[abugs]

Здравствуйте уважаемые специалисты.

Есть роутер микротик с USB портом

К USB порту подключён модем хуавей с прошивкой hilink. USB модем имеет свой веб интерфейс с дефолтным адресом 192.168.8.1. Из локальной сети на этот адрес можно без проблем зайти, причём не обязательно быть в сети 192.168.8.х... А в случае отсутствия интернета в браузере автоматически выходит веб интерфейс USB модема. У меня не получается настроить проброс на USB модем с внешней сети. Создаю правило nat, в котором настраиваю dst-nat, tcp, dst-port 90, action netmap, 192.168.8.1, port 80. Пытаюсь зайти по статичскому ip, по порту 90. Не идёт... Где не докрутил... Подскажите пожалуйста

[DRiVen]

Где не докрутил...

'/ip firewall export' показывайте.

[abugs]

Где не докрутил...

'/ip firewall export' показывайте.

/ip firewall filter

add action=accept chain=input connection-state=established in-interface=lte1

add action=accept chain=input connection-state=related in-interface=lte1

add action=accept chain=input dst-port=8291 protocol=tcp

add action=drop chain=input in-interface=lte1

/ip firewall nat

 

add action=masquerade chain=srcnat out-interface=lte1

add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\

192.168.1.201 to-ports=37777

add action=masquerade chain=srcnat src-address=192.168.1.0/24

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \

in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\

192.168.1.201 to-ports=37777

add action=dst-nat chain=dstnat dst-port=90 in-interface=lte1 protocol=tcp \

to-addresses=192.168.8.1 to-ports=80

 

самое последнее правило nat. пробовал netmap и dst-nat - эффект одинаков

браузер на удаленном ПК, при попытке доступа по статическому адресу 31.173.ххх.ххх:90, выдает в адресной строке 'http://192.168.8.1/html/index.html?url=31.173.ххх.ххх:90', и пишет "не удалось получить доступ к сайту"

Изменено 27 ноября, 2016 пользователем abugs

[DRiVen]

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

[abugs]

Так вы на модем через него же пытаетесь попасть, при чем тут МТ? На модеме портмап делайте, если в файрволе просто открыть доступ нельзя.

как вариант надо попробовать... сейчас в usb модеме ip микротика в DMZ - это было сделано изначально, чтоб доступ у видеорегистратору был и на микротик можно было заходить. А теперь мне пришла мысль, что не плохо бы было заходить в интерфейс модема и смотреть уровень сигнала.

 

Скорее всего получится всё сделать как Вы говорите. Нужно просто отключить DMZ на USB модеме и пробросить порты, необходимые для доступа к микротику и видеорегистратору.

 

Но это нужно делать из локалки,а физически я не скоро окажусь рядом со всем этим оборудованием.

[DRiVen]

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

[abugs]

Понятно. Ну, пока не доехали, поменяйте в вашем правиле dst-nat на src-nat.

/ip firewall nat add action=src-nat chain=srcnat dst-port=90 in-interface=lte1 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

и в следующий раз описывайте конфигурацию подробней.

Ок.

Так менять не дает, ругается на in-interface=lte1

пробовал убирать или ставить out-interface=lte1

 

не помогает

[DRiVen]

Да, сори, не так написал.

/ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

[abugs]

Да, сори, не так написал.

/ip firewall nat add action=src-nat chain=srcnat dst-address=<ip МТ, наверное 192.168.8.2> dst-port=90 protocol=tcp \
to-addresses=192.168.8.1 to-ports=80

такое правило назначил:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

192.168.8.100 - этот адрес получает МТ от usb модема по dhcp ... так тоже работать не хочет(

Изменено 29 ноября, 2016 пользователем abugs

[DRiVen]

В файрволе

add action=accept chain=input dst-port=90 protocol=tcp

добавьте.

[abugs]

В файрволе

add action=accept chain=input dst-port=90 protocol=tcp

добавьте.

