LEOLINER Опубликовано 19 ноября, 2017 · Жалоба Имеется микротик который используется в качестве роутора, к нему подключён напрямую интернет, имеется белый ip типа 109.225.00.00, во внутренней сети есть мост из двух Ubiquiti Powerbeam M2 c ip адресами: 192.168.78.241,192.168.78.243. Необходимо подключатся на Ubiquiti через глобальную сеть по веб интерфейсу. По мануалам в сети, вроде бы, всё понятно, были произведены настройки в разделе nat: add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80 (Первое устройство Ubiquiti) add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80 (Второе устройство Ubiquiti) Общая картина в разделе nat: add action=masquerade chain=srcnat comment=nat1 out-interface=pppoe-out1 add action=masquerade chain=srcnat out-interface=ether2 to-addresses=0.0.0.0 add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80 add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80 Также были произведены настройки в разделе firewall: add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp Общая картина в разделе firewall: /ip firewall filter add chain=input comment="access to winbox" dst-port=8291 in-interface=\ pppoe-out1 protocol=tcp add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \ protocol=tcp add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \ protocol=tcp add chain=input protocol=icmp add chain=input connection-state=established in-interface=pppoe-out1 add chain=input connection-state=related in-interface=pppoe-out1 add chain=input connection-state=related in-interface=ether2 add chain=input connection-state=established in-interface=ether2 add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp add action=drop chain=input disabled=yes in-interface=pppoe-out1 add action=drop chain=input in-interface=ether2 add chain=forward comment=erhov2 dst-address=192.168.78.13 add chain=forward comment=dvorecki dst-address=192.168.78.35 add action=drop chain=forward dst-address=192.168.78.0/24 add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer add action=jump chain=forward in-interface=ether2 jump-target=customer add chain=customer connection-state=established add chain=customer connection-state=related add action=drop chain=customer Но почему то невозможно извне подключится к Ubiquiti Powerbeam M2. Что может быть не так? Заранее всем очень признателен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 ноября, 2017 · Жалоба Не проще ппптп туннель собрать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LEOLINER Опубликовано 19 ноября, 2017 · Жалоба 7 часов назад, pingz сказал: Не проще ппптп туннель собрать? такая возможность маловероятна, так как PPTP не умеет Ubiquiti Powerbeam Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 ноября, 2017 · Жалоба 10 часов назад, LEOLINER сказал: to-addresses=0.0.0.0 Зачем? 10 часов назад, LEOLINER сказал: add action=drop chain=forward dst-address=192.168.78.0/24 Чего ж вы хотите, если дропнули всю передачу в подсеть кроме 192.168.78.13 и 192.168.78.35? add chain=forward dst-address=192.168.78.241 add chain=forward dst-address=192.168.78.243 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 20 ноября, 2017 · Жалоба 6 часов назад, LEOLINER сказал: такая возможность маловероятна, так как PPTP не умеет Ubiquiti Powerbeam У вас стоит микротик. Вам нужно зайти на юбикюти вы по пптп конектитесь к микротик и попадаете во внутреннию сеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LEOLINER Опубликовано 21 ноября, 2017 · Жалоба В 20.11.2017 в 05:15, pingz сказал: У вас стоит микротик. Вам нужно зайти на юбикюти вы по пптп конектитесь к микротик и попадаете во внутреннию сеть PPTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микротик ,я попаду во внутреннюю сеть через фаервол и нат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 ноября, 2017 · Жалоба 3 часа назад, LEOLINER сказал: PPTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микротик ,я попаду во внутреннюю сеть через фаервол и нат? О_о прикинь ты по pptp подключился к микротику у тебя там есть ip ну циферки через 3 точки пишется 1 src nat в сеть где твой юбики через ip 3 точки микротика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 21 ноября, 2017 · Жалоба 12 часов назад, LEOLINER сказал: PTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микрот Вы серьезно? Вам реально доверили настраивать сетевое оборудование? Вот после таких вот кадров приходится объяснять людям почему работа хорошего админа не может дешево стоить... Ну ка, удивите меня, расскажите, а как вы вообще используете PPTP, для чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LEOLINER Опубликовано 22 ноября, 2017 · Жалоба 20 часов назад, pingz сказал: О_о прикинь ты по pptp подключился к микротику у тебя там есть ip ну циферки через 3 точки пишется 1 src nat в сеть где твой юбики через ip 3 точки микротика Что такое ip address, я