Miktoτik, όσες συνδέσεις κι αν έχεις ή συσκευές ή οτιδήποτε εξωτικό, είναι παντελώς άσχετο και αδιάφορο για το DMZ, το οποίο έχει μία και μοναδική λειτουργία.
Αν έχεις ρυθμίσει το firewall λανθασμένα στις Α περιπτώσεις, το ίδιο θα ισχύει στις Β περιπτώσεις. Είτε με DMZ ενεργό είτε ανενεργό, είτε με Static IP είτε με Public ΙΡ.

To κέρδος που σου παρέχει το DMZ είναι ότι, δεν χρειάζεται να πάρεις Βlock IP, καθώς ξεπερνώντας το 2πλό ΝΑΤ παίζεις χαλαρά με το DDNS (όπως είσαι και τώρα).
Σκέψου το σαν να να μην υπήρχε ο άλλος router και με ένα μαγικό τρόπο έβγαινες στο διαδίκτυο απ' ευθείας.

[sdikr]

Νικηφόρε, επειδή διαβάζω αυτά που γράφεις σε άλλα θέματα σχετικά με το DMZ και τους ενδοιασμούς σου επειδή (όπως λες) δεν το καταλαβαίνεις και το φοβάσαι, τα πράγματα είναι πολύ απλά.
Ξέχνα προς το παρόν όλα όσα έχεις στο μυαλό σου αλλά και την δικιά σου εγκατάσταση που είναι πολύπλοκη και με πολλαπλές συνδέσεις (Αθήνα-εξοχικό κλπ).

Ας πούμε ότι έχεις ένα Mikrotik router και μπορείς να το χρησιμοποιήσεις ως εξής:

Α. Ως κύριο router κάνοντας κλήση ΡΡΡοΕ:

1. Πίσω από ένα modem.
2. Πίσω από ένα modem/router που παίζει σε Bridge Mode.
3. Πίσω από άλλο modem/router που έχει ενεργή την επιλογή PPPoE Passthrough.

Β. Ως κύριο router στο εσωτερικό σου δίκτυο, αλλά παίρνοντας:

1. Σύνδεση μέσω WiFi.
2. Σύνδεση μέσω άλλου router.

α. Σε όλες τις παραπάνω περιπτώσεις (Α & Β λειτουργία), το Mikrotik από την στιγμή που παίζει ως κανονικό router, θα δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Αν θέλεις να ανοίξεις μια πόρτα ώστε να έχεις πρόσβαση σε κάποια εσωτερική σου υπηρεσία (π.χ. VPN), αναγκαστικά θα πρέπει να το επιτρέψεις στο Mikrotik.

β. Σε όλες τις περιπτώσεις της (B) λειτουργίας, υπάρχει άλλος router (μπροστά από το ΜΤ) που και αυτός δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Τώρα όμως το δικό σου εσωτερικό δίκτυο είναι πίσω από 2πλό ΝΑΤ. Άρα πρέπει να γίνει διπλό άνοιγμα της ίδια πόρτας.
Αυτό όμως δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Έρχεται λοιπόν η λειτουργία DMZ και μέσω αυτής ανοίγεις μία δίοδο που παρακάμπτει το πρώτο ΝΑΤ και τα πακέτα φθάνουν απ' ευθείας στο ΜΤ.
Το μόνο που αλλάζει με πριν, είναι ότι πλέον απλά δεν χρειάζεται να κάνεις διπλό άνοιγμα της πόρτας. Αρκεί το μοναδικό που γίνεται στο Mikrotik.
Και πάλι σε αυτή την περίπτωση, δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Κι εδώ σταματά η δικαιοδοσία του DMZ. Ότι υπάρχει πίσω από το Miktoτik, όσες συνδέσεις κι αν έχεις ή συσκευές ή οτιδήποτε εξωτικό, είναι παντελώς άσχετο και αδιάφορο για το DMZ, το οποίο έχει μία και μοναδική λειτουργία.
Αν έχεις ρυθμίσει το firewall λανθασμένα στις Α περιπτώσεις, το ίδιο θα ισχύει στις Β περιπτώσεις. Είτε με DMZ ενεργό είτε ανενεργό, είτε με Static IP είτε με Public ΙΡ.