 

сделал, не помогло

/ip firewall filter
add action=accept chain=input connection-state=established in-interface=lte1
add action=accept chain=input connection-state=related in-interface=lte1
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

Изменено 29 ноября, 2016 пользователем abugs

[DRiVen]

Э... а где

add action=accept chain=forward connection-state=established,related

?

[abugs]

Э... а где

add action=accept chain=forward connection-state=established,related

?

да как-то без них обходились...

добавил.

/ip firewall filter
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=90 protocol=tcp
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat dst-port=37777 protocol=tcp to-addresses=\
   192.168.1.201 to-ports=37777
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 \
   in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
   192.168.1.201 to-ports=37777
add action=src-nat chain=srcnat dst-address=192.168.8.100 dst-port=90 protocol=\
   tcp to-addresses=192.168.8.1 to-ports=80

 

убрал из правил in-interface=lte1, наверное это не принципиально в данном случае

 

результат остался прежним

[DRiVen]

add action=masquerade chain=srcnat out-interface=lte1
...
add action=masquerade chain=srcnat src-address=192.168.1.0/24

Убирайте второе правило. И

add action=netmap chain=dstnat dst-address=31.173.ххх.ххх dst-port=37777 in-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.201 to-ports=37777

это странное правило тоже.

[Ferdin]

попробуйте в файрволе команду

add action=dst-nat chain=dstnat dst-port=90 protocol=tcp to-addresses=\
   192.168.99.1 to-ports=80

[dsk]

Апну.

На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url=

[edqaws]

Я решил проблему активировав Web Proxy на удаленном mikrotik. В настройках браузера ссылаюсь на Proxy удаленного маршрутизатора, что позволяет указывать в url http://192.168.8.1. Спасибо @dsk за наводку.

[ЦентрСвязь.рф]

как настроил прокси покажи настройки, пытаюсь тоже самое намутить с опенврт , таже ошибка.

 

выложи как ты сделал, опиши пожалуйста.

 

ты оставлял правело переадресации чтобы выдавало ошибку  "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

как в браузере указывал прокси?

[DRiVen]

В 01.02.2017 в 03:47, dsk сказал:

Апну.

На веб морду huawei не получится зайти с помощью проброса портов по причине того, что если он видит в http запросе хост, отличающийся от 192.168.8.1, то в ответ вы получите HTTP 307 Temporary Redirect и Location: http://192.168.8.1/html/index.html?url=

Не от 8.1, а от 8.0/24, и это не проблема, к правилу dstnat добавить

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.8.1 dst-port=80 protocol=tcp to-addresses=[ip-адрес локального интерфейса МТ]

[ЦентрСвязь.рф]

так такое к openwrt  изобразить

[DRiVen]

Как-то так видимо:

iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.8.100

[ЦентрСвязь.рф]

ругается на  --to-source     , адрес роутера 192.168.8.100 это выдается по dhcp модемом.

 

тесть адрес модема 192.168.8.1 , адрес роутера 192.168.8.100 , локальная сеть 192.168.1.0/24 ну и статика  x.y.z.a

 

root@OpenWRT:~# iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 --to-source 192.168.8.100
iptables v1.4.21: unknown option "--to-source"
 

 

также по умолчанию порт на модеме 80, а на роутере стоит редирект порта с

 

 x.y.z.a  port 90 ---> 192.168.8.1 port 80  и при этом оно выдает ошибку "http://192.168.8.1/html/index.html?url=x.y.z.a"

 

вот как то так

[DRiVen]

Простите, параметр потерялся, поправлено. А с какого порта редиректит - совершенно не важно.

[ЦентрСвязь.рф]

так и не работает iptables -t nat -A POSTROUTING -p tcp -d 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.8.100

модем отвечает не через 192.168.8.0

 

беда в том как заставить можем ответить через нужны адрес

 

[Ferdin]

@sskiller Никак, ставьте микротики и заходите на huawei через роуты, если хотите по простому пробросом через порт тогда используйте модемы zte.