keep3r Posted February 2, 2015 · Report post всем привет! Помогите со следующими ситуациями: есть два моста, роутер и ip камера и статический адрес. Как настроить оборудование так что б можно было из интернета зайти на оба моста, на роутер и на камеру. Что и где нужно прописать что б ко всему был доступ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 2, 2015 · Report post На маршрутизаторе проброс портов. Давайте модель маршрутизатора Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Gogino2005 Posted February 3, 2015 · Report post ChargeSet модель в заголовке темы. keep3r смотрим картинку Если мало или не поняли - поиск по форуму. Есть пара тем, я по ним делал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
keep3r Posted February 3, 2015 · Report post Роутер zyxel kinetic но это не суть. Мне интересно что нужно прописать в конфигурации первой антены и в конфиге второй. Вторая тоже должна быть роутером или бриджом? Если адрес роутером 192.168.1.1 то ип указывать всеравно камеры или его сначала нужно про бросить на роутере а потом на мостах Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Gogino2005 Posted February 3, 2015 · Report post keep3r кинетик суть конечно, ибо там всё проще, чем на наносе. На Наносах ничего не делайте, режим бридж. На Кинетике в пробросе, указываете айпи и порты камеры. Всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
keep3r Posted February 3, 2015 · Report post А каким я тогда образом до стучусь из инета до точек? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted February 3, 2015 · Report post А каким я тогда образом до стучусь из инета до точек? А вам зачем ? Чтобы какеры достучались ? Стройте прозрачный мост до зикселя, управление вешайте на серые адреса, а лучше в отдельном vlan. А чтобы извне пробиться на левые адреса - ну есть куча tcp-proxy разнообразных. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted February 3, 2015 · Report post Роутер zyxel kinetic но это не суть. Мне интересно что нужно прописать в конфигурации первой антены и в конфиге второй. Вторая тоже должна быть роутером или бриджом? Если адрес роутером 192.168.1.1 то ип указывать всеравно камеры или его сначала нужно про бросить на роутере а потом на мостах Стройте просто мост, один батон ap, второй station с wds. На закладке wireless укажите одинаковый ssid и шифрование с паролем. На закладке network поправьте ip-адреса, затем включаетесь в их сетку-vlan, и творите с дивайсами что хотите. Не знаете их ip - есть чудная хрень на java, ubnt discovery... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 3, 2015 · Report post А каким я тогда образом до стучусь из инета до точек? по айпи и порту. Айпи один на всех - это ваш внешний IP, каждый порт перенаправлять на конкретное устроство в сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
keep3r Posted February 3, 2015 · Report post Все что вы советуете я и так знаю! Вы по сути вопроса дайте ответ! Мне нужно удаленное управление ко всему оборудованию, так что если кто знает как это реализовать то буду благодарен Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 3, 2015 · Report post Все что вы советуете я и так знаю! Вы по сути вопроса дайте ответ! Мне нужно удаленное управление ко всему оборудованию, так что если кто знает как это реализовать то буду благодарен Ну распрекрасно, что знаете. Если у вас сеть прозрачная, то все конфигурирование выполняется на кинетике. делается это так: ищете firewall nat port forwarding и вносите туда нужные правила. например, для подключения камеры с IP 192.168.1.100 нужно добавить правило, где source address будет 0.0.0.0/0, port 44480 destination address 192.168.1.100 port 80. Это при условии, что камера работает по порту 80. Все то же самое проворачиваете для наностейшенов, только source port должен быть уникальным для каждого устройства. Понятно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted February 3, 2015 · Report post если веб-камера по http, то к первой точке подключаетесь через ssh, далее через socks5-прокси. Остальное гугл. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
