Перенаправление рортов Микротик

[Atman]

Доброго времени суток.

 

После замены Zyxel p660 ht2 на микротик RB 750, нужно настроить удаленку на эту сеть, так как она находится от меня на расстоянии 160 км, на Zyxele я перенаправил порты и все работало, на Микротике в основном описан токо проброс портов, даже на ихнем сайте не нашел, как сделать перенапраление портов.

Что нужно: Есть статичесий внешний адрес, нужно с помощью перенаправления портов зайти на веб морду 12 буллетов по 80 порту. Я должен набрать к примеру 212.113.47.126:10 И зайти на буллет в нутри сети на адрес

192.168.1.199 по 80 порту.Следующий, набираю 212.113.47.126:11 и попадаю на следующий буллет в нутри сети на адрес 192.168.1.200 по 80 порту. И так все 12 веб морд я должен увидеть. Кто нибудь прбовал подобное сделать на миктотик?

[Saab95]

Вам не проброс портов нужен, а доступ к внутренней сети по VPN.

 

 

Заходим в PPP --> PPTP Server и включаем его. Ставим профиль Default.

 

 

Заходим в Secrets и добавляем нового пользователя. Для примера логин test, пароль test. Remote Address должен быть установлен любой свободный из внутренней сети, например 192.168.0.100.

 

 

Заходим в Profiles и в профиле Default меняем Local Address на любой свободный из внутренней сети, например 192.168.0.2.

 

 

Далее заходим в Interfaces в свойства сетевого адаптера или бриджа, в зависимости от того, куда у вас внутренняя сеть подключена и включаем Proxy-ARP.

 

Все. После того как вы подключитесь к микротику по его внешнему адресу 212.113.47.126 по VPN с логином и паролем test, сразу получите доступ к внутренней сети и IP адрес из ее диапазона, и сможете обмениваться данными со всеми устройствами из подсети 192.168.0.0/24 не зависимо от того, прописан у них шлюз на ваш микротик или нет.

 

Адреса 192.168.0.0/24 можете заменить на любые другие, например 192.168.1.1 у сервера и 192.168.1.2 у клиента, но в этом случае на всех устройствах в сети должен быть указан шлюз на ваш микротик.

[Atman]

А перенаправлением, так как я делал на Zyxele сделать можно?

[Saab95]

 

Заходим в IP--> Firewall --> NAT добавляем правило.

 

Там указываем Protocol - TCP или UDP, если нужно пробросить оба, то нужно сделать 2 правила, по одному для каждого протокола.

Dst Port это порт на микротике, при обращении на который вы попадете на нужное вам устройство в сети.

 

 

На вкладке Action ставите dst-nat и указываете IP адрес и порт, на которые правило будет перенаправлять данные.

 

Но использовать доступ по VPN все же удобнее, не нужно помнить порт каждого устройства, особенно когда их много.

[Atman]

Спасибо за помощь Saab95.

[alex_ok]

проброс порта для одного устройства сойдет... но если их куча то без vpn не обойтись)

[Saab95]

проброс порта для одного устройства сойдет... но если их куча то без vpn не обойтись)

 

Для этой цели есть UPNP - торренты и DC++ отлично работают через него.

[Saab95]

Если вам надо сделать проброс всех портов с микротика на определенный адрес, то есть аналог DMZ на длинках/тплинках, можно использовать следующую схему:

 

/ip firewall nat

add action=masquerade chain=srcnat

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290

add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535

add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

 

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh disabled=yes

 

Здесь интернет приходит на порт Ether1, а порты перенаправляются на адрес 192.168.1.254 в локальной сети. В правилах исключен порт винбокса 8291 - на него можно будет заходить извне.

 

Последние строчки ip service отключают встроенные службы микротика, чтобы они не мешали пробросу портов.

 

 

[haverlinkfor]

Ситуация похожая. есть удаленная точка доступа с адресом 192.168.0.2:102, клиенты подключенные к ней находятся в подсети 192.168.100.1/24. Настроил VPN, к клиентам зайти получается без проблем, а вот на точку доступа - нет. Remote и local address указал те которые не используется в сети 0.50, 0.100. Шлюз 0.1 при этом доступен.Что я не так делаю

Edited May 29, 2013 by haverlinkfor

[haverlinkfor]

Извините, разобрался

[keeper1978]

Помогите нужно создать правило

пользлователь при первом подключении должен перенаправлятся на информационную страницу в локальной сети

[Zaebasto]

Saab95, теперь в микротике можно dst-port=!8291 и вроде как все кроме 8291 полетит на заданный адрес

[rv9cpt]

с соданием pptp нет проблем все хорошоработает в локальной сети а вот из вне - неудатся подключится нужно. ли делать какие либо правла на nat

фаервол поа открыт весь

подключение к интернету по PPPOE

[pandel]

Белый адрес получаете? Не него и надо заходить

[zerostok]

 

Заходим в IP--> Firewall --> NAT добавляем правило.

 

Там указываем Protocol - TCP или UDP, если нужно пробросить оба, то нужно сделать 2 правила, по одному для каждого протокола.

Dst Port это порт на микротике, при обращении на который вы попадете на нужное вам устройство в сети.

