CHOROBA: at amik posle "example config", tim ho na chvili zamestnas :)

jo, uz zda se chape

CHOROBA: vysvetli mu ze pres nat neprotahnes vic nez jedno zarizeni a at se dle toho zaridi.

no tyve ja to prave honim pres ipsec normalne, ale amik na me vali takovydle srouby, tak se nska holt pobavime znova

LEXXA: pokud dokazes nejak zjistit, kam se to ma poslat, cesta zpet uz je celkem jednoducha, staci maskarada

sice na mikrotiku jsem to nedelal a hovno vim jak snmp pakety v ty aplikaci vypadaji ale neco podobneho jsem resil na jednom radoby voip reseni. tam mi master blaster udelal dst nat na dummy ip z toho pres regexp vykoumal ktere zarizeni je volano a soupal to tam. jak ale vypadala logika cesty zpet jsem ale nejak nepobral. tak ci tak vpn je jednodussi, levnejsi a blbuvzdornejsi.

Muze si (nejlepe pres jinej port) udelat VPN a to snmp pak tlacit pres ni... ale pokud tohle nechce, tak hodne stesti :)

tak dik, ze nejsem debil. Ja uz sem si rikal ze je nejaka novinka ve svete routovani/natovani o ktere nemam ani sajnu

NETWORK: neudela. napada me leda tak nejaky p2p tunel ale point to multipoint pres nat proste neprotahnes.

CHOROBA: v tom pripade nechapu jak jinak to udelat.. pokud chce vzdalene pristupovat na nejakou IP a port - jak potom ten router muze vedet kam packet poslat, kdyz se bude jednat o 3 ruzna zarizeni?

jina situace by byla kdyby ta zarizeni posilala neco k nemu a on po Tobe chtel aby Ti to lezlo vse z jedne IP a portu (asi kvuli nejakemu whitelistu....) takhle by to smysl melo

no to on prave nechce.

NETWORK: ten port 11111 je uveden pro priklad - muze byt libovolny

CHOROBA: nene, takhle to nepujde... otevrit diru. a pak (v podstate libovolny) port 11111 Tve verejne IP smerovat na port 161 vnitrni IP (pro kazde zarizeni jedno pravidlo)

ze mi to nefunguje
tgze otevrit diru na 161 a dstnat na celou range?

CHOROBA: ajoo 161 je snmp.. no tak v cem je problem? :)

snmp neasi

CHOROBA: no je to prinejmensim divne teda... moc nevim co pres udp chce monitorovat (pokud na tech zarizenich nebezi nejaka specificka sluzba....)

NETWORK: Americky dohled(cizi ip) muj mkrvotik(moje IP) a za mrvotikem ve VLAN101 4 zarizeni na danym rozsahu vnitrnich IP
a amik mi tvrdi ze mu musim otevrit UDP 161 aby je mohl vsechny monitorovat....? nechapu

CHOROBA: mas v tech pojmech trosku zmatek..
mas tedy firewall kde krome pravidel co povolujes vsechno ostatni drople?
Pak tedy staci jen pridat mezi accept pravidla jedno s bud portem (to ten port ale otevres pro vsechny) a nebo s src ip a portem (pak to bude fungovat jen pro tu 1 IP)..
mno a ted zalezi co dal chces... predpokladam ze mas nekde ve vnitrni siti nejake zarizeni, na ktere chces z inetu vlest (a pouziva to UDP 161). Potom tedy pomoci DST natu premapujes port z verejne IP na tu vnitrni...

Ale mozna potrebujes uplne neco jineho - zkus to vice rozepsat....

panove jak udelat diru do site? ja mam nska vyhrabano
potrebuju z cizi public ip UDP 161 dovnitr site za moji public ip
staci otevrtit ohnozed sourceCiziIP -> destinationmojeIP/UDP161
a on si naroutuje vnitrni sit pres moji public ip? nebo to musim prelozit a buhvi co?
Popravde sem este nikdy nic takovyho nekonfiguroval