Jump to content
Калькуляторы

Из интернета на свитч Достучаться...

Reply to this topic

interminable   

interminable
Posted

Столкнулся с занятной проблемой.

Есть микротик, за ним стоит роутер настроенный как тупой свитч: кабель воткнут в LAN порт и отключен DHCP.

Проблема: в локальной сети захожу на веб свитча, из интернета никак.

 

Замучил службу поддержки ТР-ЛИНК, получил внятный ответ и совети в решении:

Проблема заключается в том, что в его настройках LAN не предусмотрено введение адреса шлюза, т.к. роутер по-умолчанию сам выступает в качестве шлюза. Когда идёт запрос извне, сурс ip этого запроса будет внешним, поэтому когда он обращается на 3600 с внешнего адреса, роутер просто не знает, куда ему отвечать, т.к. шлюза нет.

Я прописал статический маршрут для своего внешнего адреса - на локальный шлюз (в вашем случае это микротик) - но этот маршрут работает только через WAN порт.

Поэтому единственным способом захода на роутер 3600 \ 4300 извне, как я писал ранее от 14.04 в 18:47

"Можно подключиться по VPN, если микротик это поддерживает. Тогда вы будете в одной подсети с 4300 (при правильно указанном пуле адресов VPN), и роутер 4300 пустит вас на web."

 

Но мы ведь взрослые люди, но в микроте я не силен...есть предположение, что можно же как-то замаскарадить адреса и настроить так, чтоб без всяких vpn можно было удаленно заходить на свитч?

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted 
/ip firewall nat
add action=netmap chain=dstnat dst-port=[внешний порт] in-interface=[WAN на MT] protocol=tcp to-addresses=[ip свитча] to-ports=80
add action=src-nat chain=srcnat dst-address=[ip свитча] dst-port=80 protocol=tcp to-addresses=[ip микротика(шлюз из LAN)]

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted (edited) 

/ip firewall nat
add action=netmap chain=dstnat dst-port=[внешний порт] in-interface=[WAN на MT] protocol=tcp to-addresses=[ip свитча] to-ports=80
add action=src-nat chain=srcnat dst-address=[ip свитча] dst-port=80 protocol=tcp to-addresses=[ip микротика(шлюз из LAN)]

Первое правило было.

Второе добавил - ноль на массу. Причем даже байты по 0 в этом правиле.

Edited by interminable

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted

/ip firewall nat

add action=netmap chain=dstnat dst-address=193.13.13.14 dst-port=80 in-interface=ether2-WAN \

log-prefix=TPLINK protocol=tcp to-addresses=10.10.10.11 to-ports=80

add action=src-nat chain=srcnat dst-address=10.10.10.11 dst-port=80 log-prefix=TPLINK protocol=tcp \

to-addresses=10.10.10.10

add action=redirect chain=dstnat comment="DNS default" dst-port=53 in-interface=ether5-LAN protocol=udp

add action=masquerade chain=srcnat out-interface=ether2-WAN

add action=masquerade chain=srcnat out-interface=ether5-LAN

add action=masquerade chain=srcnat comment="Routes LAN" disabled=yes dst-address=192.168.0.0/23 \

out-interface=ether5-LAN src-address=10.10.10.0/25

 

 

 

 

/ip firewall filter

add action=fasttrack-connection chain=forward connection-state=established,related

add chain=input comment=VPN dst-port=1723 protocol=tcp

add chain=input comment="for VPN" protocol=gre

add chain=input comment="Permit related connections" connection-state=related

add chain=input comment="Permit icmp" protocol=icmp

add chain=input comment="Permit established connections" connection-state=established

add chain=input comment=IPTV disabled=yes in-interface=ether2-WAN protocol=igmp src-address=0.0.0.0

add chain=input disabled=yes dst-port=5004 in-interface=ether2-WAN protocol=udp

add action=drop chain=input dst-port=53 in-interface=ether2-WAN protocol=tcp

add action=drop chain=input dst-port=53 in-interface=ether2-WAN protocol=udp

add action=drop chain=input comment="Deny invalid connections" connection-state=invalid

add action=drop chain=input comment="port scanners" src-address-list="port scanners"

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp psd=21,3s,3,1

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,syn

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=syn,rst

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22,1122 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22,1122 protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22,1122 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22,1122 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22,1122 protocol=tcp

add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 protocol=tcp src-address-list=telnet_blacklist

add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3

add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2

add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1

add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp

add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp src-address-list=spammer

add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 dst-port=25 \

limit=50,5:packet protocol=tcp

add action=drop chain=forward connection-state=invalid

add action=drop chain=input in-interface=ether2-WAN src-address-list=BOGON

add action=drop chain=input in-interface=ether3-Tritel src-address-list=BOGON

add action=drop chain=forward comment="List for drop clients" src-address-list=deny-forward

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted (edited)
dst-address=193.13.13.14

Если на интерфейсе не подсеть - пошто сей параметр?

add action=masquerade chain=srcnat out-interface=ether5-LAN

Если это удалите, то, думаю, все заработает.

Edited by DRiVen

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted (edited)

interminable (19 апреля 2016 - 15:58) писал:

dst-address=193.13.13.14

 

Если на интерфейсе не подсеть - пошто сей параметр?

 

 

/ip firewall nat

add action=netmap chain=dstnat dst-port=[внешний порт] in-interface=[WAN на MT] protocol=tcp to-addresses=[ip свитча] to-ports=80

 

Теперь я вас не понимаю.

 

 

Убил маскарадинг - не помогло.

Edited by interminable

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted
Теперь я вас не понимаю.

