Jump to content

Проброс на USB lte modem

abugs

By abugs
in Mikrotik Wireless

 Share

Recommended Posts

abugs

abugs

Posted
Posted

Здравствуйте уважаемые специалисты.

Есть роутер микротик с USB портом

К USB порту подключён модем хуавей с прошивкой hilink. USB модем имеет свой веб интерфейс с дефолтным адресом 192.168.8.1. Из локальной сети на этот адрес можно без проблем зайти, причём не обязательно быть в сети 192.168.8.х... А в случае отсутствия интернета в браузере автоматически выходит веб интерфейс USB модема. У меня не получается настроить проброс на USB модем с внешней сети. Создаю правило nat, в котором настраиваю dst-nat, tcp, dst-port 90, action netmap, 192.168.8.1, port 80. Пытаюсь зайти по статичскому ip, по порту 90. Не идёт... Где не докрутил... Подскажите пожалуйста

  • Replies 57
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

abugs

abugs

Posted
  • Author
Posted (edited)
Где не докрутил...

'/ip firewall export' показывайте.

/ip firewall filter

add action=accept chain=input connection-state=established in-interface=lte1

add action=accept chain=input connection-state=related in-interface=lte1

add action=accept chain=input dst-port=8291 protocol=tcp

add action=drop chain=input in-interface=lte1

/ip firewall nat

 

add action=masquerade chain=srcnat out-interface=lte1

add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\

192.168.1.201 to-ports=37777

add action=masquerade chain=srcnat src-address=192.168.1.0/24

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \

in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\

192.168.1.201 to-ports=37777

add action=dst-nat chain=dstnat dst-port=90 in-interface=lte1 protocol=tcp \

to-addresses=192.168.8.1 to-ports=80

 

самое последнее правило nat. пробовал netmap и dst-nat - эффект одинаков

браузер на удаленном ПК, при попытке доступа по статическому адресу 31.173.ххх.ххх:90, выдает в адресной строке 'http://192.168.8.1/html/index.html?url=31.173.ххх.ххх:90', и пишет "не удалось получить доступ к сайту"

Edited by abugs
DRiVen

DRiVen

Posted
Posted

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

abugs

abugs

Posted
  • Author
Posted

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

как вариант надо попробовать... сейчас в usb модеме ip микротика в DMZ - это было сделано изначально, чтоб доступ у видеорегистратору был и на микротик можно было заходить. А теперь мне пришла мысль, что не плохо бы было заходить в интерфейс модема и смотреть уровень сигнала.

 

Скорее всего получится всё сделать как Вы говорите. Нужно просто отключить DMZ на USB модеме и пробросить порты, необходимые для доступа к микротику и видеорегистратору.

 

Но это нужно делать из локалки,а физически я не скоро окажусь рядом со всем этим оборудованием.

DRiVen

DRiVen

Posted
Posted

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

abugs

abugs

Posted
  • Author
Posted

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

Ок.

Так менять не дает, ругается на in-interface=lte1

пробовал убирать или ставить out-interface=lte1

 

не помогает

abugs

abugs

Posted
  • Author
Posted (edited)

Да, сори, не так написал.

/ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

такое правило назначил:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

192.168.8.100 - этот адрес получает МТ от usb модема по dhcp ... так тоже работать не хочет(

Edited by abugs
abugs

abugs

Posted
  • Author
Posted (edited)

В файрволе 

add action=accept chain=input dst-port=90 protocol=tcp

добавьте.

 

сделал, не помогло

/ip firewall filter
add action=accept chain=input connection-state=established in-interface=lte1
add action=accept chain=input connection-state=related in-interface=lte1
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

Edited by abugs
abugs

abugs

Posted
  • Author
Posted

Э... а где 

add action=accept chain=forward connection-state=established,related

?

да как-то без них обходились...

добавил.

/ip firewall filter
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

убрал из правил in-interface=lte1, наверное это не принципиально в данном случае

 

результат остался прежним

DRiVen

DRiVen

Posted
Posted 

add action=masquerade chain=srcnat out-interface=lte1
...
add action=masquerade chain=srcnat src-address=192.168.1.0/24

Убирайте второе правило. И

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.201 to-ports=37777

это странное правило тоже.

  • 2 weeks later...
  • 1 month later...
  • 1 year later...
edqaws

edqaws

Posted
Posted

Я решил проблему активировав Web Proxy на удаленном mikrotik. В настройках браузера ссылаюсь на Proxy удаленного маршрутизатора, что позволяет указывать в url http://192.168.8.1. Спасибо @dsk за наводку.

  • 1 month later...
ЦентрСвязь.рф

ЦентрСвязь.рф

Posted
Posted

как настроил прокси покажи настройки, пытаюсь тоже самое намутить с опенврт , таже ошибка.

 

выложи как ты сделал, опиши пожалуйста.

 

ты оставлял правело переадресации чтобы выдавало ошибку  "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

как в браузере указывал прокси?

DRiVen

DRiVen

Posted
Posted
В 01.02.2017 в 03:47, dsk сказал:

Апну.

На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url=

Не от 8.1, а от 8.0/24, и это не проблема, к правилу dstnat добавить

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.1 dst-port=80 protocol=tcp to-addresses=[ip-адрес локального интерфейса МТ]

ЦентрСвязь.рф

ЦентрСвязь.рф

Posted
Posted

ругается на  --to-source     , адрес роутера 192.168.8.100 это выдается по dhcp модемом.

 

тесть адрес модема 192.168.8.1 , адрес роутера 192.168.8.100 , локальная сеть 192.168.1.0/24 ну и статика  x.y.z.a

 

root@OpenWRT:~# iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 --to-source 192.168.8.100
iptables v1.4.21: unknown option "--to-source"
 

 

также по умолчанию порт на модеме 80, а на роутере стоит редирект порта с

 

 x.y.z.a  port 90 ---> 192.168.8.1 port 80  и при этом оно выдает ошибку "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

вот как то так

  • 10 months later...
Ferdin

Ferdin

Posted
Posted

@sskiller Никак, ставьте микротики и заходите на huawei через роуты, если хотите по простому пробросом через порт тогда используйте модемы zte.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.