Перейти к содержимому
Калькуляторы

Нет доступа из внутр. сети на порт внешнего адреса Mikrotik.

Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно. Из внутренней сети сидящей за NAT этот адрес пингуется, трассируется но при этом соединения на порт не выходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вдумался почитал, узнал про hairpin, пошел настраивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

52 минуты назад, Uzver© сказал:

Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно.

Uzver©, здравствуйте.

 

Если я правильно понял, что Вы хотите настроить, посмотрите  это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

Уверен, должно помочь. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=37.233.**.** dst-port=13000 protocol=tcp to-addresses=192.168.1.248 to-ports=13000

/ip firewall filter
add action=accept chain=forward  dst-port=13000 in-interface=WAN protocol=tcp

Не забываем затащить его выше правила запрещающего WAN-LAN если таковое у Вас есть

Это типовые действия по просовыванию порта 13000 с адреса 37.233.**.** на 192.168.1.248

Теперь надо сделать подмену с подсовыванием нужной цепочки

/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=192.168.0.0/23 to-addresses=192.168.1.253


Сделал и что а не помогло ЧЯНТД?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То что внутренние адреса внутри через нат не должны ходить. Ходите по серым 192.168.1.253:13000, Ну или пингвина трахайте. Не надо создавать излишных сущьностей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как бы мне надо добиться чтобы независимо во внутренней или внешней сети находится ноутбук чтобы он попадал на 37.233.**.**:13000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем вы внутри сети идете через внешний адрес? Ходите через внутренний, в чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.09.2021 в 17:02, Uzver© сказал:

Сделал и что а не помогло ЧЯНТД?

Рабочая конфигурация:

 

; Access from UniFi AP ALFA-SERVICE Gate service DNS-NAT
chain=dstnat action=dst-nat to-addresses=10.78.111.23 protocol=tcp src-address=10.3.0.0/24 dst-address=**.**.**.21 dst-port=443 log=no log-prefix="" 

 

; Access from UniFi AP ALFA-SERVICE Gate service SRC_NAT
chain=srcnat action=masquerade protocol=tcp src-address=10.3.0.0/24 dst-address=10.78.111.23 dst-port="" log=no log-prefix=""

 

 

IP **.**.**.21 – внешний IP адрес.
IP 10.78.111.23 – сервис внутри локальной сети к которому обращаются по порту TCP 443.
10.3.0.0/24 – локальная сеть на том же маршрутизаторе, что и сеть с сервисом 10.78.111.23:443.

 

При обращении к IP **.**.**.21: 443 из сети 10.3.0.0/24 падаем на 10.78.111.23:443 через собственный NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.09.2021 в 21:06, VolanD666 сказал:

А зачем вы внутри сети идете через внешний адрес? Ходите через внутренний, в чем проблема?

VolanD666, здравствуйте.

 

Возможно, топик-стартеру необходимо, чтобы портативные компьютеры сотрудников могли обращаться на внутренний сервис локальной сети из Wi-Fi сегмента той-же локальной сети, но при этом нет возможности реализовать это как-то по иному. В DNS доступна только А запись с внешним IP, а к сервису нужно подключаться и «внутри» офиса по Wi-Fi и из «внешнего Мира», без перенастройки со стороны конечного пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, SUrov_IBM сказал:

Возможно, топик-стартеру необходимо, чтобы портативные компьютеры сотрудников могли обращаться на внутренний сервис локальной сети из Wi-Fi сегмента той-же локальной сети, но при этом нет возможности реализовать это как-то по иному. В DNS доступна только А запись с внешним IP, а к сервису нужно подключаться и «внутри» офиса по Wi-Fi и из «внешнего Мира», без перенастройки со стороны конечного пользователя.

 Это просто решается, с впн. Подключился хоть внутри, хоть снаружи, и используй внутреннюю ип-адресацию, впн доступен даже на ведроиде. Просто создать на килиентах впн-соединение, и научить что эту кнопу надо нажать. Работает в тех странах, где впн не запрещен. Ну и политика безопасности подключения к локальной сети конторы вроде-бы соблюдена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 минут назад, YuryD сказал:

Это просто решается, с впн.

YuryD, здравствуйте.

 

VPN, это конечно хорошо, но зачем строить отдельный сервис на маршрутизаторе (возможно он даже имеется), если схему можно реализовать более простым способом? Чтобы потом, в зависимости от типа используемого VPN любить себе голову с передачей статических маршрутов на клиент, если не используется шлюз по умолчанию, возможными «не про-лазаньями» VPN через Интернет или глюками стороннего VPN клиента со стороны абонентского устройства и всё это ради одного сервиса болтающегося на TCP или UDP порту внутренней сети?

 

Тут же не стоит задача как на экзамене, показать чья сеть сложнее настроена с точке зрения сети, тем более описанная автором задача, вполне реализуема на имеющемся в его распоряжении оборудовании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если и производители клиентских железяк типа впн-роутеров от тплинк это сделали, о чем гадать ? Неоднократно делал такую схему для боссов на выезде с ноутом  или смартом. Любить себе голову статическими маршрутами не надо, впнсервер как правило про них знает и так. Задача для меня простая - настроить впн боссу, чтобы дать ему доступ к любимому видеоподгляду, с любой точки глобуса, где есть инет и не запрещен впн, парой кликов мыши.

