[interminable]

Стандартная сеть:

Интернет - Микротик - свитч - пользователи и сервера.

На сервера порты пробросил - захожу удаленно без проблем.

Свитч сделан на базе роутера с отключенным DHCP.

 

Из локальной сети захожу на него без проблем.

Из интернета ввожу айпи:порт считча - ЗАЙТИ НЕ МОГУ.

Делал маскарад на LAN, получилось зайти на веб морду свитча через инет, но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается.

[Realwizard]

Попробуйте пробросить на Микротике порты до роутера следующим образом:

/ip firewall nat
add action=netmap chain=dstnat comment="Router 192.168.xxx.xxx" dst-port=88 \
   in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\
   192.168.xxx.xxx to-ports=80

Тогда при обращении к роутеру из внешки нужно будет указывать Ваш публичный IP и 88 порт. Вместо 88 можно любой другой незадействованный порт.

[interminable]

Попробуйте пробросить на Микротике порты до роутера следующим образом:

/ip firewall nat
add action=netmap chain=dstnat comment="Router 192.168.xxx.xxx" dst-port=88 \
   in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\
   192.168.xxx.xxx to-ports=80

Тогда при обращении к роутеру из внешки нужно будет указывать Ваш публичный IP и 88 порт. Вместо 88 можно любой другой незадействованный порт.

Именно так и проброшено! Все другие сервисы работают. Свитч - никак.

[Realwizard]

но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается.

Смущает эта фраза. Если у Вас все проброшено правильно, и в микротике тоже все настроен правильно, то после авторизации никакие IP меняться не должны.

[DRiVen]

Кэш браузера почистите.

[interminable]

но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается.

Смущает эта фраза. Если у Вас все проброшено правильно, и в микротике тоже все настроен правильно, то после авторизации никакие IP меняться не должны.

Как можно так невнимательно читать условие задачи?

 

Делал маскарад на LAN, получилось зайти на веб морду свитча через инет, но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается.

Edited October 26, 2015 by interminable

[Realwizard]

Одной из моих слабостей является хороший кофе. Особенно мне нравится Palombini Gusto Oro. А нем присутствует пикантная горчинка. Несмотря на мою любовь к этому напитку, я так и не сумел выбрать время научиться гадать на кофейной гуще. К чему это я??? Ах да! Config в студию.

[stas_k]

Свитч сделан на базе роутера

а свитч знает где дырка в интернет default gateway ?

 

конфиг скрины настроек роутера покажите. и wan и lan и firewall

[interminable]

Вам скрины Микротика или ТР-Линка? В ТР-Линке стоит отключен ДХЦП и настроен статический адрес 192.168.1.5 и порт 7777. Больше там настроек нет ибо это простой WDR4300.

В микротике стоит в Filter Rules allow, в NAT /ip firewall nat

add action=netmap chain=dstnat comment="Router 192.168.1.5" dst-port=7777 \

in-interface=ether1 protocol=tcp src-address-list="" to-addresses=\

192.168.1.5 to-ports=7777

[stas_k]

TP-Link знает адрес Default Gateway?

 

вот отсюда скрины покажи пожлуйста.

 

http://192.168.1.5:7777/userRpm/SysRouteTableRpm.htm

 

http://192.168.1.5:7777/userRpm/StaticRouteTableRpm.htm

[interminable]

TP-Link знает адрес Default Gateway?

 

вот отсюда скрины покажи пожлуйста.

 

http://192.168.1.5:7777/userRpm/SysRouteTableRpm.htm

 

http://192.168.1.5:7777/userRpm/StaticRouteTableRpm.htm

Нет таких путей.

Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак.

У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1, потом подключены другие.

Edited October 27, 2015 by interminable

[stas_k]

TP-Link знает адрес Default Gateway?

 

вот отсюда скрины покажи пожлуйста.

 

Нет таких путей.

Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак.

 

Если прошивка фирменная tp-link то есть. по умолчанию порт 8088, я в ссылках поправлял на заявленный тобой 7777.

 

Advanced routing

 

- Static Routing List (отсюда нужен скрин)

http://192.168.1.5:8088/userRpm/StaticRouteTableRpm.htm

 

- System Routing Table (отсюда нужен скрин)

http://192.168.1.5:8088/userRpm/SysRouteTableRpm.htm

 

[DRiVen]

У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1

Каким образом тогда

получилось зайти на веб морду свитча через инет

?

И что такое

Делал маскарад на LAN

?

Если в LAN включились, попробуйте так:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.5 dst-port=80 protocol=tcp to-addresses=192.168.1.1

[interminable]

У него и WAN порт не поключен поэтому никакого интернета он не видит и не видит шлюза. Просто воткнут входящий кабель от микротика в LAN1

Каким образом тогда

получилось зайти на веб морду свитча через инет

?

И что такое

Делал маскарад на LAN

?

Если в LAN включились, попробуйте так:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.5 dst-port=80 protocol=tcp to-addresses=192.168.1.1

 

Не стыдно ли вам спрашивать, что такое маскарад в микротике?)))))))))

Зайти в локальной сети на ТРЛИНК очень легко, у него в настройках вкладка LAN статически забит его айпи и маска.

Из микротика приходит кабель и воткнут в ЛАН ТРЛИНКА.

