Jump to content
Калькуляторы

Пробрался портов nanostation m2

всем привет! Помогите со следующими ситуациями: есть два моста, роутер и ip камера и статический адрес. Как настроить оборудование так что б можно было из интернета зайти на оба моста, на роутер и на камеру. Что и где нужно прописать что б ко всему был доступ?

Share this post


Link to post
Share on other sites

ChargeSet модель в заголовке темы.

 

keep3r смотрим картинку

 

post-82282-040007700 1422941138_thumb.png

 

Если мало или не поняли - поиск по форуму. Есть пара тем, я по ним делал.

Share this post


Link to post
Share on other sites

Роутер zyxel kinetic но это не суть. Мне интересно что нужно прописать в конфигурации первой антены и в конфиге второй. Вторая тоже должна быть роутером или бриджом? Если адрес роутером 192.168.1.1 то ип указывать всеравно камеры или его сначала нужно про бросить на роутере а потом на мостах

Share this post


Link to post
Share on other sites

keep3r кинетик суть конечно, ибо там всё проще, чем на наносе.

На Наносах ничего не делайте, режим бридж.

На Кинетике в пробросе, указываете айпи и порты камеры.

Всё.

Share this post


Link to post
Share on other sites

А каким я тогда образом до стучусь из инета до точек?

А вам зачем ? Чтобы какеры достучались ? Стройте прозрачный мост до зикселя, управление вешайте на серые адреса, а лучше в отдельном vlan. А чтобы извне пробиться на левые адреса - ну есть куча tcp-proxy разнообразных.

Share this post


Link to post
Share on other sites

Роутер zyxel kinetic но это не суть. Мне интересно что нужно прописать в конфигурации первой антены и в конфиге второй. Вторая тоже должна быть роутером или бриджом? Если адрес роутером 192.168.1.1 то ип указывать всеравно камеры или его сначала нужно про бросить на роутере а потом на мостах

Стройте просто мост, один батон ap, второй station с wds. На закладке wireless укажите одинаковый ssid и шифрование с паролем. На закладке network поправьте ip-адреса, затем включаетесь в их сетку-vlan, и творите с дивайсами что хотите. Не знаете их ip - есть чудная хрень на java, ubnt discovery...

Share this post


Link to post
Share on other sites

А каким я тогда образом до стучусь из инета до точек?

по айпи и порту. Айпи один на всех - это ваш внешний IP, каждый порт перенаправлять на конкретное устроство в сети

Share this post


Link to post
Share on other sites

Все что вы советуете я и так знаю! Вы по сути вопроса дайте ответ! Мне нужно удаленное управление ко всему оборудованию, так что если кто знает как это реализовать то буду благодарен

Share this post


Link to post
Share on other sites

Все что вы советуете я и так знаю! Вы по сути вопроса дайте ответ! Мне нужно удаленное управление ко всему оборудованию, так что если кто знает как это реализовать то буду благодарен

Ну распрекрасно, что знаете.

Если у вас сеть прозрачная, то все конфигурирование выполняется на кинетике.

делается это так: ищете firewall nat port forwarding и вносите туда нужные правила. например, для подключения камеры с IP 192.168.1.100 нужно добавить правило, где source address будет 0.0.0.0/0, port 44480 destination address 192.168.1.100 port 80. Это при условии, что камера работает по порту 80. Все то же самое проворачиваете для наностейшенов, только source port должен быть уникальным для каждого устройства.

Понятно?

Share this post


Link to post
Share on other sites

если веб-камера по http, то к первой точке подключаетесь через ssh, далее через socks5-прокси. Остальное гугл.

Share this post


Link to post
Share on other sites

А каким я тогда образом до стучусь из инета до точек?
У NanoStation (да и у остальных Nano*** пр-ва UBNT) есть замечательная, на мой взгляд, "фича": возможность в сетевых настройках указать шлюз по-умолчанию из другой подсети (отличный от подсети IP-адреса устройства). NanoStation'ы на такое вольное обращение не ругаются, настройки запоминают, успешно работают.

