Как получить доступ к свистку, если я нахожусь за NAT?

[sasha300]

Приветствую!
Есть сетка с внешним ip, в этой сетке (192.168.0.0) в Микротик воткнут свисток, имеющий шлюз 192.168.8.1 (адрес web интерфейса 192.168.8.100)
Какую маршрутизацию нужно прописать, чтобы при наборе внешнего ip я попадал на web интерфейс свистка

[HA3APET]

Попробуйте так:
/ip firewall nat add action=dst-nat chain=dstnat dst-address=внешний IP dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.8.100 to-ports=80

[sasha300]

попробовал, но выдает:

Попытка соединения не удалась

получается, что он даже не получил обратно пакеты, возможно ли, что если я захожу из вне, то пакеты с таким правилом доходят до свистка, но потом через свисток и уходят? А мой комп видит, что это пакеты от другого ip и шлет их куда подальше

[sasha300]

хотя с другой стороны тут не правила нат надо писать, а статичный маршрут прописывать, но тестить буду уже завтра

[sasha300]

в общем если я завожу вот такой маршрут:

2016-03-20_022751.jpg

то все бы ничего, но distance=1, а основной канал, который сидит на динамическом distance=0 я не могу отключить, так как прервется инет. В общем х.з. как этот трабл решается.. До завтра!

[sasha300]

сегодня ещё несколько вариантов испробовал - все безрезультатно, может есть идеи, как решить данный трабл?

[freewood]

сегодня ещё несколько вариантов испробовал - все безрезультатно, может есть идеи, как решить данный трабл?

Вообще ничего не понятно, нужно больше конкретики. Но для самостоятельного решения проблемы нужно учесть следующие моменты:
Микротик должен знать как найти свисток - должен иметь маршрут до него.
Свисток, если к нему нужно обращаться из другой сети, должен иметь шлюзом микротик или же все пакеты уходящие на свисток с микротика должны маскарадиться.
При соблюдении условий выше, создаем просто проброс dstnat с желаемыми параметрами, разрешающее правило и все должно работать.

[Chupaka]

я вот тоже не очень понял, зачем свистку шлюз в локальной сети, если у него как бы в сотовой сети шлюз должен быть...

[sasha300]

напишу чутка попозжа, а то работы поднавалилось

[sasha300]

Вообще ничего не понятно, нужно больше конкретики

NONAME2.jpg

Микротик должен знать как найти свисток - должен иметь маршрут до него.

В локалке никакого маршрута не прописывал, он его создал сам:

2016-03-22_001435.jpg

Свисток, если к нему нужно обращаться из другой сети, должен иметь шлюзом микротик или же все пакеты уходящие на свисток с микротика должны маскарадиться.

это вот так?

Код: Выделить всё

chain=srcnat action=masquerade out-interface=lte1 log=no log-prefix="" 

я вот тоже не очень понял, зачем свистку шлюз в локальной сети, если у него как бы в сотовой сети шлюз должен быть...

Ну мне надо как-то на него попасть из вне! Заходить через свисток не вариант, так как у него меняется ip, получается, что через витую пару, а раз через провод, то надо же указать шлюз! В общем что-то я не догоняю..

[freewood]

Я очень мало имел дело с УПШ модемами, но если правильно все понял, то нужны следующие правила:

Код: Выделить всё

/ip fi na
add chain=dstnat action=dst-nat dst-address=внешний_ип dst-port=8081 to-address=192.168.8.100 to-port=80 protocol=tcp
add chain=srcnat action=masquerade dst-port=80 dst-address=192.168.8.100 protocol=tcp

Первое правило добавляет проброс порта 8081 на 80-й порт модема.
Второе правило маскарадит все пакеты которые прилетают на веб-интерфейс модема, соответственно модему уже не надо разбираться куда именно должен уйти пакет, он будет отвечать роутеру.

Но без полного виденья конфига, в частности фаерволла, сложно точно сказать заработает оно или нет.

[sasha300]

freewood
Спасибо за вариант, вечерочком буду тестить

Первое правило добавляет проброс порта 8081 на 80-й порт модема.

только не понял, зачем делать проброс порта, если можно все делать на 80-м? На веб интерфейс я же на 80 порт иду! В IP Service List включен только winbox (www 80 порт отрублен)

[freewood]

(www 80 порт отрублен)

Я-то этого не знаю. Поэтому подстраховался, это лучше, чем если Вы прокинете 80-й порт и потеряете доступ к котику. :)

[sasha300]

и кстати, маленькая поправочка: 192.168.8.1 - это адрес, при наборе которого, я попадаю на веб интерфейс, а 192.168.8.100 это ip модема

2016-03-22_120334.jpg

[sasha300]

Поэтому подстраховался, это лучше, чем если Вы прокинете 80-й порт и потеряете доступ к котику

ну на самом деле для этого есть резервный свисток, воткнутый в соседний комп, у которого приритетным маршрутом является свисток, а не локалка
ну и 80 порт по правде занят, только АТС-кой, но я все вырубаю, когда начинаю тестить, как гриться, чем проще - тем лучше..

[Chupaka]

только не понял, зачем делать проброс порта, если можно все делать на 80-м? На веб интерфейс я же на 80 порт иду!

проброс нужен сам по себе, а нестандартный порт - чтобы всякие боты туда лазили пореже

и кстати, маленькая поправочка: 192.168.8.1 - это адрес, при наборе которого, я попадаю на веб интерфейс, а 192.168.8.100 это ip модема

это не IP модема, это IP роутера, полученный от модема соответственно, пробрасывать порт надо на 8.1

[sasha300]

проброс нужен сам по себе, а нестандартный порт - чтобы всякие боты туда лазили пореже

у меня все задроплено, в общем все запрещено, кроме определенных ip, поэтому по барабану
В общем чутка попозжа начну, а то работа идет..

[sasha300]

в общем вчера вечером продолжил эксперименты по удаленному подключению к свистку, в итоге обратные пакеты продолжали идти через модем, и пришел к 2-м вариантам решения трабла:
- поднять vpn. К примеру, надо с телефона подкючиться к свистку - подключаюсь через впн, сеть становиться локальной, таким образом через 192.168.8.1 подключась к веб интерфейсу модема
- запускаю порткнокинг, через RMS захожу на удаленный комп, а через него на свисток.
Первый вариант фурычит без всяких промежуточных компов, поэтому выбрал его.