Внешний статический ИП Mikrotik, как настроить вход извне?

[djrec]

Подскажите как корректно настроить вход с интернета в локальную сеть, для поднастройки оборудования, перезагрузки итп. например с телефона по инету через браузер (или другую программу посоветуйте).

 

Но при этом что бы защищенность не сильно пострадала.

 

К провайдеру подключен Mikrotik на котором стоит НАТ (заказал у провайдера услугу статический ИП).

[mafijs]

статический ИП - серый / белый ?

[EShirokiy]

Порты пробросить

[djrec]

Белый ИП

[mafijs]

Тогда самое простое - VPN или L2TP на роутер и Вы уже в в локальной сетьи.

[Saab95]

Через VPN самое лучшее решение, почти все смартфоны умеют поднимать впн. Тогда после подключения сможете заходить в настройки оборудования по локальным IP.

Не забудьте правильно настроить НАТ, что бы он только работал с IP адресов абонентов по направлению в интернет, а на свою же локалку трафик шел без изменений.

[djrec]

Правильно ли настроин НАТ ?

 

во вкладке Action - masquirade

[nkusnetsov]

djrec, это смотря для каких задач. В общем случае рекомендуется еще указывать критерий "src-address"

[Saab95]

Настроено не верно и так вообще не надо настраивать. Всегда нужно указывать сеть адресов, которую пускать в интернет, и при наличии локалки или сети, указывать что бы на адреса этой сети нат не производился.

[mafijs]

О. гуру - покажите "правльный" НАТ !

Почему то всегда такой нат работает. Конечно с критерием "src-address" .

 

/ip firewall nat
add action=masquerade chain=srcnat comment=LAN out-interface=ether1_Public src-address=192.168.17.0/24

Edited March 5, 2017 by mafijs

[Saab95]

Это если у вас одна сеть. А представьте у вас вся подсеть 192.168.0.0/16 используется для адресации абонентов, и кроме подсетей на роутере есть и другие сети. Тогда надо указывать исключение для dst адресов. Кроме всего выходной интерфейс указывать не надо, достаточно только IP.

[djrec]

У меня одна подсеть 192.168.1.0/24 , в ближайшем будущем не планирую расширять.

Это роутер непосредственно подключен к провайдеру (первым портом), другие порты подключены к домашнему ноутбуку и к мосту за которым стоит еще один микротик с НАТом где и сидят юзеры интернета.

 

На сколько я понял мне достаточно добавить out-interface=ether1_Public src-address=192.168.1.0/24, или я не прав. Обьясните поподробней пожалуйста что не так.

[Saab95]

Вам надо просто убрать out-interface и все.

[mafijs]

Почему не использовать out-interface ? Что такова плохова ?

[Saab95]

Почему не использовать out-interface ? Что такова плохова ?

 

Потому что получается привязка к интерфейсу. Допустим переключите кабель в другой порт, на котором тоже настроен канал интернета, и все перестанет работать. Или подключите 2-х провайдеров, и захотите пускать в интернет сразу через 2 канала - а 2 раза интерфейс нельзя указать=)

[Nuts]

Потому что получается привязка к интерфейсу. Допустим переключите кабель в другой порт, на котором тоже настроен канал интернета, и все перестанет работать. Или подключите 2-х провайдеров, и захотите пускать в интернет сразу через 2 канала - а 2 раза интерфейс нельзя указать=)

Только поэтому? Тогда это не проблема, можно указать Out Interface List или сделать два правила маскарада.

[Saab95]

Только поэтому? Тогда это не проблема, можно указать Out Interface List или сделать два правила маскарада.

 

Можно и 3 сделать, только потом встанут проблемы вида разделять пакеты одного правила от другого. Отсюда и берутся несуществующие в нормальных схемах настройки глюки микротика. Т.к. НАТ должен быть один, общий, если направлений внешнего трафика более одного, следует использовать SRC NAT, этих правил уже может быть много.