Uzver© Опубликовано 24 сентября, 2021 · Жалоба Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно. Из внутренней сети сидящей за NAT этот адрес пингуется, трассируется но при этом соединения на порт не выходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 24 сентября, 2021 · Жалоба вдумался почитал, узнал про hairpin, пошел настраивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 24 сентября, 2021 · Жалоба 52 минуты назад, Uzver© сказал: Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно. Uzver©, здравствуйте. Если я правильно понял, что Вы хотите настроить, посмотрите это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik Уверен, должно помочь. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 24 сентября, 2021 · Жалоба /ip firewall nat add action=dst-nat chain=dstnat dst-address=37.233.**.** dst-port=13000 protocol=tcp to-addresses=192.168.1.248 to-ports=13000 /ip firewall filter add action=accept chain=forward dst-port=13000 in-interface=WAN protocol=tcp Не забываем затащить его выше правила запрещающего WAN-LAN если таковое у Вас есть Это типовые действия по просовыванию порта 13000 с адреса 37.233.**.** на 192.168.1.248 Теперь надо сделать подмену с подсовыванием нужной цепочки /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=192.168.0.0/23 to-addresses=192.168.1.253 Сделал и что а не помогло ЧЯНТД? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 сентября, 2021 · Жалоба То что внутренние адреса внутри через нат не должны ходить. Ходите по серым 192.168.1.253:13000, Ну или пингвина трахайте. Не надо создавать излишных сущьностей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 24 сентября, 2021 · Жалоба Ну как бы мне надо добиться чтобы независимо во внутренней или внешней сети находится ноутбук чтобы он попадал на 37.233.**.**:13000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 24 сентября, 2021 · Жалоба А зачем вы внутри сети идете через внешний адрес? Ходите через внутренний, в чем проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 25 сентября, 2021 · Жалоба В 24.09.2021 в 17:02, Uzver© сказал: Сделал и что а не помогло ЧЯНТД? Рабочая конфигурация: ; Access from UniFi AP ALFA-SERVICE Gate service DNS-NAT chain=dstnat action=dst-nat to-addresses=10.78.111.23 protocol=tcp src-address=10.3.0.0/24 dst-address=**.**.**.21 dst-port=443 log=no log-prefix="" ; Access from UniFi AP ALFA-SERVICE Gate service SRC_NAT chain=srcnat action=masquerade protocol=tcp src-address=10.3.0.0/24 dst-address=10.78.111.23 dst-port="" log=no log-prefix="" IP **.**.**.21 – внешний IP адрес. IP 10.78.111.23 – сервис внутри локальной сети к которому обращаются по порту TCP 443. 10.3.0.0/24 – локальная сеть на том же маршрутизаторе, что и сеть с сервисом 10.78.111.23:443. При обращении к IP **.**.**.21: 443 из сети 10.3.0.0/24 падаем на 10.78.111.23:443 через собственный NAT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 25 сентября, 2021 · Жалоба В 24.09.2021 в 21:06, VolanD666 сказал: А зачем вы внутри сети идете через внешний адрес? Ходите через внутренний, в чем проблема? VolanD666, здравствуйте. Возможно, топик-стартеру необходимо, чтобы портативные компьютеры сотрудников могли обращаться на внутренний сервис локальной сети из Wi-Fi сегмента той-же локальной сети, но при этом нет возможности реализовать это как-то по иному. В DNS доступна только А запись с внешним IP, а к сервису нужно подключаться и «внутри» офиса по Wi-Fi и из «внешнего Мира», без перенастройки со стороны конечного пользователя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 сентября, 2021 · Жалоба 12 часов назад, SUrov_IBM сказал: Возможно, топик-стартеру необходимо, чтобы портативные компьютеры сотрудников могли обращаться на внутренний сервис локальной сети из Wi-Fi сегмента той-же локальной сети, но при этом нет возможности реализовать это как-то по иному. В DNS доступна только А запись с внешним IP, а к сервису нужно подключаться и «внутри» офиса по Wi-Fi и из «внешнего Мира», без перенастройки со стороны конечного пользователя. Это просто решается, с впн. Подключился хоть внутри, хоть снаружи, и используй внутреннюю ип-адресацию, впн доступен даже на ведроиде. Просто создать на килиентах впн-соединение, и научить что эту кнопу надо нажать. Работает в тех странах, где впн не запрещен. Ну и политика безопасности подключения к локальной сети конторы вроде-бы соблюдена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 26 сентября, 2021 · Жалоба 17 минут назад, YuryD сказал: Это просто решается, с впн. YuryD, здравствуйте. VPN, это конечно хорошо, но зачем строить отдельный сервис на маршрутизаторе (возможно он даже имеется), если схему можно реализовать более простым способом? Чтобы потом, в зависимости от типа используемого VPN любить себе голову с передачей статических маршрутов на клиент, если не используется шлюз по умолчанию, возможными «не про-лазаньями» VPN через Интернет или глюками стороннего VPN клиента со стороны абонентского устройства и всё это ради одного сервиса болтающегося на TCP или UDP порту внутренней сети? Тут же не стоит задача как на экзамене, показать чья сеть сложнее настроена с точке зрения сети, тем более описанная автором задача, вполне реализуема на имеющемся в его распоряжении оборудовании. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 сентября, 2021 · Жалоба Ну если и производители клиентских железяк типа впн-роутеров от тплинк это сделали, о чем гадать ? Неоднократно делал такую схему для боссов на выезде с ноутом или смартом. Любить себе голову статическими маршрутами не надо, впнсервер как правило про них знает и так. Задача для меня простая - настроить впн боссу, чтобы дать ему доступ к любимому видеоподгляду, с любой точки глобуса, где есть инет и не запрещен впн, парой кликов мыши. Тут ведь вариантов немного, на нестандартных портах. Или пробросы, или вонючий dmz, или мой вариант. В случае неизвестных портов/протоколов пробросы неадекватны, требуют хотя бы знаний. А понять про локальный впн - даже мокротиковских понятий хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 26 сентября, 2021 · Жалоба 27 минут назад, YuryD сказал: Ну если и производители клиентских железяк типа впн-роутеров от тплинк это сделали, о чем гадать ? Неоднократно делал такую схему для боссов на выезде с ноутом или смартом. Любить себе голову статическими маршрутами не надо, впнсервер как правило про них знает и так. Задача для меня простая - настроить впн боссу, чтобы дать ему доступ к любимому видеоподгляду, с любой точки глобуса, где есть инет и не запрещен впн, парой кликов мыши. Тут ведь вариантов немного, на нестандартных портах. Или пробросы, или вонючий dmz, или мой вариант. В случае неизвестных портов/протоколов пробросы неадекватны, требуют хотя бы знаний. А понять про локальный впн - даже мокротиковских понятий хватит. Конечно, если у Вас несколько видео-серверов/сервисов с различными адресами во внутренней сети и думаю, доступ требуется организовать не только до видео-сервисов, но и к другим ресурсам, без VPN сложно обойтись. Однако, Вы правильно заметили, компьютер, который следует за начальником, настраиваете непосредственно Вы и заранее можете оттестировать поведение конкретного типа VPN, возможно его стороннего клиента и всевозможные подводные камни. Насколько я понял, автору нужно как можно проще реализовать схему, чтобы она была работоспособной без всяких дополнительных элементов. Просто, VPN на мой взгляд, это не панацея от всех болезней. Например, в настоящее время для публикации сервисов «наружу», стали чаше прибегают к Reverse proxy, отходя в сторону от классического понимания VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 сентября, 2021 · Жалоба Ну тут, нечего сказать, кроме того, что топиккастер хотел пингвиновскими средствами учинить проброс портов, и не сумел. Остальные наши инсинуации - просто навыдумал я.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 27 сентября, 2021 · Жалоба On 9/24/2021 at 4:55 PM, SUrov_IBM said: Uzver©, здравствуйте. Если я правильно понял, что Вы хотите настроить, посмотрите это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik Уверен, должно помочь. ;) Да проверю спасибо просто где то ошибся надо вчитаться где. 16 hours ago, SUrov_IBM said: Насколько я понял, автору нужно как можно проще реализовать схему, чтобы она была работоспособной без всяких дополнительных элементов. Именно так, это антивирус вообще то его клиенты подключающиеся к серверу администрирования. И я ну никак не смогу заставлять сотрудников запускать обязательно vpn чтобы антивирус куда то там подключился. И сотрудники есть в регионах, есть Москва которая то в офис бегает то дома сидит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 сентября, 2021 · Жалоба Да настройте вы DNS нормально? Зачем городить то пробросы, VPNы и прочее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 27 сентября, 2021 · Жалоба 1 hour ago, VolanD666 said: настройте вы DNS нормально Вы не могли бы пояснить что значит нормально? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 сентября, 2021 · Жалоба 1 час назад, Uzver© сказал: Вы не могли бы пояснить что значит нормально? Это значит чтобы внутренним пользователям он отдавал внутреннюю адресацию, а в мир внешнюю. Делается через DNS View. В клиенте же можно доменное имя указать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 27 сентября, 2021 · Жалоба Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 сентября, 2021 · Жалоба 48 минут назад, Uzver© сказал: Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS. У вас там что ли IP вбит? Или в чем проблемы с перенастройкой? Если так, то лучше впишите домен сейчас. Вам же потом проще будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 27 сентября, 2021 · Жалоба Да, увы именно что ip на нем же висит ещё кое что и в dns адский клубок навернут. Зачем сам не понимаю, но трогать резко нельзя, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 сентября, 2021 · Жалоба 1 час назад, Uzver© сказал: Да, увы именно что ip на нем же висит ещё кое что и в dns адский клубок навернут. Зачем сам не понимаю, но трогать резко нельзя, В таком случае, могу вам посоветовать только одно. Если у вас не пожар, то сделайте аудит вашей сети, нарисуйте схемы. Посмотрите как лучше изменить архитектуру, чтобы не было: "..на нем же висит ещё кое что и в dns адский клубок навернут..". Запланируйте работы и спокойно все переделайте. Да, так будет дольше. Но лучше сразу делать хорошо, чем городить костыли и все больше закапываться в них. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 27 сентября, 2021 · Жалоба Понимаю, но у нас как всегда собаки вовремя не кормлены, но видимо придется опять скандалить и объяснять почему что да как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 29 сентября, 2021 · Жалоба On 9/24/2021 at 4:55 PM, SUrov_IBM said: Uzver©, здравствуйте. Если я правильно понял, что Вы хотите настроить, посмотрите это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik Уверен, должно помочь. ;) Да, похоже что всё так работает. Убедиться смогу завтра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Uzver© Опубликовано 29 сентября, 2021 · Жалоба /ip firewall nat add action=dst-nat chain=dstnat comment="13000 from wan to 1.248" dst-port=\ 13000 in-interface=WAN protocol=tcp to-addresses=192.168.1.248 to-ports=\ 13000 add action=dst-nat chain=dstnat comment="local net to ext ip**" dst-address=\ 37.233.**.** dst-port=13000 protocol=tcp src-address=192.168.0.0/23 \ to-addresses=192.168.1.248 add action=masquerade chain=srcnat comment="LAN source address spoofing " \ dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=\ 192.168.0.0/23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...