To κέρδος που σου παρέχει το DMZ είναι ότι, δεν χρειάζεται να πάρεις Βlock IP, καθώς ξεπερνώντας το 2πλό ΝΑΤ παίζεις χαλαρά με το DDNS (όπως είσαι και τώρα).
Σκέψου το σαν να να μην υπήρχε ο άλλος router και με ένα μαγικό τρόπο έβγαινες στο διαδίκτυο απ' ευθείας.

Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του

[Nikiforos]

Ευχαριστω για τις αναλυτικες επεξηγησεις, απλα απο τις δοκιμες που εχω κανει εχω καποιες αποριες.
Για παραδειγμα χωρις να εχω ανοιχτες πορτες στο adsl router και στο mikrotik δεν εχω καποιο ΝΑΤ σχετικο κανονα, πως επαιζε το openvpn?
Αν δεις και στον οδηγο του k.m που λεει για την inalan, λεει οτι δεν υπαρχει η αναγκη για p.f.
Kαπου εδω ειναι που εχω μπερδευτει.
Οπως και να εχει ομως το παρατησα με το adsl router, θα τα δω οταν ερθει η INALAN με το δικο της μηχανημα.
Αλλα δεν ειναι κακο να κανουμε συζητηση να μαθω κατι παραπανω.

Επισης αυτο που ειχα λαθος και δεν θα το ξανακανω μετα, ειναι στο router που δινει DMZ στο 2ο, να μην εχω πανω του wifi ap, dhcp server και χρηση σαν switch.
Kαι αλλο ενα λαθος που ειχα ηταν οτι εδινα στο mikrotik μεσω dhcp server δλδ ειχα server στο adsl router και στο mikrotik dhcp client, οπου ειδα οδηγους λενε να βαζουμε static, γιατι απλα μπορει να αλλαξει η ip και να χασουμε την συνδεση με το 2ο.

- - - Updated - - -

Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του

γιαυτο εχω μπερδευτει γιατι ο καθενας μου δινει διαφορετικη περιγραφη, αλλοι λενε οτι ειναι το ιδιο ολα μενουν οπως ηταν πριν κτλ.
αλλα στην πραξη δεν ειναι ετσι, εκτος αν ειχα καποιο λαθος και γινοταν καποιο loop να το πω ετσι.
Παντως το ip cloud επαιρνε λαθος ip εβλεπε αυτη που ειχε το mikrotik απο το DMZ, ενω το noip που τρεχω πανω σε nas server δουλευε κανονικα.
Γενικα για να παιζει το ip cloud θελει να ειναι πανω του το ιντερνετ απευθειας. Ακομα και με καποιον κανονα που εβαλα οταν πηγαινα απο αλλου να συνδεθω ενω μεσα στο ip cloud δεν ελεγε οτι ειμαι πισω απο ΝΑΤ και εδειχνε την public ip, στα logs στο αλλο μηχανημα ελεγε την ip απο το DMZ δλδ την 192.168.1.3, πχ αυτο γινοταν στο επισημο openvpn android client.

[jkoukos]

Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του

Μα το θέμα είναι ακριβώς αυτό. Να ξεπεραστεί το πρόβλημα ανοίγματος πορτών. Μην κοιτάς υπηρεσίες που ζητούν συγκεκριμένες πόρτες. Υπάρχουν και άλλες που ζητούν δυναμικά άνοιγμά τους (π.χ. Ρ2Ρ εφαρμογές) που δεν τις γνωρίζεις εξαρχής. Από εκεί και πέρα δεν αποτελεί ουσιαστικό πρόβλημα το 2πλό ΝΑΤ.

DDNS γιατί είναι πρόβλημα; Και πριν έπαιζε είτε με τo Cloud στο Mikrotik είτε με Νο-ΙP στη συσκευή του παρόχου.

