interminable Posted October 26, 2015 Posted October 26, 2015 Стандартная сеть: Интернет - Микротик - свитч - пользователи и сервера. На сервера порты пробросил - захожу удаленно без проблем. Свитч сделан на базе роутера с отключенным DHCP. Из локальной сети захожу на него без проблем. Из интернета ввожу айпи:порт считча - ЗАЙТИ НЕ МОГУ. Делал маскарад на LAN, получилось зайти на веб морду свитча через инет, но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается. Вставить ник Quote
Realwizard Posted October 26, 2015 Posted October 26, 2015 Попробуйте пробросить на Микротике порты до роутера следующим образом: /ip firewall nat add action=netmap chain=dstnat comment="Router 192.168.xxx.xxx" dst-port=88 \ in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\ 192.168.xxx.xxx to-ports=80 Тогда при обращении к роутеру из внешки нужно будет указывать Ваш публичный IP и 88 порт. Вместо 88 можно любой другой незадействованный порт. Вставить ник Quote
interminable Posted October 26, 2015 Author Posted October 26, 2015 Попробуйте пробросить на Микротике порты до роутера следующим образом: /ip firewall nat add action=netmap chain=dstnat comment="Router 192.168.xxx.xxx" dst-port=88 \ in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\ 192.168.xxx.xxx to-ports=80 Тогда при обращении к роутеру из внешки нужно будет указывать Ваш публичный IP и 88 порт. Вместо 88 можно любой другой незадействованный порт. Именно так и проброшено! Все другие сервисы работают. Свитч - никак. Вставить ник Quote
Realwizard Posted October 26, 2015 Posted October 26, 2015 но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается. Смущает эта фраза. Если у Вас все проброшено правильно, и в микротике тоже все настроен правильно, то после авторизации никакие IP меняться не должны. Вставить ник Quote
interminable Posted October 26, 2015 Author Posted October 26, 2015 (edited) но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается. Смущает эта фраза. Если у Вас все проброшено правильно, и в микротике тоже все настроен правильно, то после авторизации никакие IP меняться не должны. Как можно так невнимательно читать условие задачи? Делал маскарад на LAN, получилось зайти на веб морду свитча через инет, но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается. Edited October 26, 2015 by interminable Вставить ник Quote
Realwizard Posted October 26, 2015 Posted October 26, 2015 Одной из моих слабостей является хороший кофе. Особенно мне нравится Palombini Gusto Oro. А нем присутствует пикантная горчинка. Несмотря на мою любовь к этому напитку, я так и не сумел выбрать время научиться гадать на кофейной гуще. К чему это я??? Ах да! Config в студию. Вставить ник Quote
stas_k Posted October 26, 2015 Posted October 26, 2015 Свитч сделан на базе роутера а свитч знает где дырка в интернет default gateway ? конфиг скрины настроек роутера покажите. и wan и lan и firewall Вставить ник Quote
interminable Posted October 26, 2015 Author Posted October 26, 2015 Вам скрины Микротика или ТР-Линка? В ТР-Линке стоит отключен ДХЦП и настроен статический адрес 192.168.1.5 и порт 7777. Больше там настроек нет ибо это простой WDR4300. В микротике стоит в Filter Rules allow, в NAT /ip firewall nat add action=netmap chain=dstnat comment="Router 192.168.1.5" dst-port=7777 \ in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\ 192.168.1.5 to-ports=7777 Вставить ник Quote
stas_k Posted October 26, 2015 Posted October 26, 2015 TP-Link знает адрес Default Gateway? вот отсюда скрины покажи пожлуйста. http://192.168.1.5:7777/userRpm/SysRouteTableRpm.htm http://192.168.1.5:7777/userRpm/StaticRouteTableRpm.htm Вставить ник Quote
interminable Posted October 27, 2015 Author Posted October 27, 2015 (edited) TP-Link знает адрес Default Gateway? вот отсюда скрины покажи пожлуйста. http://192.168.1.5:7777/userRpm/SysRouteTableRpm.htm http://192.168.1.5:7777/userRpm/StaticRouteTableRpm.htm Нет таких путей. Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак. У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1, потом подключены другие. Edited October 27, 2015 by interminable Вставить ник Quote
stas_k Posted October 27, 2015 Posted October 27, 2015 TP-Link знает адрес Default Gateway? вот отсюда скрины покажи пожлуйста. Нет таких путей. Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак. Если прошивка фирменная tp-link то есть. по умолчанию порт 8088, я в ссылках поправлял на заявленный тобой 7777. Advanced routing - Static Routing List (отсюда нужен скрин) http://192.168.1.5:8088/userRpm/StaticRouteTableRpm.htm - System Routing Table (отсюда нужен скрин) http://192.168.1.5:8088/userRpm/SysRouteTableRpm.htm Вставить ник Quote
DRiVen Posted October 27, 2015 Posted October 27, 2015 У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1 Каким образом тогда получилось зайти на веб морду свитча через инет?И что такое Делал маскарад на LAN?Если в LAN включились, попробуйте так: /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.5 dst-port=80 protocol=tcp to-addresses=192.168.1.1 Вставить ник Quote