Например, двум Nanostation'ам, работающим в паре с друг другом в режиме моста, присвоены IP-адреса 192.168.77.1 (это на AP) и 192.168.77.2 (это на CL), а в кач-ве шлюза по-умолчанию можно прописать тот "статический" адрес, который вам выдал провайдер и который будет на внешнем порту маршрутизатора (Keenetic'а).

В маршрутизаторе в таблице маршрутизации необходимо указать, что сеть 192.168.77.0/24 доступна через WAN-интерфейс. После этого удостовериться, что обе части радиомоста откликаются на "пинги" (насколько я помню у кинетика есть и встроенные инструменты для этого).

Далее в маршутизаторе (в "трансляции сетевых адресов) необходимо "пробросить" порты 80 или 443 (если в настройках Nano*** включено управление по https). Для AP пусть внешний порт будет 4431, а перенаправлять на 192.168.77.1 порт 443. Для CL пусть внешний порт будет 4432, а перенаправлять на 192.168.77.2 порт 443. Естественно через WAN-интерфейс (маршрутизатора). Дополнительно можно и SSH AP "прокинуть" -- снаружи пусть будет виден как 2201, а "внутрь" перенаправлять на 192.168.77.1 порт 22.

"Снаружи" к веб-интерфейсу AP подключаться так: https://внешнийбелыйIP:4431 , к CL: https://внешнийбелыйIP:4432

 

Получается такая схема: (провайдер) -> (AP) -> (CL) -> (Keenetic) -> (внутренняя сеть с камерами, преферансом и куртизанками)

Share this post


Link to post
Share on other sites

А каким я тогда образом до стучусь из инета до точек?
У NanoStation (да и у остальных Nano*** пр-ва UBNT) есть замечательная, на мой взгляд, "фича": возможность в сетевых настройках указать шлюз по-умолчанию из другой подсети (отличный от подсети IP-адреса устройства). NanoStation'ы на такое вольное обращение не ругаются, настройки запоминают, успешно работают.

Например, двум Nanostation'ам, работающим в паре с друг другом в режиме моста, присвоены IP-адреса 192.168.77.1 (это на AP) и 192.168.77.2 (это на CL), а в кач-ве шлюза по-умолчанию можно прописать тот "статический" адрес, который вам выдал провайдер и который будет на внешнем порту маршрутизатора (Keenetic'а).

В маршрутизаторе в таблице маршрутизации необходимо указать, что сеть 192.168.77.0/24 доступна через WAN-интерфейс. После этого удостовериться, что обе части радиомоста откликаются на "пинги" (насколько я помню у кинетика есть и встроенные инструменты для этого).

Далее в маршутизаторе (в "трансляции сетевых адресов) необходимо "пробросить" порты 80 или 443 (если в настройках Nano*** включено управление по https). Для AP пусть внешний порт будет 4431, а перенаправлять на 192.168.77.1 порт 443. Для CL пусть внешний порт будет 4432, а перенаправлять на 192.168.77.2 порт 443. Естественно через WAN-интерфейс (маршрутизатора). Дополнительно можно и SSH AP "прокинуть" -- снаружи пусть будет виден как 2201, а "внутрь" перенаправлять на 192.168.77.1 порт 22.

"Снаружи" к веб-интерфейсу AP подключаться так: https://внешнийбелыйIP:4431 , к CL: https://внешнийбелыйIP:4432

 

Получается такая схема: (провайдер) -> (AP) -> (CL) -> (Keenetic) -> (внутренняя сеть с камерами, преферансом и куртизанками)

спасибо огромное! вот такого я ответа как раз и ждал! А ответы с тем как упростить систему были особо не интересны! А если ap будет при этом в режиме роутера и прибавить допустим еще несколько наносов то как тогда все это дело завязать со внешним доступом?

Share this post


Link to post
Share on other sites

А если ap будет при этом в режиме роутера и прибавить допустим еще несколько наносов то как тогда все это дело завязать со внешним доступом?

Ну, это уже проще (для понимания). "Постоянный IP" будет на проводном интерфейсе АР, поэтому проброс портов делать на АР (т.к. она в этой схеме роутер) -- см. прекрасные сообщения этой же темы (например, №3, №11).

