djrec Опубликовано 2 марта, 2017 · Жалоба Подскажите как корректно настроить вход с интернета в локальную сеть, для поднастройки оборудования, перезагрузки итп. например с телефона по инету через браузер (или другую программу посоветуйте). Но при этом что бы защищенность не сильно пострадала. К провайдеру подключен Mikrotik на котором стоит НАТ (заказал у провайдера услугу статический ИП). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 2 марта, 2017 · Жалоба статический ИП - серый / белый ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 2 марта, 2017 · Жалоба Порты пробросить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djrec Опубликовано 2 марта, 2017 · Жалоба Белый ИП Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 2 марта, 2017 · Жалоба Тогда самое простое - VPN или L2TP на роутер и Вы уже в в локальной сетьи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 марта, 2017 · Жалоба Через VPN самое лучшее решение, почти все смартфоны умеют поднимать впн. Тогда после подключения сможете заходить в настройки оборудования по локальным IP. Не забудьте правильно настроить НАТ, что бы он только работал с IP адресов абонентов по направлению в интернет, а на свою же локалку трафик шел без изменений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djrec Опубликовано 4 марта, 2017 · Жалоба Правильно ли настроин НАТ ? во вкладке Action - masquirade Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 5 марта, 2017 · Жалоба djrec, это смотря для каких задач. В общем случае рекомендуется еще указывать критерий "src-address" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 марта, 2017 · Жалоба Настроено не верно и так вообще не надо настраивать. Всегда нужно указывать сеть адресов, которую пускать в интернет, и при наличии локалки или сети, указывать что бы на адреса этой сети нат не производился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 5 марта, 2017 (изменено) · Жалоба О. гуру - покажите "правльный" НАТ ! Почему то всегда такой нат работает. Конечно с критерием "src-address" . /ip firewall nat add action=masquerade chain=srcnat comment=LAN out-interface=ether1_Public src-address=192.168.17.0/24 Изменено 5 марта, 2017 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 марта, 2017 · Жалоба Это если у вас одна сеть. А представьте у вас вся подсеть 192.168.0.0/16 используется для адресации абонентов, и кроме подсетей на роутере есть и другие сети. Тогда надо указывать исключение для dst адресов. Кроме всего выходной интерфейс указывать не надо, достаточно только IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djrec Опубликовано 6 марта, 2017 · Жалоба У меня одна подсеть 192.168.1.0/24 , в ближайшем будущем не планирую расширять. Это роутер непосредственно подключен к провайдеру (первым портом), другие порты подключены к домашнему ноутбуку и к мосту за которым стоит еще один микротик с НАТом где и сидят юзеры интернета. На сколько я понял мне достаточно добавить out-interface=ether1_Public src-address=192.168.1.0/24, или я не прав. Обьясните поподробней пожалуйста что не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 марта, 2017 · Жалоба Вам надо просто убрать out-interface и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 6 марта, 2017 · Жалоба Почему не использовать out-interface ? Что такова плохова ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 марта, 2017 · Жалоба Почему не использовать out-interface ? Что такова плохова ? Потому что получается привязка к интерфейсу. Допустим переключите кабель в другой порт, на котором тоже настроен канал интернета, и все перестанет работать. Или подключите 2-х провайдеров, и захотите пускать в интернет сразу через 2 канала - а 2 раза интерфейс нельзя указать=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 7 марта, 2017 · Жалоба Потому что получается привязка к интерфейсу. Допустим переключите кабель в другой порт, на котором тоже настроен канал интернета, и все перестанет работать. Или подключите 2-х провайдеров, и захотите пускать в интернет сразу через 2 канала - а 2 раза интерфейс нельзя указать=) Только поэтому? Тогда это не проблема, можно указать Out Interface List или сделать два правила маскарада. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 марта, 2017 · Жалоба Только поэтому? Тогда это не проблема, можно указать Out Interface List или сделать два правила маскарада. Можно и 3 сделать, только потом встанут проблемы вида разделять пакеты одного правила от другого. Отсюда и берутся несуществующие в нормальных схемах настройки глюки микротика. Т.к. НАТ должен быть один, общий, если направлений внешнего трафика более одного, следует использовать SRC NAT, этих правил уже может быть много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...