Jump to content
Калькуляторы

Проброс на USB lte modem

Reply to this topic

abugs   

abugs
Posted

Здравствуйте уважаемые специалисты.

Есть роутер микротик с USB портом

К USB порту подключён модем хуавей с прошивкой hilink. USB модем имеет свой веб интерфейс с дефолтным адресом 192.168.8.1. Из локальной сети на этот адрес можно без проблем зайти, причём не обязательно быть в сети 192.168.8.х... А в случае отсутствия интернета в браузере автоматически выходит веб интерфейс USB модема. У меня не получается настроить проброс на USB модем с внешней сети. Создаю правило nat, в котором настраиваю dst-nat, tcp, dst-port 90, action netmap, 192.168.8.1, port 80. Пытаюсь зайти по статичскому ip, по порту 90. Не идёт... Где не докрутил... Подскажите пожалуйста

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted (edited)
Где не докрутил...

'/ip firewall export' показывайте.

/ip firewall filter

add action=accept chain=input connection-state=established in-interface=lte1

add action=accept chain=input connection-state=related in-interface=lte1

add action=accept chain=input dst-port=8291 protocol=tcp

add action=drop chain=input in-interface=lte1

/ip firewall nat

 

add action=masquerade chain=srcnat out-interface=lte1

add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\

192.168.1.201 to-ports=37777

add action=masquerade chain=srcnat src-address=192.168.1.0/24

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \

in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\

192.168.1.201 to-ports=37777

add action=dst-nat chain=dstnat dst-port=90 in-interface=lte1 protocol=tcp \

to-addresses=192.168.8.1 to-ports=80

 

самое последнее правило nat. пробовал netmap и dst-nat - эффект одинаков

браузер на удаленном ПК, при попытке доступа по статическому адресу 31.173.ххх.ххх:90, выдает в адресной строке 'http://192.168.8.1/html/index.html?url=31.173.ххх.ххх:90', и пишет "не удалось получить доступ к сайту"

Edited by abugs

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

как вариант надо попробовать... сейчас в usb модеме ip микротика в DMZ - это было сделано изначально, чтоб доступ у видеорегистратору был и на микротик можно было заходить. А теперь мне пришла мысль, что не плохо бы было заходить в интерфейс модема и смотреть уровень сигнала.

 

Скорее всего получится всё сделать как Вы говорите. Нужно просто отключить DMZ на USB модеме и пробросить порты, необходимые для доступа к микротику и видеорегистратору.

 

Но это нужно делать из локалки,а физически я не скоро окажусь рядом со всем этим оборудованием.

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

Ок.

Так менять не дает, ругается на in-interface=lte1

пробовал убирать или ставить out-interface=lte1

 

не помогает

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted (edited)

Да, сори, не так написал.

/ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

такое правило назначил:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

192.168.8.100 - этот адрес получает МТ от usb модема по dhcp ... так тоже работать не хочет(

Edited by abugs

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted (edited)

В файрволе 

add action=accept chain=input dst-port=90 protocol=tcp

добавьте.

 

сделал, не помогло

/ip firewall filter
add action=accept chain=input connection-state=established in-interface=lte1
add action=accept chain=input connection-state=related in-interface=lte1
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

Edited by abugs

Share this post

Link to post
Share on other sites

abugs   

abugs
Posted

Э... а где 

add action=accept chain=forward connection-state=established,related

?

да как-то без них обходились...

добавил.

/ip firewall filter
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

убрал из правил in-interface=lte1, наверное это не принципиально в данном случае

 

результат остался прежним

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted 

add action=masquerade chain=srcnat out-interface=lte1
...
add action=masquerade chain=srcnat src-address=192.168.1.0/24

Убирайте второе правило. И

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.201 to-ports=37777

это странное правило тоже.

Share this post

Link to post
Share on other sites

dsk   

dsk
Posted

Апну.

На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url=

Share this post

Link to post
Share on other sites

edqaws   

edqaws
Posted

Я решил проблему активировав Web Proxy на удаленном mikrotik. В настройках браузера ссылаюсь на Proxy удаленного маршрутизатора, что позволяет указывать в url http://192.168.8.1. Спасибо @dsk за наводку.

Share this post

Link to post
Share on other sites

ЦентрСвязь.рф   

ЦентрСвязь.рф
Posted

как настроил прокси покажи настройки, пытаюсь тоже самое намутить с опенврт , таже ошибка.

 

выложи как ты сделал, опиши пожалуйста.

 

ты оставлял правело переадресации чтобы выдавало ошибку  "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

как в браузере указывал прокси?

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted
В 01.02.2017 в 03:47, dsk сказал:

Апну.

На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url=

Не от 8.1, а от 8.0/24, и это не проблема, к правилу dstnat добавить

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.1 dst-port=80 protocol=tcp to-addresses=[ip-адрес локального интерфейса МТ]

Share this post

Link to post
Share on other sites

ЦентрСвязь.рф   

ЦентрСвязь.рф
Posted

ругается на  --to-source     , адрес роутера 192.168.8.100 это выдается по dhcp модемом.

 

тесть адрес модема 192.168.8.1 , адрес роутера 192.168.8.100 , локальная сеть 192.168.1.0/24 ну и статика  x.y.z.a

 

root@OpenWRT:~# iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 --to-source 192.168.8.100
iptables v1.4.21: unknown option "--to-source"
 

 

также по умолчанию порт на модеме 80, а на роутере стоит редирект порта с

 

 x.y.z.a  port 90 ---> 192.168.8.1 port 80  и при этом оно выдает ошибку "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

вот как то так

Share this post

Link to post
Share on other sites

ЦентрСвязь.рф   

ЦентрСвязь.рф
Posted

так и не работает iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.8.100

модем отвечает не через 192.168.8.0

 

беда в том как заставить можем ответить через нужны адрес

 

Share this post

Link to post
Share on other sites

Ferdin   

Ferdin
Posted

@sskiller Никак, ставьте микротики и заходите на huawei через роуты, если хотите по простому пробросом через порт тогда используйте модемы zte.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik Wireless