1) Параметр 

dst-address=193.13.13.14

в правиле при указании входного интерфейса (in-interface=ether2-WAN) - лишний.

 

2) Правило 

add action=masquerade chain=srcnat out-interface=ether5-LAN

зачем то транслирует внешние адреса на внутренние без разбору, фактически мешая нужной.

 

Лишние записи удалите, все должно заработать.

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 193.13.13.254 1

1 A S 0.0.0.0/0 172.16.12.254 1

2 A S 0.0.0.0/0 193.13.13.254 1

3 S 0.0.0.0/0 193.13.13.254 1

172.16.12.254

4 A S ;;; Netwatch

8.8.4.4/32 193.13.13.254 1

5 A S ;;; Netwatch

8.8.8.8/32 172.16.12.254 1

6 ADC 10.10.10.0/25 10.10.10.10 ether5-LAN 0

7 ADC 172.16.12.0/21 172.16.12.151 ether3-WAN1 0

8 ADC 192.168.0.0/24 192.168.0.10 ether5-LAN 0

9 ADC 192.168.1.0/24 192.168.1.10 ether5-LAN 0

10 ADC 193.13.13.0/24 193.13.13.14 ether2-WAN 0

 

 

set [ find default-name=ether1 ] disabled=yes

set [ find default-name=ether2 ] comment="ISP 1" name=ether2-WAN

set [ find default-name=ether3 ] comment="ISP 2" name=ether3-WAN1

set [ find default-name=ether4 ] disabled=yes

set [ find default-name=ether5 ] comment=LOCAL name=ether5-LAN

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

0 A S 0.0.0.0/0 193.13.13.254 1

1 A S 0.0.0.0/0 172.16.12.254 1

2 A S 0.0.0.0/0 193.13.13.254 1

Два идентичных дефолта с одной метрикой? Два разных, при наличии балансировки или резервирования, еще понятно, а откуда дубль? И посмотрите отработку обоих правил.

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted (edited)

Таблица активных маршрутов, мягко говоря, странная. Даже отдельных таблиц для отдельных ISP нет.

Если основной трафик пытается идти через 172.16.12.254, то работать "проброс порта на свитч" не будет.

Надо как минимум маркировать входящее подключение к ether2-WAN и ставить routing-mark, чтобы ответы уходили через 193.13.13.254, если вы пробрасываете порт с адреса 193.13.13.14

Edited by nkusnetsov

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted (edited)

Маркеры стоят. Просто роут принт их не показывает, как раз первые 2 маршрута промаркированы.

Как проверить отработку правил? Если вы про пакеты то да идут, обьем трафика прошедшего через правило увеличивается...

Но к роутеру доступа нет, просьба еще раз вникнуть вначале темы в суть вопроса, может разгадка совсем рядом?

 

0 A S 0.0.0.0/0 193.13.13.254 1

1 A S 0.0.0.0/0 172.16.12.254 1

2 A S 0.0.0.0/0 193.13.13.254 1

Два идентичных дефолта с одной метрикой? Два разных, при наличии балансировки или резервирования, еще понятно, а откуда дубль? И посмотрите отработку обоих правил.

Один с маркером другой без. Если оставить только с маркером, то на микротик только из локалки попадешь, из инета не пойдет.

Edited by interminable

Share this post

Link to post
Share on other sites

Whistler   

Whistler
Posted

Добавьте:

/ip firewall nat
add action=masquerade chain=srcnat dst-address=10.10.10.11
add action=dst-nat chain=dstnat dst-port=80 in-interface=WAN protocol=tcp to-addresses=10.10.10.11 to-ports=80

Остальное касательно проброса на 10.10.10.11 удалите.

Должно работать.

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted

2) Правило

add action=masquerade chain=srcnat out-interface=ether5-LAN

зачем то транслирует внешние адреса на внутренние без разбору, фактически мешая нужной.

Если я это удаляю у меня перестают открываться сайты. Скайп работает, а сайты - нет.

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

Если я это удаляю у меня перестают открываться сайты. Скайп работает, а сайты - нет.

Вы пытаетесь, судя по этому и соседним топикам, создать полное собрание костылей, и смысла парсить ваш сумасшедший конфиг все меньше и меньше.

add action=redirect chain=dstnat comment="DNS default" dst-port=53 in-interface=ether5-LAN protocol=udp

Удалите еще это безумное правило, серфинг должен заработать.

Share this post

Link to post
Share on other sites

WY6EPT   

WY6EPT
Posted (edited)

Вопрос роутером остался?

А ты попробуй на том тупом роутере

- ван сделать динамикой, что бы в таблицу маршрутизации малоли чего не записалось

 

Прописать статический маршрут

0.0.0.0 он тебе не даст

Зато никто не побъёт если ты сделаешь разбивку на сегменты дефолта :)

Что то типа 1.1.1.1/1

Ну и кидай эти маршруты в строну твоего микротика.

Таким образом ты ему скажешь, что типа у тебя интернет то может быть за ваном, но 99% сетей из него находятся за роутером внутри нашей сети :)

Я так вафли ставлю :) и пишу маршруты в мою сеть, что бы достучаться можно было.

 

Опять таки вариант на микротике

тебе нужно настроить проброс порта и трафик по этому порту и для этого айпи заворачивать в сурс нат при выходе из интерфейса внутренней сетки.

Edited by WY6EPT

Share this post

Link to post
Share on other sites

interminable   

interminable
Posted (edited)

Вопрос таки да актуален.

Слушай я нихрена не понял :-)

Можешь подробно растолковать, что и где писать?

Edited by interminable

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы