[sasha300]

1.1) чем занят 80 порт?

80 порт занят АТС

1.2) почему ты так думаешь?

потому, что если я захожу удаленно, то делаю именно через 80 порт, а точнее просто вбивая внешний ip офиса

2) с компьютера должен пинговаться ip адрес lte модема. 192.168.8.1

я уже настроил, что с локалки через основной роутер подключаюсь с свистку, воткнутому в роутер для экспериментовstas_k

3) доступ к модему по адресу http://192.168.8.1/

доступ к этому ip в локалке теперь есть

 

 

А как выглядит удаленка? Это какой то туннель?

да никак не выглядит! Я в браузере вбиваю внешний ip, затем 81 порт, выглядит это так "внешний_ip:81" и получаю облом. Пока писал, пришла в голову мысля - за место атс на 80 порт повешу свисток, через десяток минут отпишусь

[fiskunt]

Непонятно вот что. Как стоит экспериментальный роутер? Так же в локалке основного? Или он теперь сам по себе и работает через свисток? Что то менялось в сети перед началом удаленных опытов? И попытки достучаться идут изнутри сети на внешний ip или снаружи. Вообще все интересует. Это важно

[sasha300]

перевел правило nat с атс на свисток, т.е. прописал путь 192.168.8.1, в правилах фильтра ничего перенастраивать не пришлось, так как там не указан локальный ip - вбиваю внешний ip - опять захожу на атс. В общем я в не понятках, придется долбить кореша, кто настраивал тик (жаль только, что это растянется на х.з. какое время) :(

 

Или он теперь сам по себе и работает через свисток

неее сейчас схему нарисую

[stas_k]

потому, что если я захожу удаленно, то делаю именно через 80 порт, а точнее просто вбивая внешний ip офиса

а какой у тебя внешний ip офиса?

[sasha300]

наваял очередной шедевр:

 

а какой у тебя внешний ip офиса?

обычно внешний ip умалчивают, чтобы не брутфорсили или что-то изменилось?

Изменено 4 февраля, 2016 пользователем sasha300

[fiskunt]

Вот бы 5-10 скринов с некоторыми настройками увидеть((

А вообще загляни в личку

Кстати адрес на экспериментальном тике (192.168.0.30) статический? Если так то тебе нужно до шлюза (192.168.0.1) прописать. Вообще кое что перенастроить надо в плане маршрутизации на экспериментальном тике)))

Изменено 4 февраля, 2016 пользователем fiskunt

[stas_k]

по нарисованной схеме получается у тебя так:

с домашнего компа, с его внешнего ip адреса приходит пакет.

пакет выглядит так: (from внешний домашний ip, from port any -> to внешний ip "основного" роутера, to port 80)

пакет попадает на внешний ip адрес "основного" роутера.

dstnat переадресовывает пакет на 192.168.8.1 и отправляет его в свой LAN.

здесь пакет выглядит так: (from внешний домашний ip, from port any -> to 192.168.8.1 ip, to port 80)

пакет попадает в LTE модем, в LAN интерфейс.

LTE модем принимает этот пакет.

встроенный web сервер запрос обрабатывает.

и шлет ответ.

шлет ответ...

шлет ответ куда?

шлет ответ на ip адрес домашнего компа. на внешний ip адрес домашнего компа.

в строгом соответствии со стандартами и с таблицей маршрутизации LTE модема этот пакет уходит через WAN интерфейс LTE.

(from внешний адрес LTE ip, from port any -> to внешний ip адрес домашнего компа, to какой был в запросе)

твой домашний комп получает ответ.

но отбрасывает его, так как домашний комп ждет ответа от другого ip. от ip адреса "основного" роутера.

 

и абсолютно такая же ситуация, когда с домашнего компа обращаешся на порт 81.

 

 

быстрое. но не очень правильное решение - на "основном" роутере не только подменять адрес назначения (dstnat на 192.168.8.1) но еще и srcnat (кажется так), заменять и адрес отправителя с внешнего домашнего ip на внутренний ip 192.168.0.1 "основного роутера".

вот как то так, в таком направлении думать...

[DRiVen]

быстрое, но не очень правильное решение - на "основном" роутере не только подменять адрес назначения (dstnat на 192.168.8.1) но еще и srcnat (кажется так), заменять и адрес отправителя с внешнего домашнего ip на внутренний ip 192.168.0.1 "основного роутера".

Угу, и этот костыль так любят - просто хит сезона.

 

 

sasha300, основной и "экспериментальный" роутеры - R1 и R2 соответственно. Адресацию, порт и протокол под себя адаптировать сможете?

[sasha300]

stas_k

спасибо за развернутый ответ! Даже не предполагал, что пакет обратно с LTE отправляется!