webuzel Posted February 4, 2015 · Report post А каким я тогда образом до стучусь из инета до точек? У NanoStation (да и у остальных Nano*** пр-ва UBNT) есть замечательная, на мой взгляд, "фича": возможность в сетевых настройках указать шлюз по-умолчанию из другой подсети (отличный от подсети IP-адреса устройства). NanoStation'ы на такое вольное обращение не ругаются, настройки запоминают, успешно работают.Например, двум Nanostation'ам, работающим в паре с друг другом в режиме моста, присвоены IP-адреса 192.168.77.1 (это на AP) и 192.168.77.2 (это на CL), а в кач-ве шлюза по-умолчанию можно прописать тот "статический" адрес, который вам выдал провайдер и который будет на внешнем порту маршрутизатора (Keenetic'а). В маршрутизаторе в таблице маршрутизации необходимо указать, что сеть 192.168.77.0/24 доступна через WAN-интерфейс. После этого удостовериться, что обе части радиомоста откликаются на "пинги" (насколько я помню у кинетика есть и встроенные инструменты для этого). Далее в маршутизаторе (в "трансляции сетевых адресов) необходимо "пробросить" порты 80 или 443 (если в настройках Nano*** включено управление по https). Для AP пусть внешний порт будет 4431, а перенаправлять на 192.168.77.1 порт 443. Для CL пусть внешний порт будет 4432, а перенаправлять на 192.168.77.2 порт 443. Естественно через WAN-интерфейс (маршрутизатора). Дополнительно можно и SSH AP "прокинуть" -- снаружи пусть будет виден как 2201, а "внутрь" перенаправлять на 192.168.77.1 порт 22. "Снаружи" к веб-интерфейсу AP подключаться так: https://внешнийбелыйIP:4431 , к CL: https://внешнийбелыйIP:4432 Получается такая схема: (провайдер) -> (AP) -> (CL) -> (Keenetic) -> (внутренняя сеть с камерами, преферансом и куртизанками) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
keep3r Posted February 4, 2015 · Report post А каким я тогда образом до стучусь из инета до точек? У NanoStation (да и у остальных Nano*** пр-ва UBNT) есть замечательная, на мой взгляд, "фича": возможность в сетевых настройках указать шлюз по-умолчанию из другой подсети (отличный от подсети IP-адреса устройства). NanoStation'ы на такое вольное обращение не ругаются, настройки запоминают, успешно работают.Например, двум Nanostation'ам, работающим в паре с друг другом в режиме моста, присвоены IP-адреса 192.168.77.1 (это на AP) и 192.168.77.2 (это на CL), а в кач-ве шлюза по-умолчанию можно прописать тот "статический" адрес, который вам выдал провайдер и который будет на внешнем порту маршрутизатора (Keenetic'а). В маршрутизаторе в таблице маршрутизации необходимо указать, что сеть 192.168.77.0/24 доступна через WAN-интерфейс. После этого удостовериться, что обе части радиомоста откликаются на "пинги" (насколько я помню у кинетика есть и встроенные инструменты для этого). Далее в маршутизаторе (в "трансляции сетевых адресов) необходимо "пробросить" порты 80 или 443 (если в настройках Nano*** включено управление по https). Для AP пусть внешний порт будет 4431, а перенаправлять на 192.168.77.1 порт 443. Для CL пусть внешний порт будет 4432, а перенаправлять на 192.168.77.2 порт 443. Естественно через WAN-интерфейс (маршрутизатора). Дополнительно можно и SSH AP "прокинуть" -- снаружи пусть будет виден как 2201, а "внутрь" перенаправлять на 192.168.77.1 порт 22. "Снаружи" к веб-интерфейсу AP подключаться так: https://внешнийбелыйIP:4431 , к CL: https://внешнийбелыйIP:4432 Получается такая схема: (провайдер) -> (AP) -> (CL) -> (Keenetic) -> (внутренняя сеть с камерами, преферансом и куртизанками) спасибо огромное! вот такого я ответа как раз и ждал! А ответы с тем как упростить систему были особо не интересны! А если ap будет при этом в режиме роутера и прибавить допустим еще несколько наносов то как тогда все это дело завязать со внешним доступом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