без ваших соплей знаю, что это 4 десятичных числа, именуемых октетами, разделённые точками Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LEOLINER Опубликовано 22 ноября, 2017 · Жалоба 11 часов назад, Leninxxx сказал: Вы серьезно? Вам реально доверили настраивать сетевое оборудование? Вот после таких вот кадров приходится объяснять людям почему работа хорошего админа не может дешево стоить... Ну ка, удивите меня, расскажите, а как вы вообще используете PPTP, для чего? Вы человек поверхностный, по одному инциденту судите обо всём. У меня 8 микротиков и я их всех настроил лично сам. И все прекрасно работают. У меня следующие марки : rb sxtg 2hnd, rbsxt-r2-2nd lite , rb 951-2n , rb-750, rb-2011uias-rm и на один на базе x86. И не кто меня никуда не ставил, я сам себя назначил. И вообще я живу в деревне и на многие километры вокруг на вряд ли вы найдёте какого нибудь админа, одни кабаны да лоси. Ладно немного отошли от темы - PPTP я использовал для выхода в интернет, в качестве эксперимента, но сейчас отключён, заместо него использую PPPoE. Всё! Кажется ясно всё пояснил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 ноября, 2017 · Жалоба Проброс портов на веб не надо делать, на устройства начнутся атаки. Нужно настроить на микротике PPTP сервер и создать для себя учетку. Тогда удаленно с компа или своего домашнего микротика поднимаете туннель, и получаете доступ на серую адресацию своих антенн. Тут либо выдаете для туннеля уникальные адреса на этой точке, либо один из свободных адресов локалки, а на интерфейсе, где подключены антенны, включаете прокси-арп. И вообще проброс портов это устаревшая технология. Сейчас даже смартфон умеет подключаться через туннели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 22 ноября, 2017 · Жалоба 2 часа назад, LEOLINER сказал: Вы человек поверхностный, по одному инциденту судите обо всём. У меня 8 микротиков и я их всех настроил лично сам. Может быть и поверхностный. А может и нет. Я сделал вывод из вашего первого поста - там банальные правила файрвола, для корректного написания которых необходимо лишь понимание основ ip и маршрутизации. Вы даже не понимаете какой трафик куда и откуда идет. Следовательно, почти наверняка, у Вас начисто отсутствует база и все настройки которые вы делаете - на 99% копипаст с хабра, отсюда или еще откуда-нибудь. То что у Вас отсутствие коллег-админов и на многие километры вокруг одни медведи конечно фактор негативный, но тем не менее не умаляет необходимости вникать в суть проделываемой работы. Думаю со мной согласится большинство здесь присутствующих, что потратив хотя бы день на изучение этих самых основ, Вы уже никогда не будете задавать элементарные вопросы как в первом посту. 2 часа назад, Saab95 сказал: И вообще проброс портов это устаревшая технология. Согласен, но иногда она чертовски удобная и до сих пор. Настолько удобная что тоннели иногда не вариант )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 22 ноября, 2017 · Жалоба Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LEOLINER Опубликовано 24 ноября, 2017 · Жалоба В 22.11.2017 в 15:07, Leninxxx сказал: Я сделал вывод из вашего первого поста - там банальные правила файрвола, для корректного написания которых необходимо лишь понимание основ ip и маршрутизации. Вы даже не понимаете какой трафик куда и откуда идет. Следовательно, почти наверняка, у Вас начисто отсутствует база и все настройки которые вы делаете - на 99% копипаст с хабра, отсюда или еще откуда-нибудь. Что же тебя так бомбит? Не спорю - банальных правил мне хватает и я их не сам придумал. Но согласись, что я же выбирал то эти правила не случайным образом там типа: на "спичках вытянул". А выбирал я методом осмысленного анализа, учитывая все необходимые мне параметры. Так что копипаста 99% не спасёт, полного профана. И прекрасно я разбираюсь в протоколах и стандартах, но соглашусь, что я далеко не эксперт в данной области, но усреднёнными знаниями обладаю. Так что не надо лить. В 22.11.2017 в 20:27, pingz сказал: Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. Ладно спасибо всем, кран открыл всё заработало(Ну в смысле PPTP). Port Forvarding почему то не запустился. Вывод - что запустилось, на том и работаем. Всё тема закрыта. Всем пока! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 25 ноября, 2017 · Жалоба 12 часов назад, LEOLINER сказал: В 22.11.2017 в 22:27, pingz сказал: Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. Ладно спасибо всем, кран открыл всё заработало(Ну в смысле PPTP). Port Forvarding почему то не запустился. Вывод - что запустилось, на том и работаем. Всё тема закрыта. Всем пока! Так будет правильней, если нет жёсткой необходимости светить внутреннее железо(типа видеорегистратор, сервер и т.д.) всегда лучше заворачивать в тунель, пусть, хоть и не шифрованный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...