А если "в строгом соответствии со стандартами и с таблицей маршрутизации LTE модема этот пакет уходит через WAN интерфейс LTE", то как залезть в таблицу маршутизации LTE? Или чтобы "пакет не уходил через WAN интерфейс LTE" надо прописать маршрут?

В общем мне надо на это время, чтобы детально обмозговать полученную информацию

 

Адресацию, порт и протокол под себя адаптировать сможете?

попробую, поэкспериментирую и отпишусь ;)

Изменено 5 февраля, 2016 пользователем sasha300

[stas_k]

А если "в строгом соответствии со стандартами и с таблицей маршрутизации LTE модема этот пакет уходит через WAN интерфейс LTE", то как залезть в таблицу маршутизации LTE?

Не надо туда залезать. Она каждый раз, при подключении к оператору сотовой связи, строится динамически новая. Ибо в модеме LTE таблица маршрутизации зависит от того времени суток, к какой базовой станции он подключился, какой тариф на SIM карте, /другое/.

 

Но надо прочитать про IP протокол вообще, и про базовую маршрутизацию в частности. А при возникновении загадочных ситуаций полезно мысленно смоделировать весь путь пакета "диалог" от и до.

 

Для данной ситуации DRiVen дал хороший, подробный правильный ответ в картинке. За это ему спасибо и плюсов в карму.

[sasha300]

Адресацию, порт и протокол под себя адаптировать сможете?

За выходные я немного переиграл ситуацию: поняв, что двойной нат это зло (за это респект fiskunt), я перекинул свисток на основной тик. Таким образом из локалки к нему доступ имею, а вот из интернета - увы :(

сейчас экспериментирую с маршрутизацией, но не получил результата..

[stas_k]

За выходные я немного переиграл ситуацию: поняв, что двойной нат это зло (за это респект fiskunt), я перекинул свисток на основной тик. Таким образом из локалки к нему доступ имею, а вот из интернета - увы :(

по сумме задач - тебе нужен VPN.

с домашнего компьютера устанавливаешь VPN соединение с офисом, и тогда домашний компьютер как бы "перенесется" в офис. ты сможешь подключаться к LTE модему так, как если бы ты физически находился в офисе. (за одно еще и к АТС серверу, принтеру, остальным устройствам).

а с маршрутизатора нужно убрать проброс портов на АТС. вообще все убрать, оставить только доступ через VPN. для безопасности.

[sasha300]

по сумме задач - тебе нужен VPN.

согласен, но для простоты задачи я умолчал, что помимо этого я хочу с телефона получать доступ к свистку. Т.е. на телефоне запускаю порткнокинг (уже научился делать), роутер мне открывает доступ (кстати, все адреса заблокированы, кроме тех, кто в белом списке) и я получаю инфу по смс, могу выполнять ussd запросы.

Зачем надо с телефона: допустим я нахожусь в другой стране, потребовалось воспользоваться той же двухэтапной авторизацией, мне отправляют смс на номер, который в тике, я захожу туда и вижу заветную смс. А так как на роутере будет правило, "запретить все, кроме определенных адресов", то безопасность будет на высоте и даже находясь за границей, я буду управлять симкой в полном объеме. Уже умалчиваю о том, что симки за бугром бывают не активы..

Изменено 8 февраля, 2016 пользователем sasha300

[stas_k]

согласен, но для простоты задачи я умолчал, что помимо этого я хочу с телефона получать доступ к свистку. Т.е. на телефоне запускаю

хозяин-барин.

для информации: для телефона смартфонов есть VPN клиенты.

у меня на смартфонах мобильных клиентов через VPN заведены SIP аккаунты с офисной АТС. корпоративный чат. разное-полезное.

 

Мобильные клиенты - это любой вне офиса. руководство, сотрудники в командировках, удаленные сотрудники. Система однообразно работает для всех, и с компами, ноутбуками, смартфонами.

А скольким сотурдникам ты сможешь представить удаленный доступ порткнокингом?

[sasha300]

А скольким сотурдникам ты сможешь представить удаленный доступ порткнокингом?

ок, убедили. Поднимаю VPN

 

смартфонов есть VPN клиенты

как понимаю, Вы уже испробовали ряд приложений, какое порекомендуете?

[stas_k]

Самый простейший случай PPTP поддерживается из коробки всеми. Считается не безопасным, потому что может быть относительно легко вскрыт, за обозримое время. не работает через некоторых операторов сотовой связи (фатальный недостаток).

 

Значительно лучше OpenVPN, если ключи 1024 и совсем хорошо, если 2048 (но это не все умеют).