@Νικηφόρε, είτε με DMZ είτε με τον οδηγό του φίλου και Block IP, δεν χρειάζεται PF στον 1ο router.
Αν η όποια υπηρεσία (π.χ. VPN που λες) τρέχει στο Mikrotik δεν θα χρειαστεί σε αυτό άνοιγμα. Μόνο στον 1ο router (σε περίπτωση 2πλού ΝΑΤ). Όμως το ανέφερα ως παράδειγμα που τρέχει σε κάποιον υπολογιστή στο δίκτυό σου ή για να το καταλάβεις καλύτερα αντί του VPN βάλε τις πόρτες ενός online παιχνιδιού.

Και ναι, έχουν δίκιο. Τίποτα ουσιαστικό δεν αλλάζει στο Mikrotik και στο δίκτυο πίσω από αυτό.

[sdikr]

γιαυτο εχω μπερδευτει γιατι ο καθενας μου δινει διαφορετικη περιγραφη, αλλοι λενε οτι ειναι το ιδιο ολα μενουν οπως ηταν πριν κτλ.
αλλα στην πραξη δεν ειναι ετσι, εκτος αν ειχα καποιο λαθος και γινοταν καποιο loop να το πω ετσι.
Παντως το ip cloud επαιρνε λαθος ip εβλεπε αυτη που ειχε το mikrotik απο το DMZ, ενω το noip που τρεχω πανω σε nas server δουλευε κανονικα.
Γενικα για να παιζει το ip cloud θελει να ειναι πανω του το ιντερνετ απευθειας. Ακομα και με καποιον κανονα που εβαλα οταν πηγαινα απο αλλου να συνδεθω ενω μεσα στο ip cloud δεν ελεγε οτι ειμαι πισω απο ΝΑΤ και εδειχνε την public ip, στα logs στο αλλο μηχανημα ελεγε την ip απο το DMZ δλδ την 192.168.1.3, πχ αυτο γινοταν στο επισημο openvpn android client.

Ανάλογα με το πως έχει ρυθμιστεί ο κάθε client Να δηλώνει την Ip του στην όποια υπηρεσία ddns, κάποιοι κοιτάνε το external ip (αυτοί θα δουλέψουν και πίσω απο dmz, nat, Κλπ) κάποιοι κοιτάνε την Ip του wan interface όποτε αυτοί θα έχουν θέμα.

- - - Updated - - -

Μα το θέμα είναι ακριβώς αυτό. Να ξεπεραστεί το πρόβλημα ανοίγματος πορτών. Μην κοιτάς υπηρεσίες που ζητούν συγκεκριμένες πόρτες. Υπάρχουν και άλλες που ζητούν δυναμικά άνοιγμά τους (π.χ. Ρ2Ρ εφαρμογές) που δεν τις γνωρίζεις εξαρχής. Από εκεί και πέρα δεν αποτελεί ουσιαστικό πρόβλημα το 2πλό ΝΑΤ.

DDNS γιατί είναι πρόβλημα; Και πριν έπαιζε είτε με τo Cloud στο Mikrotik είτε με Νο-ΙP στη συσκευή του παρόχου.

@Νικηφόρε, είτε με DMZ είτε με τον οδηγό του φίλου και Block IP, δεν χρειάζεται PF στον 1ο router.
Αν η όποια υπηρεσία (π.χ. VPN που λες) τρέχει στο Mikrotik δεν θα χρειαστεί σε αυτό άνοιγμα. Μόνο στον 1ο router (σε περίπτωση 2πλού ΝΑΤ). Όμως το ανέφερα ως παράδειγμα που τρέχει σε κάποιον υπολογιστή στο δίκτυό σου ή για να το καταλάβεις καλύτερα αντί του VPN βάλε τις πόρτες ενός online παιχνιδιού.

Και ναι, έχουν δίκιο. Τίποτα ουσιαστικό δεν αλλάζει στο Mikrotik και στο δίκτυο πίσω από αυτό.

Οταν παίρνουνε ενα καλό router το παίρνουμε και γιατί αντέχει και πολλαπλά nat sessions, στην περίπτωση του dmz όμως παραμένει το όριο που έχει το 1ο router, γλιτώνουμε μόνο την περίπτωση του ανοίγματος πόρτας για εισερχόμενες συνδέσεις.

Για το ddns αναφέρω πιο πάνω, είναι ανάλογα την υλοποίηση,