interminable Posted October 27, 2015 Author Posted October 27, 2015 У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1 Каким образом тогда получилось зайти на веб морду свитча через инет?И что такое Делал маскарад на LAN?Если в LAN включились, попробуйте так: /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.5 dst-port=80 protocol=tcp to-addresses=192.168.1.1 Не стыдно ли вам спрашивать, что такое маскарад в микротике?))))))))) Зайти в локальной сети на ТРЛИНК очень легко, у него в настройках вкладка LAN статически забит его айпи и маска. Из микротика приходит кабель и воткнут в ЛАН ТРЛИНКА. В локальной сети хоть с телефона заходи - все показывает. В интернете не хочет. Когда маскарад сделал: ip firewall nat add chain=srcnat action=masquerade out-interface=LAN тогда и вебморда в инете появилась, но при авторизации в строке менялся адрес на локальный и ничего не происходило. Т.е. каким-то образом маскарад помог показать вебку в интернете, но не дает идти дальше подменяя адресс на локальный. TP-Link знает адрес Default Gateway? вот отсюда скрины покажи пожлуйста. Нет таких путей. Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак. Если прошивка фирменная tp-link то есть. по умолчанию порт 8088, я в ссылках поправлял на заявленный тобой 7777. Advanced routing - Static Routing List (отсюда нужен скрин) http://192.168.1.5:8088/userRpm/StaticRouteTableRpm.htm - System Routing Table (отсюда нужен скрин) http://192.168.1.5:8088/userRpm/SysRouteTableRpm.htm Все я вас понял, там один маршрут: 192.168.1.0 255.255.255.0 0.0.0.0 Вставить ник Quote
stas_k Posted October 27, 2015 Posted October 27, 2015 Все я вас понял, там один маршрут: 192.168.1.0 255.255.255.0 0.0.0.0 У микротика адрес 192.168.1.1 ? В Static Routing List добавьте маршрут 0.0.0.0 0.0.0.0 192.168.1.1 Вставить ник Quote
DRiVen Posted October 27, 2015 Posted October 27, 2015 Не стыдно ли вам спрашивать, что такое маскарад в микротике?))))))))) Вопрос задан о загадочной части фразы "на LAN", если не поняли. /ip firewall nat add chain=srcnat action=masquerade out-interface=LAN А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN, /ip firewall nat add chain=srcnat action=masquerade in-interface=LAN а в обратную сторону уже добавляют трансляции для доступа извне. /ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.1.5 to-ports=80 protocol=tcp dst-port=80 P.S>Если с роутом не прокатит - добавляйте еще приведенное в предыдущем посте правило, для него маршрут на вашем 4300 не нужен. Вставить ник Quote
adsl Posted October 28, 2015 Posted October 28, 2015 У меня схожая ситуация. HAP Lite раздаёт Интернет в сеть, в разных помещениях стоят ТД TP-LINK WA701N v1, на первой родная прошивка 3.10.3 Build 100326 Rel.64889n, на второй OpenWrt Attitude Adjustment 12.09. Все пробросы настроены верно, из локалки всё управляется отлично. Так вот бывает пару раз в месяц отваливается доступ к web у стоковой прошивки TP-LINK, а у альтернативной версии вообще никаких проблем за 10 месяцев использования. Меня это сильно не напрягает пока, потому что, когда отваливается доступ, Я звоню ребятам и они ребутят точку, путём обесточивания POE инжектора. PS Извините за офтоп, не знаю как в OpenWRТ добавить комментарии, в виде фамилии пользователей, в МАС-фильтре, напротив списка МАС. Это единственная загвоздка которая мешает полностью перейти на OpenWRT. Спасибо. Вставить ник Quote
interminable Posted October 28, 2015 Author Posted October 28, 2015 (edited) А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN, /ip firewall nat add chain=srcnat action=masquerade in-interface=LAN Пошутили?)))))))) Edited October 28, 2015 by interminable Вставить ник Quote
interminable Posted October 28, 2015 Author Posted October 28, 2015 Все я вас понял, там один маршрут: 192.168.1.0 255.255.255.0 0.0.0.0 У микротика адрес 192.168.1.1 ? В Static Routing List добавьте маршрут 0.0.0.0 0.0.0.0 192.168.1.1 Не добавляет такой. Код ошибки: 4001 IP-адрес назначения указан неверно. Укажите другое значение. Вставить ник Quote
DRiVen Posted October 28, 2015 Posted October 28, 2015 Пошутили?)))))))) А вы, похоже, не осилили даже мануал прочесть. Вам на неоотвествие роли интерфейса в трансляции указано, возможно не очень прозрачно. Но раз уж штаны на лямках - манная кашка порционно: /ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 Вставить ник Quote
interminable Posted October 29, 2015 Author Posted October 29, 2015 А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN, /ip firewall nat add chain=srcnat action=masquerade in-interface=LAN Вам на неоотвествие роли интерфейса в трансляции указано, возможно не очень прозрачно. Но раз уж штаны на лямках - манная кашка порционно: /ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 Может есть смысл определиться? Вставить ник Quote
DRiVen Posted October 29, 2015 Posted October 29, 2015 Мне - нет, у меня, в отличие от вас, все работает как мне нужно. А вам наверное да, если читать документацию не хотите. Последняя строка - нечто вроде подсказки для конфига с учетом результата дистанционного зондирования от залетных телепатов. Вставить ник Quote
stas_k Posted October 29, 2015 Posted October 29, 2015 Не добавляет такой.Код ошибки: 4001 IP-адрес назначения указан неверно. Укажите другое значение. прошивка с русским языком? хм. tl-wdr4300 используется как 4 портовый свич и точка доступа? в порт wan ничего не подключено и он не сконфигурирован? (шаманство) попробуй настроить wan порт на static ip. укажи ему 192.168.0.2 mask 16 dgw 192.168.1.1 в wan провод не втыкать. Вставить ник Quote
interminable Posted April 5, 2016 Author Posted April 5, 2016 (edited) stas_k Т.е. настроить WAN порт но не подключать его...попробую. п.с. видимо проблема таки в ТРЛИНКе, т.к. роутер асус включал и все было ок, а трлинк никак. Edited April 5, 2016 by interminable Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.