 

Если клиенты этой АР тоже роутеры, то просто цепочку "пробросов" организовываем до нужного оконечного узла (IP-камера, сервер видеонаблюдения...): в CL "принимаем" перенаправленный с АР пакет на определённый порт и передаём (пробрасываем) далее на узел, расположенный позади CL (на IP-адрес и порт этого узла).

 

Вообще, это азы IP-маршрутизации и работы NAT'а и слабо связано с тематикой раздела. Если совсем уже на пальцах показывать, то:

 

Например, у нас есть RDP-сервер (терминальный сервер) в небольшой локальной сети, которая подключена к И-нету через свой роутер (например, тот же Keenetic), который в свою очередь подключён к радиооборудованию, которое по странному стечению обстоятельств работает в режиме не моста, а как два роутера. Т.е. так: (провайдер) -> (AP router) -> (CL router) -> (Keenetic router) -> ЛВС (проводная и/или WiFi). Да, вот такой чудесный изврат.

 

Внешний "белый" IP-адрес будет получать проводной (ethernet) порт AP (неважно по DHCP или мы там его статически пропишем). Беспроводная сеть между АР и CL (клиентов 1 или больше) будет с "серыми" IP-адресам, ну пусть с теми же из сети 192.168.77.0/24 , а именно: AP -- 192.168.77.1 , СL -- 192.168.77.2 (шлюз по-умолчанию для CL в таком случае должен быть записан как 192.168.77.1)

RDP работает по порту TCP 3389, но мы не хотим, чтобы снаружи этот порт откликался (много будет ботов, сканирущих И-нет по "известным" портам, туда ломиться). Откроем тогда порт 33890, например.

В АР в пробросе портов запишем public port: 33890 , private IP: 192.168.77.2 , private port: 3389 , тип: TCP -- это для проброса на RDP

Заодно сделаем и проброс на web-интерфейс CL: c внешнего 4432 на 192.168.77.2 ТСР-порт 443 (и если будет ещё CL2 и больше, то просто допишем проброс с внешнего 4433 на 192.168.77.3 порт 443 и т.д.)

 

На CL "внешним" будет адрес 192.168.77.2. Этот адрес будет на беспроводном интерфейсе. На проводном же у CL своя "серая" сетка -- между ним и Keenetic'ом. Например, пусть будет 192.168.88.0/24 и тогда CL пусть будет с адресом 192.168.88.1 , а keenetic (его WAN-порт) с адресом 192.168.88.2. Шлюзом по-умолчанию для keenetic'а будет в таком случае 192.168.88.1

На CL пробрасываем приходящие на него "снаружи" (т.е. от АР) на порт 3389 пакета внутрь на адрес 192.168.88.2 на TCP-порт 3389.

 

В keenetic'е делаем "окончательный" проброс порта 3389 на IP-адрес во внутренней сети keenetic'а (обычно что-то типа 192.168.1.0/24). Например, пусть термсервер крутится на компьютере (сервере)с адресом 192.168.1.10 -- вот туда и направляем через LAN-интерфейс (через lan-bridge или как там в терминологии keenetic'а). На терм.сервере, естественно, шлюз по-умолчанию это IP-адрес keenetic'а -- 192.168.1.1

 

Чтобы подключиться к такому терм.серверу мы, находясь где-то далеко и "снаружи", запускаем программу "клиент сервера терминалов", в строке адреса (подключения) пишем: внешнийIP:33890 , подключаемся, работаем.

Для того, чтобы попасть на web-интерфейс CL запусаем браузер и в строке адреса пишем https://внешнийIP:4432'>https://внешнийIP:4432 (ну, а у AP останется https://внешнийIP:443 , если в настройках самой АР не поменять/сдвинуть номер HTTPS-порта).

 

Доступ на остальные сервисы (настройка "проброса") -- по аналогии.

Но "рецепт" не универсальный: некоторые вещи могут не заработать или работать странно/нестабильно -- например, IP-телефония, FTP. Из-за особенностей реализации и/или фундаментальных ограничений.

Edited by webuzel

Share this post


Link to post
Share on other sites

Помоему нереально грамотный ответ, СПАСИБО ОГРОМНОЕ!!!!!! У меня просто с маршрутизацией 2 по 5)))) короч лес дремучий. Буду пробовать!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.