 

 Тут ведь вариантов немного, на нестандартных портах. Или пробросы, или вонючий dmz, или мой вариант. В случае неизвестных портов/протоколов пробросы неадекватны, требуют хотя бы знаний. А понять про локальный впн - даже мокротиковских понятий хватит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, YuryD сказал:

Ну если и производители клиентских железяк типа впн-роутеров от тплинк это сделали, о чем гадать ? Неоднократно делал такую схему для боссов на выезде с ноутом  или смартом. Любить себе голову статическими маршрутами не надо, впнсервер как правило про них знает и так. Задача для меня простая - настроить впн боссу, чтобы дать ему доступ к любимому видеоподгляду, с любой точки глобуса, где есть инет и не запрещен впн, парой кликов мыши.

 

 Тут ведь вариантов немного, на нестандартных портах. Или пробросы, или вонючий dmz, или мой вариант. В случае неизвестных портов/протоколов пробросы неадекватны, требуют хотя бы знаний. А понять про локальный впн - даже мокротиковских понятий хватит.

Конечно, если у Вас несколько видео-серверов/сервисов с различными адресами во внутренней сети и думаю, доступ требуется организовать не только до видео-сервисов, но и к другим ресурсам, без VPN сложно обойтись. Однако, Вы правильно заметили, компьютер, который следует за начальником, настраиваете непосредственно Вы и заранее можете оттестировать поведение конкретного типа VPN, возможно его стороннего клиента и всевозможные подводные камни.

 

Насколько я понял, автору нужно как можно проще реализовать схему, чтобы она была работоспособной без всяких дополнительных элементов.

 

Просто, VPN на мой взгляд, это не панацея от всех болезней. Например, в настоящее время для публикации сервисов «наружу», стали чаше прибегают к Reverse proxy, отходя в сторону от классического понимания VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну тут, нечего сказать, кроме того, что топиккастер хотел пингвиновскими средствами учинить  проброс портов, и не сумел. Остальные наши инсинуации - просто навыдумал я....

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 9/24/2021 at 4:55 PM, SUrov_IBM said:

Uzver©, здравствуйте.

 

Если я правильно понял, что Вы хотите настроить, посмотрите  это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

Уверен, должно помочь. ;)

Да проверю спасибо просто где то ошибся надо вчитаться где.

 

16 hours ago, SUrov_IBM said:

 

Насколько я понял, автору нужно как можно проще реализовать схему, чтобы она была работоспособной без всяких дополнительных элементов.

Именно так, это антивирус вообще то его клиенты подключающиеся к серверу администрирования. И я ну никак не смогу заставлять сотрудников запускать обязательно vpn чтобы антивирус куда то там подключился. И сотрудники есть в регионах, есть Москва которая то в офис бегает то дома сидит. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да настройте вы DNS нормально? Зачем городить то пробросы, VPNы и прочее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, VolanD666 said:

настройте вы DNS нормально

Вы не могли бы пояснить что значит нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Uzver© сказал:

Вы не могли бы пояснить что значит нормально?

Это значит чтобы внутренним пользователям он отдавал внутреннюю адресацию, а в мир внешнюю. Делается через DNS View. В клиенте же можно доменное имя указать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, Uzver© сказал:

Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS.

У вас там что ли IP вбит? Или в чем проблемы с перенастройкой? Если так, то лучше впишите домен сейчас. Вам же потом проще будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, увы именно что ip на нем же висит ещё кое что и в dns адский клубок навернут. Зачем сам не понимаю, но трогать резко нельзя, 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Uzver© сказал:

Да, увы именно что ip на нем же висит ещё кое что и в dns адский клубок навернут. Зачем сам не понимаю, но трогать резко нельзя, 

В таком случае, могу вам посоветовать только одно. Если у вас не пожар, то сделайте аудит вашей сети, нарисуйте схемы. Посмотрите как лучше изменить архитектуру, чтобы не было: "..на нем же висит ещё кое что и в dns адский клубок навернут..".  Запланируйте работы и спокойно все переделайте. Да, так будет дольше. Но лучше сразу делать хорошо, чем городить костыли и все больше закапываться в них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понимаю, но у нас как всегда собаки вовремя не кормлены, но видимо придется опять скандалить и объяснять почему что да как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 9/24/2021 at 4:55 PM, SUrov_IBM said:

Uzver©, здравствуйте.

 

Если я правильно понял, что Вы хотите настроить, посмотрите  это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

Уверен, должно помочь. ;)

Да, похоже что всё так работает. Убедиться смогу завтра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat

add action=dst-nat chain=dstnat comment="13000 from wan to 1.248" dst-port=\
    13000 in-interface=WAN protocol=tcp to-addresses=192.168.1.248 to-ports=\
    13000
add action=dst-nat chain=dstnat comment="local net to ext ip**" dst-address=\
    37.233.**.** dst-port=13000 protocol=tcp src-address=192.168.0.0/23 \
    to-addresses=192.168.1.248
add action=masquerade chain=srcnat comment="LAN source address spoofing " \
    dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=\
    192.168.0.0/23

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.