[sasha300]

Подвожу итог эпопеи с 4G LTE модемом, вдруг компу-то поможет. Какие нарисовались варианты и чего ждать, если хочеться получать доступ к свистку (чтение СМС, проверка баланса и прочее) из вне:

а) использование VPN самый лучший вариант. Вбиваю 192.168.8.1 и вуаля, я на веб морде свистка! Но из-за одной специфической программы, которую я использую ежедневно, пришлось отказаться от этой технологии

б) удаленное подключение к компьютеру, который находится в той же сети что и модем, ну а через него заход на веб морду

Организовать удаленное подключение к web интерфейсу свистка не получиться, так как из-за правил маршрутов входящие пакеты будут идти как обычно: удаленный комп => основной провайдер => Микротик => свисток, а вот исходящие пакеты пойдут через этот модем, с другим IP, как следствие, удаленный комп не примет пакет, так как он пришел не с тем исходящим адресом.

В общем остановился на варианте Б, но вдруг у кого-то появится интересная идея, то всегда готов выслушать

[Saab95]

Организовать удаленное подключение к web интерфейсу свистка не получиться, так как из-за правил маршрутов входящие пакеты будут идти как обычно: удаленный комп => основной провайдер => Микротик => свисток, а вот исходящие пакеты пойдут через этот модем, с другим IP, как следствие, удаленный комп не примет пакет, так как он пришел не с тем исходящим адресом.

 

Это легко решается через проброс порта. Модем же знает что локальная сеть находится не со стороны оператора и никаких проблем не будет.

[sasha300]

Saab95

для пущей уверенности я сегодня ещё раз попробую это сделать. Но в первый раз не получилось это реализовать

[stas_k]

а) использование VPN самый лучший вариант. Вбиваю 192.168.8.1 и вуаля, я на веб морде свистка! Но из-за одной специфической программы, которую я использую ежедневно, пришлось отказаться от этой технологии

что за программа?

 

VPN можно поднимать только при необходимости.

[sasha300]

stas_k

MyLifeOrganaized. Все дело в том, что эта программа на Android может синхронизироваться только с одинм ip. Я обошел это ограничение, путем синхронизации через Bittorrent Sync профайла. Т.е. на работе врубаю usb wi-fi модуль, которому назначил точно такой же ip как и дома - прога думает, что это домашний комп и синхронизирует инфу.

 

VPN можно поднимать только при необходимости.

нее, проще отказаться от VPN, нежели его включать и выключать..

Изменено 12 февраля, 2016 пользователем sasha300

[stas_k]

stas_k

MyLifeOrganaized. Все дело в том, что эта программа на Android может синхронизироваться только с одинм ip. Я обошел это ограничение, путем синхронизации через Bittorrent Sync профайла. Т.е. на работе врубаю usb wi-fi модуль, которому назначил точно такой же ip как и дома - прога думает, что это домашний комп и синхронизирует инфу.

нее, проще отказаться от VPN, нежели его включать и выключать..

А я наоборот, поднял бы два впн. один до дома, другой до работы.

[sasha300]

я сегодня ещё раз попробую это сделать

сегодня обещался выдать результаты, но обломался, так как при экспериментах потерял связь с офисом. Завтра устраню проблему и как будет результат отпишусь

[sasha300]

как говориться, начинаешь решать одну задачу, всплывает ещё десять: когда поднял DHCP клиент на интерфейсе LTE, то у меня отвалился весь офис, включая миниАТС, сервер, в общем всё. Произошло это по причине автоматического присвоения этому интерфейсу с параметром Distance равный 0:

Проще говоря этот интерфейс стал самым приоритетным и весь трафик шел через свисток. Понятное дело, что связь с тиком я потерял :(

 

Пришлось ехать в офис, в один из локальных компов воткнул 3G модем, сделав так, чтобы трафик шел через свисток (distance=1), а затем уже через локальную сеть (distance=2). Но теперь целый комп решает только одну задачу - в случае потери связи с Микротиком, я могу восстановить настройки, удаленно подключившись к компу, а от него подключившись к Микротику.

Отсюда вопрос: можно ли сделать схему проще, без выделения комптьютера под эту задачу?

[Saab95]

В настройках DHCP клиента есть опция указания метрики, а так же есть галочка, не устанавливая которую, можно этот дефолтный маршрут и не получать.

 

Нормальная настройка микротика с получением интернета через кабельный канал и модем, позволяет в любом случае иметь связь до него по PPP туннелям.

 

Что бы в следующий раз не ехать, нажмите вверху кнопку Safe Mode, тогда при обрыве связи настройки вернутся обратно. Правда срабатывает эта штука порой с 10-15 минутным опозданием, т.к. столько времени может висеть администратор по таймауту. Перезагрузка устройства вызывает сохранение настроек, поэтому при такой работе перезагружать оборудование не стоит.