В локальной сети хоть с телефона заходи - все показывает. В интернете не хочет.

Когда маскарад сделал:

ip firewall nat add chain=srcnat action=masquerade

out-interface=LAN

тогда и вебморда в инете появилась, но при авторизации в строке менялся адрес на локальный и ничего не происходило. Т.е. каким-то образом маскарад помог показать вебку в интернете, но не дает идти дальше подменяя адресс на локальный.

 

TP-Link знает адрес Default Gateway?

 

вот отсюда скрины покажи пожлуйста.

 

Нет таких путей.

Это простой ТРЛИНК 4300. Из локальной я свободно захожу в него из инета ну никак.

 

Если прошивка фирменная tp-link то есть. по умолчанию порт 8088, я в ссылках поправлял на заявленный тобой 7777.

 

Advanced routing

 

- Static Routing List (отсюда нужен скрин)

http://192.168.1.5:8088/userRpm/StaticRouteTableRpm.htm

 

- System Routing Table (отсюда нужен скрин)

http://192.168.1.5:8088/userRpm/SysRouteTableRpm.htm

 

Все я вас понял, там один маршрут:

192.168.1.0 255.255.255.0 0.0.0.0

[stas_k]

Все я вас понял, там один маршрут:

192.168.1.0 255.255.255.0 0.0.0.0

У микротика адрес 192.168.1.1 ?

В Static Routing List добавьте маршрут 0.0.0.0 0.0.0.0 192.168.1.1

 

[DRiVen]

Не стыдно ли вам спрашивать, что такое маскарад в микротике?)))))))))

Вопрос задан о загадочной части фразы "на LAN", если не поняли.

 

/ip firewall nat add chain=srcnat action=masquerade out-interface=LAN

 

А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN,

/ip firewall nat add chain=srcnat action=masquerade in-interface=LAN

а в обратную сторону уже добавляют трансляции для доступа извне.

/ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.1.5 to-ports=80 protocol=tcp dst-port=80

P.S>Если с роутом не прокатит - добавляйте еще приведенное в предыдущем посте правило, для него маршрут на вашем 4300 не нужен.

[adsl]

У меня схожая ситуация. HAP Lite раздаёт Интернет в сеть, в разных помещениях стоят ТД TP-LINK WA701N v1, на первой родная прошивка 3.10.3 Build 100326 Rel.64889n, на второй OpenWrt Attitude Adjustment 12.09. Все пробросы настроены верно, из локалки всё управляется отлично. Так вот бывает пару раз в месяц отваливается доступ к web у стоковой прошивки TP-LINK, а у альтернативной версии вообще никаких проблем за 10 месяцев использования. Меня это сильно не напрягает пока, потому что, когда отваливается доступ, Я звоню ребятам и они ребутят точку, путём обесточивания POE инжектора.

PS Извините за офтоп, не знаю как в OpenWRТ добавить комментарии, в виде фамилии пользователей, в МАС-фильтре, напротив списка МАС. Это единственная загвоздка которая мешает полностью перейти на OpenWRT. Спасибо.

[interminable]

А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN,

 

/ip firewall nat add chain=srcnat action=masquerade in-interface=LAN

Пошутили?))))))))

Edited October 28, 2015 by interminable

[interminable]

Все я вас понял, там один маршрут:

192.168.1.0 255.255.255.0 0.0.0.0

У микротика адрес 192.168.1.1 ?

В Static Routing List добавьте маршрут 0.0.0.0 0.0.0.0 192.168.1.1

 

Не добавляет такой.

Код ошибки: 4001

IP-адрес назначения указан неверно. Укажите другое значение.

[DRiVen]

Пошутили?))))))))

А вы, похоже, не осилили даже мануал прочесть.

Вам на неоотвествие роли интерфейса в трансляции указано, возможно не очень прозрачно. Но раз уж штаны на лямках - манная кашка порционно:

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

[interminable]

А вам не стыдно такие правила лепить? Из-за него и получили разовый ответ, out-interface - внешний для роутера интерфейс и маскируют LAN на WAN,

 

/ip firewall nat add chain=srcnat action=masquerade in-interface=LAN

Вам на неоотвествие роли интерфейса в трансляции указано, возможно не очень прозрачно. Но раз уж штаны на лямках - манная кашка порционно:

 

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Может есть смысл определиться?

[DRiVen]

Мне - нет, у меня, в отличие от вас, все работает как мне нужно. А вам наверное да, если читать документацию не хотите. Последняя строка - нечто вроде подсказки для конфига с учетом результата дистанционного зондирования от залетных телепатов.

[stas_k]

Не добавляет такой.

Код ошибки: 4001

IP-адрес назначения указан неверно. Укажите другое значение.

прошивка с русским языком? хм.

 

tl-wdr4300 используется как 4 портовый свич и точка доступа? в порт wan ничего не подключено и он не сконфигурирован?

 

(шаманство) попробуй настроить wan порт на static ip. укажи ему 192.168.0.2 mask 16 dgw 192.168.1.1 в wan провод не втыкать.

[interminable]

stas_k

Т.е. настроить WAN порт но не подключать его...попробую.

 

п.с. видимо проблема таки в ТРЛИНКе, т.к. роутер асус включал и все было ок, а трлинк никак.

Edited April 5, 2016 by interminable