Как из интернета зайти на веб морду 4G модема?

[sasha300]

Добрый день!
Есть 4G модем, воткнутый через usb порт в Микротик. Из локалки безо всяких проблем захожу по адресу 192.168.8.1 на веб интерфейс свистка.
Но как эту задачу реализовать, если я хочу достучаться из внешней сети, находящейся за NAT?
Прикол еще в том, что у меня серый IP, пришлось включать DDNS (ip => cloud).
Сначала попытался достучаться через http к самому микротику; включил www (ip => Services), для чистоты эксперимента все дропающие фильтры в фаерволе выключил, набираю: идентификатор_микротика.sn.mynetname.net и выхожу на веб интерфейс роутера

вобщем это работает. Оки, вырубаю www в ip => Services, в NAT прописываю следующее:

Код: Выделить всё

chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 src-port="" dst-port=80 log=no 
      log-prefix=""

т.е. в NAT 3 правила:

Код: Выделить всё

 
 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no 
      log-prefix="" 

 1    chain=srcnat action=masquerade out-interface=lte1 log=no log-prefix="" 

 2   chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 src-port="" dst-port=80 log=no 
      log-prefix="" 

Нифига! =( На свисток не заходит, крутится зачек, а потом выдает, что "Соединение было сброшено"

Ладно, думаю, попробую изменить 3 правило так, чтобы мог заходить на веб интерфейс Микротика, без включения www в ip => Services.
Прописываю (Микротик имеет адрес 192.168.0.100):

Код: Выделить всё

 
 chain=dstnat action=netmap to-addresses=192.168.0.100 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 src-port="" dst-port=80 log=no 
      log-prefix="" 

т.е. вот все правила NAT:

Код: Выделить всё

 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no 
      log-prefix="" 

 1    chain=srcnat action=masquerade out-interface=lte1 log=no log-prefix="" 

 2    chain=dstnat action=netmap to-addresses=192.168.0.100 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 src-port="" dst-port=80 log=no 
      log-prefix="" 

и опять браузер показывает, что соединение было сброшено. Раз я до роутера не могу правила нормальные прописать, то что говорить про свисток. Отсюда два вопроса:
- Что надо прописать в правилах NAT, чтобы достучаться до свистка?
- Что надо прописать, чтобы достучаться до микротика?

Заранее спасибо за ответ!

[Chupaka]

Добрый. Меня смущает src-port="" - уберите его вообще из правила. Такое чувство, что раз вашего src-порта нет в пустом списке - правило не работает. Оно пакеты считает?

А как вы хотите подключиться к веб-интерфейсу роутера не включив веб-интерфейс роутера (www) в IP -> Services - для меня всё ещё остаётся загадкой.

[sasha300]

А как вы хотите подключиться к веб-интерфейсу роутера не включив веб-интерфейс роутера (www) в IP -> Services - для меня всё ещё остаётся загадкой.

Ну да, тут жестко тупанул.

Меня смущает src-port="" - уберите его вообще из правила. Такое чувство, что раз вашего src-порта нет в пустом списке - правило не работает.

убрал из правила, вот список:

Код: Выделить всё

 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no 
      log-prefix="" 

 1    chain=srcnat action=masquerade out-interface=lte1 log=no log-prefix="" 

 2    chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix="

Оно пакеты считает?

Нее, это просто при настройке воткнул 80 в src-port, потом понял, что не туда и прописал в dst-port, а src-port забыл почистить

Но проблема не ушла - все равно не может достучаться до веб морды свистка. Попробовал 81 порт, т.е. вот так:

Код: Выделить всё

chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 
      protocol=tcp in-interface=pppoe-out1 dst-port=81 log=no log-prefix="

опять облом. Вернул 80 порт на место.

Не понятный трабл..

[Chupaka]

Раз правило пакеты не считает - значит, оно таких пакетов не видит.

[sasha300]

Раз правило пакеты не считает - значит, оно таких пакетов не видит.

ааа, понял. Минут через 15 проверю

[sasha300]

Правило пакеты считает. Как только из внешней сети в браузере запускаю:

Код: Выделить всё

идентификатор_микротика.sn.mynetname.net

то количество пакетов увеличивается на 1-2, количество байтов растет, но в самом браузере появляется строка:

Код: Выделить всё

192.168.8.1/html/index.html?url=идентификатор_микротика.sn.mynetname.net

ну а в теле браузера ничего.. =(

[Chupaka]

А, то есть свисток пытается (вполне удачно) вас перенаправить на свой IP для авторизации, но прямого доступа к 192.168.8.1 у вас нет, поэтому второй шаг не срабатывает? Замените 192.168.8.1 на идентификатор_микротика.sn.mynetname.net в адресной строке - вдруг прокатит?

[sasha300]

Спасибо за ответ! Вечерочком смогу проверить, отпишусь по факту

[sasha300]

А, то есть свисток пытается (вполне удачно) вас перенаправить на свой IP для авторизации, но прямого доступа к 192.168.8.1 у вас нет, поэтому второй шаг не срабатывает? Замените 192.168.8.1 на идентификатор_микротика.sn.mynetname.net в адресной строке - вдруг прокатит?

К сожалению не прокатило, как только меняю 192.168.8.1 на идентификатор_микротика.sn.mynetname.net, то вместо последнего автоматом вставляется Public Address (ip => cloud). Ну а это значит, что через какое-то время Public Address сменится и будет облом. Ладно, пробую подключиться - крутится значок обновления страницы и ничего не подгружается =(

Сдается мне, что такая схема не работоспособна, поэтому надо ставить что-то типа Raspberry pi, к нему прилепить свисток, ну а в микротике тупо форвард и будет все ок.

[Chupaka]

Так, мы точно об одном и том же говорим? Когда я говорил про адресную строку, я имел в виду браузер. Вкралось подозрение, что вы что-то в винбоксе делаете...

Но если не получится - то можно просто поднять на роутере ВПН-сервер, подключаться к нему - и заходить уже на 192.168.8.1 напрямую, не надо никаких малинок

[sasha300]

беру паузу, а то в выходные немного перенастроил сеть и не воссоздать предыдущую ситуацию (порты нужные не открыл..)