 

 

На вкладке Action ставите dst-nat и указываете IP адрес и порт, на которые правило будет перенаправлять данные.

 

Но использовать доступ по VPN все же удобнее, не нужно помнить порт каждого устройства, особенно когда их много.

Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них

[Saab95]

Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них

 

Вы на рокете не забыли шлюз указать в сторону микротика, через который проброс делаете?

[zerostok]

Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них

 

Вы на рокете не забыли шлюз указать в сторону микротика, через который проброс делаете?

 

Шлюзом указан микротик, днс-ы пустые

[zerostok]

Соображений больше нет? Может там какой то косяк в том что по https на ubiquiti заходить надо?

[Saab95]

Соображений больше нет? Может там какой то косяк в том что по https на ubiquiti заходить надо?

 

 

Если вы не отключили доступ по https, то при попытке зайти на 80 порт, он перенаправляет на другой, соответственно вы и его тоже должны пробросить. Если проброса нет, то и открываться ничего не будет.

[divxl]

Вопрос по данному методу, один знакомый говорит что Proxy-arp это зло и надо от него уходить.

 

Выключил proxy-arp и не заметил разницы, на все устройства попадаю.

 

Для чего в приведенном выше примере он используется ?

[Saab95]

Прокси арп используется в случаях, когда надо передать ИП адреса поверх L3 сети, но оставить связанность с ними по L2, тогда тот порт, куда подключен кабель провайдера, выдает от своего имени ARP ответы с нужными ИП адресами и оборудование провайдера понимает, куда отправлять по ним пакеты.

Никакого зла он не представляет. Просто есть правильные методы применения инструмента, а есть ошибочные.

[divxl]

Прокси арп используется в случаях, когда надо передать ИП адреса поверх L3 сети, но оставить связанность с ними по L2, тогда тот порт, куда подключен кабель провайдера, выдает от своего имени ARP ответы с нужными ИП адресами и оборудование провайдера понимает, куда отправлять по ним пакеты.

Никакого зла он не представляет. Просто есть правильные методы применения инструмента, а есть ошибочные.

 

Все же если не трудно, подскажите:

 

Есть Точка А с внешним белым IP 178.200.1.1

 

Есть точка Б за натом, с сетью 192.168.19.0/24

 

На точке А поднята сеть 192.168.13.0/24 и создан PPTP сервер (192.168.13.200) из этой же сети.

 

На точке Б на ней поднимаю PPTP-Client (192.168.13.201), в маршрутах указываю что в сеть 192.168.13.0/24 ходить через шлюз 192.168.13.200.

 

В маршрутах точки А указываю, что сеть 192.168.19.0/24 ходить через шлюз 192.168.13.201.

 

Скорее всего я не до конца понимаю всю тонкость работы сетевых протоколов, а в точности arp. Просто у меня все отлично работало без Proxy-arp, но сегодня внезапно в 2 часа ночи пропала связь клиентов с биллингом, помогло включение proxy-arp. Т.е. c NAS базовой станции 192.168.19.1 я не пинговал IP биллинга 192.168.13.210, но в то же время пинг проходил до центрального микротика 192.168.13.1.

 

Не могу понять почему работало все без прокси-арп, а потом внезапно перестало, кто может пояснить ?

 

И как можно сделать связанность удаленных точек с центром, без использования Proxy-arp?

[Saab95]

Вам просто надо на всех роутерах настроить НАТ таким образом, что бы внутрисетевой трафик под него не попадал. Далее включаете везде OSPF (для этого в меню Routing-OSPF на вкладке Network добавляете все используемые сети, если везде серая то одну 192.168.0.0/16), после все роутеры договорятся о маршрутах и доступ будет куда угодно и откуда угодно.

[Dominikus]

Друзья, помогите справится с сетью:

 

Точка А: microtik c белым ip 89.255.X.X локалка 192.168.2.1-192.168.2.25

Точка В: zyxel giga III, подключение yota через модем hilink Е3372 (имеет свой DHCP 192.168.8.1-192.168.8.100), роутер получает IP 192.168.8.1 затем организует (как я понимаю)- 2 DHCP локальную сеть 192.168.1.1-192.168.1.25

 

На Микротике поднял тунель PPTP локальный адрес сделал 192.168.2.1 удаленный 192.168.2.55

zyxel подключился и получил белый IP от Микротика ip 89.255.X.X

 

Но доступ извне не могу организовать, в локальный сети zyxel 192.168.1.1-192.168.1.25 стоит сервер Synology нужно получить доступ web, FTP, videostaion и т.д. ну к определенным службам и портам, что только не мудрил, все делаю вроде как описано выше, не получается, подозрение на двойной NAT как обойти или надо может быть как-то иначе?

 

Да и никак не могу настроить доступ к кинетику по имени домена присвоенный synology акаунт, там прописывается правильный белый ip 89.255.X.X но в инете нет доступа

 

Буду очень признателен за дельные советы

Edited August 1, 2016 by Dominikus

[divxl]

>На Микротике поднял тунель PPTP локальный >адрес сделал 192.168.2.1 удаленный >192.168.2.55

>zyxel подключился и получил белый IP от >Микротика ip 89.255.X.X

 

С чего это зуксель белый ip получил ?