abugs Posted November 26, 2016 · Report post Здравствуйте уважаемые специалисты. Есть роутер микротик с USB портом К USB порту подключён модем хуавей с прошивкой hilink. USB модем имеет свой веб интерфейс с дефолтным адресом 192.168.8.1. Из локальной сети на этот адрес можно без проблем зайти, причём не обязательно быть в сети 192.168.8.х... А в случае отсутствия интернета в браузере автоматически выходит веб интерфейс USB модема. У меня не получается настроить проброс на USB модем с внешней сети. Создаю правило nat, в котором настраиваю dst-nat, tcp, dst-port 90, action netmap, 192.168.8.1, port 80. Пытаюсь зайти по статичскому ip, по порту 90. Не идёт... Где не докрутил... Подскажите пожалуйста Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 26, 2016 · Report post Где не докрутил... '/ip firewall export' показывайте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 27, 2016 (edited) · Report post Где не докрутил... '/ip firewall export' показывайте. /ip firewall filter add action=accept chain=input connection-state=established in-interface=lte1 add action=accept chain=input connection-state=related in-interface=lte1 add action=accept chain=input dst-port=8291 protocol=tcp add action=drop chain=input in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\ 192.168.1.201 to-ports=37777 add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \ in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\ 192.168.1.201 to-ports=37777 add action=dst-nat chain=dstnat dst-port=90 in-interface=lte1 protocol=tcp \ to-addresses=192.168.8.1 to-ports=80 самое последнее правило nat. пробовал netmap и dst-nat - эффект одинаков браузер на удаленном ПК, при попытке доступа по статическому адресу 31.173.ххх.ххх:90, выдает в адресной строке 'http://192.168.8.1/html/index.html?url=31.173.ххх.ххх:90', и пишет "не удалось получить доступ к сайту" Edited November 27, 2016 by abugs Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 27, 2016 · Report post Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 27, 2016 · Report post Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя. как вариант надо попробовать... сейчас в usb модеме ip микротика в DMZ - это было сделано изначально, чтоб доступ у видеорегистратору был и на микротик можно было заходить. А теперь мне пришла мысль, что не плохо бы было заходить в интерфейс модема и смотреть уровень сигнала. Скорее всего получится всё сделать как Вы говорите. Нужно просто отключить DMZ на USB модеме и пробросить порты, необходимые для доступа к микротику и видеорегистратору. Но это нужно делать из локалки,а физически я не скоро окажусь рядом со всем этим оборудованием. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 27, 2016 · Report post Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat. /ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \ to-addresses=192.168.8.1 to-ports=80 и в следующий раз описывайте конфигурацию подробней. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 28, 2016 · Report post Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat. /ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \ to-addresses=192.168.8.1 to-ports=80 и в следующий раз описывайте конфигурацию подробней. Ок. Так менять не дает, ругается на in-interface=lte1 пробовал убирать или ставить out-interface=lte1 не помогает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 28, 2016 · Report post Да, сори, не так написал. /ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \ to-addresses=192.168.8.1 to-ports=80 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 29, 2016 (edited) · Report post Да, сори, не так написал. /ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \ to-addresses=192.168.8.1 to-ports=80 такое правило назначил: /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\ tcp to-addresses=192.168.8.1 to-ports=80 192.168.8.100 - этот адрес получает МТ от usb модема по dhcp ... так тоже работать не хочет( Edited November 29, 2016 by abugs Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 29, 2016 · Report post В файрволе add action=accept chain=input dst-port=90 protocol=tcp добавьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 29, 2016 (edited) · Report post В файрволе add action=accept chain=input dst-port=90 protocol=tcp добавьте. сделал, не помогло /ip firewall filter add action=accept chain=input connection-state=established in-interface=lte1 add action=accept chain=input connection-state=related in-interface=lte1 add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input dst-port=90 protocol=tcp add action=drop chain=input in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\ 192.168.1.201 to-ports=37777 add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \ in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\ 192.168.1.201 to-ports=37777 add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\ tcp to-addresses=192.168.8.1 to-ports=80 Edited November 29, 2016 by abugs Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 29, 2016 · Report post Э... а где add action=accept chain=forward connection-state=established,related ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abugs Posted November 29, 2016 · Report post Э... а где add action=accept chain=forward connection-state=established,related ? да как-то без них обходились... добавил. /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=forward connection-state=established add action=accept chain=input connection-state=related add action=accept chain=forward connection-state=related add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input dst-port=90 protocol=tcp add action=drop chain=input in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\ 192.168.1.201 to-ports=37777 add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \ in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\ 192.168.1.201 to-ports=37777 add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\ tcp to-addresses=192.168.8.1 to-ports=80 убрал из правил in-interface=lte1, наверное это не принципиально в данном случае результат остался прежним Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 2, 2016 · Report post add action=masquerade chain=srcnat out-interface=lte1 ... add action=masquerade chain=srcnat src-address=192.168.1.0/24 Убирайте второе правило. И add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.201 to-ports=37777 это странное правило тоже. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ferdin Posted December 12, 2016 · Report post попробуйте в файрволе команду add action=dst-nat chain=dstnat dst-port=90 protocol=tcp to-addresses=\ 192.168.99.1 to-ports=80 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted February 1, 2017 · Report post Апну. На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url= Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edqaws Posted February 15, 2018 · Report post Я решил проблему активировав Web Proxy на удаленном mikrotik. В настройках браузера ссылаюсь на Proxy удаленного маршрутизатора, что позволяет указывать в url http://192.168.8.1. Спасибо @dsk за наводку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ЦентрСвязь.рф Posted March 18, 2018 · Report post как настроил прокси покажи настройки, пытаюсь тоже самое намутить с опенврт , таже ошибка. выложи как ты сделал, опиши пожалуйста. ты оставлял правело переадресации чтобы выдавало ошибку "http://192.168.8.1/html/index.html?url=x.y.z.a" как в браузере указывал прокси? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 18, 2018 · Report post В 01.02.2017 в 03:47, dsk сказал: Апну. На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url= Не от 8.1, а от 8.0/24, и это не проблема, к правилу dstnat добавить /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.1 dst-port=80 protocol=tcp to-addresses=[ip-адрес локального интерфейса МТ] Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ЦентрСвязь.рф Posted March 20, 2018 · Report post так такое к openwrt изобразить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 21, 2018 · Report post Как-то так видимо: iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.8.100 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ЦентрСвязь.рф Posted March 21, 2018 · Report post ругается на --to-source , адрес роутера 192.168.8.100 это выдается по dhcp модемом. тесть адрес модема 192.168.8.1 , адрес роутера 192.168.8.100 , локальная сеть 192.168.1.0/24 ну и статика x.y.z.a root@OpenWRT:~# iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 --to-source 192.168.8.100 iptables v1.4.21: unknown option "--to-source" также по умолчанию порт на модеме 80, а на роутере стоит редирект порта с x.y.z.a port 90 ---> 192.168.8.1 port 80 и при этом оно выдает ошибку "http://192.168.8.1/html/index.html?url=x.y.z.a" вот как то так Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 21, 2018 · Report post Простите, параметр потерялся, поправлено. А с какого порта редиректит - совершенно не важно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ЦентрСвязь.рф Posted February 6, 2019 · Report post так и не работает iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.8.100 модем отвечает не через 192.168.8.0 беда в том как заставить можем ответить через нужны адрес Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ferdin Posted February 6, 2019 · Report post @sskiller Никак, ставьте микротики и заходите на huawei через роуты, если хотите по простому пробросом через порт тогда используйте модемы zte. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...