webuzel Posted February 5, 2015 (edited) · Report post А если ap будет при этом в режиме роутера и прибавить допустим еще несколько наносов то как тогда все это дело завязать со внешним доступом? Ну, это уже проще (для понимания). "Постоянный IP" будет на проводном интерфейсе АР, поэтому проброс портов делать на АР (т.к. она в этой схеме роутер) -- см. прекрасные сообщения этой же темы (например, №3, №11). Если клиенты этой АР тоже роутеры, то просто цепочку "пробросов" организовываем до нужного оконечного узла (IP-камера, сервер видеонаблюдения...): в CL "принимаем" перенаправленный с АР пакет на определённый порт и передаём (пробрасываем) далее на узел, расположенный позади CL (на IP-адрес и порт этого узла). Вообще, это азы IP-маршрутизации и работы NAT'а и слабо связано с тематикой раздела. Если совсем уже на пальцах показывать, то: Например, у нас есть RDP-сервер (терминальный сервер) в небольшой локальной сети, которая подключена к И-нету через свой роутер (например, тот же Keenetic), который в свою очередь подключён к радиооборудованию, которое по странному стечению обстоятельств работает в режиме не моста, а как два роутера. Т.е. так: (провайдер) -> (AP router) -> (CL router) -> (Keenetic router) -> ЛВС (проводная и/или WiFi). Да, вот такой чудесный изврат. Внешний "белый" IP-адрес будет получать проводной (ethernet) порт AP (неважно по DHCP или мы там его статически пропишем). Беспроводная сеть между АР и CL (клиентов 1 или больше) будет с "серыми" IP-адресам, ну пусть с теми же из сети 192.168.77.0/24 , а именно: AP -- 192.168.77.1 , СL -- 192.168.77.2 (шлюз по-умолчанию для CL в таком случае должен быть записан как 192.168.77.1) RDP работает по порту TCP 3389, но мы не хотим, чтобы снаружи этот порт откликался (много будет ботов, сканирущих И-нет по "известным" портам, туда ломиться). Откроем тогда порт 33890, например. В АР в пробросе портов запишем public port: 33890 , private IP: 192.168.77.2 , private port: 3389 , тип: TCP -- это для проброса на RDP Заодно сделаем и проброс на web-интерфейс CL: c внешнего 4432 на 192.168.77.2 ТСР-порт 443 (и если будет ещё CL2 и больше, то просто допишем проброс с внешнего 4433 на 192.168.77.3 порт 443 и т.д.) На CL "внешним" будет адрес 192.168.77.2. Этот адрес будет на беспроводном интерфейсе. На проводном же у CL своя "серая" сетка -- между ним и Keenetic'ом. Например, пусть будет 192.168.88.0/24 и тогда CL пусть будет с адресом 192.168.88.1 , а keenetic (его WAN-порт) с адресом 192.168.88.2. Шлюзом по-умолчанию для keenetic'а будет в таком случае 192.168.88.1 На CL пробрасываем приходящие на него "снаружи" (т.е. от АР) на порт 3389 пакета внутрь на адрес 192.168.88.2 на TCP-порт 3389. В keenetic'е делаем "окончательный" проброс порта 3389 на IP-адрес во внутренней сети keenetic'а (обычно что-то типа 192.168.1.0/24). Например, пусть термсервер крутится на компьютере (сервере)с адресом 192.168.1.10 -- вот туда и направляем через LAN-интерфейс (через lan-bridge или как там в терминологии keenetic'а). На терм.сервере, естественно, шлюз по-умолчанию это IP-адрес keenetic'а -- 192.168.1.1 Чтобы подключиться к такому терм.серверу мы, находясь где-то далеко и "снаружи", запускаем программу "клиент сервера терминалов", в строке адреса (подключения) пишем: внешнийIP:33890 , подключаемся, работаем. Для того, чтобы попасть на web-интерфейс CL запусаем браузер и в строке адреса пишем https://внешнийIP:4432'>https://внешнийIP:4432 (ну, а у AP останется https://внешнийIP:443 , если в настройках самой АР не поменять/сдвинуть номер HTTPS-порта). Доступ на остальные сервисы (настройка "проброса") -- по аналогии. Но "рецепт" не универсальный: некоторые вещи могут не заработать или работать странно/нестабильно -- например, IP-телефония, FTP. Из-за особенностей реализации и/или фундаментальных ограничений. Edited February 5, 2015 by webuzel Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
keep3r Posted February 5, 2015 · Report post Помоему нереально грамотный ответ, СПАСИБО ОГРОМНОЕ!!!!!! У меня просто с маршрутизацией 2 по 5)))) короч лес дремучий. Буду пробовать! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...