Как получить доступ к свистку, если я нахожусь за NAT?

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

Приветствую!
Есть сетка с внешним ip, в этой сетке (192.168.0.0) в Микротик воткнут свисток, имеющий шлюз 192.168.8.1 (адрес web интерфейса 192.168.8.100)
Какую маршрутизацию нужно прописать, чтобы при наборе внешнего ip я попадал на web интерфейс свистка :?:
HA3APET
Сообщения: 22
Зарегистрирован: 03 мар 2016, 20:14

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение HA3APET »

Попробуйте так:
/ip firewall nat add action=dst-nat chain=dstnat dst-address=внешний IP dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.8.100 to-ports=80
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

попробовал, но выдает:
Попытка соединения не удалась
получается, что он даже не получил обратно пакеты, возможно ли, что если я захожу из вне, то пакеты с таким правилом доходят до свистка, но потом через свисток и уходят? А мой комп видит, что это пакеты от другого ip и шлет их куда подальше
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

хотя с другой стороны тут не правила нат надо писать, а статичный маршрут прописывать, но тестить буду уже завтра
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

в общем если я завожу вот такой маршрут:
2016-03-20_022751.jpg
2016-03-20_022751.jpg (49.54 КБ) 6915 просмотров
то все бы ничего, но distance=1, а основной канал, который сидит на динамическом distance=0 я не могу отключить, так как прервется инет. В общем х.з. как этот трабл решается.. До завтра!
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

сегодня ещё несколько вариантов испробовал - все безрезультатно, может есть идеи, как решить данный трабл?
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение freewood »

sasha300 писал(а):сегодня ещё несколько вариантов испробовал - все безрезультатно, может есть идеи, как решить данный трабл?
Вообще ничего не понятно, нужно больше конкретики. Но для самостоятельного решения проблемы нужно учесть следующие моменты:
Микротик должен знать как найти свисток - должен иметь маршрут до него.
Свисток, если к нему нужно обращаться из другой сети, должен иметь шлюзом микротик или же все пакеты уходящие на свисток с микротика должны маскарадиться.
При соблюдении условий выше, создаем просто проброс dstnat с желаемыми параметрами, разрешающее правило и все должно работать.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение Chupaka »

я вот тоже не очень понял, зачем свистку шлюз в локальной сети, если у него как бы в сотовой сети шлюз должен быть...
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

напишу чутка попозжа, а то работы поднавалилось
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

Вообще ничего не понятно, нужно больше конкретики
NONAME2.jpg
NONAME2.jpg (135.16 КБ) 6890 просмотров
Микротик должен знать как найти свисток - должен иметь маршрут до него.
В локалке никакого маршрута не прописывал, он его создал сам:
2016-03-22_001435.jpg
2016-03-22_001435.jpg (19.04 КБ) 6890 просмотров
Свисток, если к нему нужно обращаться из другой сети, должен иметь шлюзом микротик или же все пакеты уходящие на свисток с микротика должны маскарадиться.
это вот так?

Код: Выделить всё

chain=srcnat action=masquerade out-interface=lte1 log=no log-prefix="" 
я вот тоже не очень понял, зачем свистку шлюз в локальной сети, если у него как бы в сотовой сети шлюз должен быть...
Ну мне надо как-то на него попасть из вне! Заходить через свисток не вариант, так как у него меняется ip, получается, что через витую пару, а раз через провод, то надо же указать шлюз! В общем что-то я не догоняю..
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение freewood »

Я очень мало имел дело с УПШ модемами, но если правильно все понял, то нужны следующие правила:

Код: Выделить всё

/ip fi na
add chain=dstnat action=dst-nat dst-address=внешний_ип dst-port=8081 to-address=192.168.8.100 to-port=80 protocol=tcp
add chain=srcnat action=masquerade dst-port=80 dst-address=192.168.8.100 protocol=tcp
Первое правило добавляет проброс порта 8081 на 80-й порт модема.
Второе правило маскарадит все пакеты которые прилетают на веб-интерфейс модема, соответственно модему уже не надо разбираться куда именно должен уйти пакет, он будет отвечать роутеру.

Но без полного виденья конфига, в частности фаерволла, сложно точно сказать заработает оно или нет.
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

freewood
Спасибо за вариант, вечерочком буду тестить
freewood писал(а):Первое правило добавляет проброс порта 8081 на 80-й порт модема.
только не понял, зачем делать проброс порта, если можно все делать на 80-м? На веб интерфейс я же на 80 порт иду! В IP Service List включен только winbox (www 80 порт отрублен)
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение freewood »

sasha300 писал(а):(www 80 порт отрублен)
Я-то этого не знаю. Поэтому подстраховался, это лучше, чем если Вы прокинете 80-й порт и потеряете доступ к котику. :)
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

и кстати, маленькая поправочка: 192.168.8.1 - это адрес, при наборе которого, я попадаю на веб интерфейс, а 192.168.8.100 это ip модема
2016-03-22_120334.jpg
2016-03-22_120334.jpg (31.68 КБ) 5685 просмотров
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

Поэтому подстраховался, это лучше, чем если Вы прокинете 80-й порт и потеряете доступ к котику
ну на самом деле для этого есть резервный свисток, воткнутый в соседний комп, у которого приритетным маршрутом является свисток, а не локалка ;)
ну и 80 порт по правде занят, только АТС-кой, но я все вырубаю, когда начинаю тестить, как гриться, чем проще - тем лучше..
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение Chupaka »

sasha300 писал(а):только не понял, зачем делать проброс порта, если можно все делать на 80-м? На веб интерфейс я же на 80 порт иду!
проброс нужен сам по себе, а нестандартный порт - чтобы всякие боты туда лазили пореже :)
sasha300 писал(а):и кстати, маленькая поправочка: 192.168.8.1 - это адрес, при наборе которого, я попадаю на веб интерфейс, а 192.168.8.100 это ip модема
это не IP модема, это IP роутера, полученный от модема :) соответственно, пробрасывать порт надо на 8.1
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

проброс нужен сам по себе, а нестандартный порт - чтобы всякие боты туда лазили пореже
у меня все задроплено, в общем все запрещено, кроме определенных ip, поэтому по барабану :lol:
В общем чутка попозжа начну, а то работа идет..
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Как получить доступ к свистку, если я нахожусь за NAT?

Сообщение sasha300 »

в общем вчера вечером продолжил эксперименты по удаленному подключению к свистку, в итоге обратные пакеты продолжали идти через модем, и пришел к 2-м вариантам решения трабла:
- поднять vpn. К примеру, надо с телефона подкючиться к свистку - подключаюсь через впн, сеть становиться локальной, таким образом через 192.168.8.1 подключась к веб интерфейсу модема
- запускаю порткнокинг, через RMS захожу на удаленный комп, а через него на свисток.
Первый вариант фурычит без всяких промежуточных компов, поэтому выбрал его.
Ответить