Atman Опубликовано 12 июня, 2011 · Жалоба Доброго времени суток. После замены Zyxel p660 ht2 на микротик RB 750, нужно настроить удаленку на эту сеть, так как она находится от меня на расстоянии 160 км, на Zyxele я перенаправил порты и все работало, на Микротике в основном описан токо проброс портов, даже на ихнем сайте не нашел, как сделать перенапраление портов. Что нужно: Есть статичесий внешний адрес, нужно с помощью перенаправления портов зайти на веб морду 12 буллетов по 80 порту. Я должен набрать к примеру 212.113.47.126:10 И зайти на буллет в нутри сети на адрес 192.168.1.199 по 80 порту.Следующий, набираю 212.113.47.126:11 и попадаю на следующий буллет в нутри сети на адрес 192.168.1.200 по 80 порту. И так все 12 веб морд я должен увидеть. Кто нибудь прбовал подобное сделать на миктотик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 июня, 2011 · Жалоба Вам не проброс портов нужен, а доступ к внутренней сети по VPN. Заходим в PPP --> PPTP Server и включаем его. Ставим профиль Default. Заходим в Secrets и добавляем нового пользователя. Для примера логин test, пароль test. Remote Address должен быть установлен любой свободный из внутренней сети, например 192.168.0.100. Заходим в Profiles и в профиле Default меняем Local Address на любой свободный из внутренней сети, например 192.168.0.2. Далее заходим в Interfaces в свойства сетевого адаптера или бриджа, в зависимости от того, куда у вас внутренняя сеть подключена и включаем Proxy-ARP. Все. После того как вы подключитесь к микротику по его внешнему адресу 212.113.47.126 по VPN с логином и паролем test, сразу получите доступ к внутренней сети и IP адрес из ее диапазона, и сможете обмениваться данными со всеми устройствами из подсети 192.168.0.0/24 не зависимо от того, прописан у них шлюз на ваш микротик или нет. Адреса 192.168.0.0/24 можете заменить на любые другие, например 192.168.1.1 у сервера и 192.168.1.2 у клиента, но в этом случае на всех устройствах в сети должен быть указан шлюз на ваш микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Atman Опубликовано 12 июня, 2011 · Жалоба А перенаправлением, так как я делал на Zyxele сделать можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 июня, 2011 · Жалоба Заходим в IP--> Firewall --> NAT добавляем правило. Там указываем Protocol - TCP или UDP, если нужно пробросить оба, то нужно сделать 2 правила, по одному для каждого протокола. Dst Port это порт на микротике, при обращении на который вы попадете на нужное вам устройство в сети. На вкладке Action ставите dst-nat и указываете IP адрес и порт, на которые правило будет перенаправлять данные. Но использовать доступ по VPN все же удобнее, не нужно помнить порт каждого устройства, особенно когда их много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Atman Опубликовано 12 июня, 2011 · Жалоба Спасибо за помощь Saab95. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_ok Опубликовано 20 февраля, 2012 · Жалоба проброс порта для одного устройства сойдет... но если их куча то без vpn не обойтись) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 февраля, 2012 · Жалоба проброс порта для одного устройства сойдет... но если их куча то без vpn не обойтись) Для этой цели есть UPNP - торренты и DC++ отлично работают через него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 апреля, 2012 · Жалоба Если вам надо сделать проброс всех портов с микротика на определенный адрес, то есть аналог DMZ на длинках/тплинках, можно использовать следующую схему: /ip firewall nat add action=masquerade chain=srcnat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes Здесь интернет приходит на порт Ether1, а порты перенаправляются на адрес 192.168.1.254 в локальной сети. В правилах исключен порт винбокса 8291 - на него можно будет заходить извне. Последние строчки ip service отключают встроенные службы микротика, чтобы они не мешали пробросу портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
haverlinkfor Опубликовано 29 мая, 2013 (изменено) · Жалоба Ситуация похожая. есть удаленная точка доступа с адресом 192.168.0.2:102, клиенты подключенные к ней находятся в подсети 192.168.100.1/24. Настроил VPN, к клиентам зайти получается без проблем, а вот на точку доступа - нет. Remote и local address указал те которые не используется в сети 0.50, 0.100. Шлюз 0.1 при этом доступен.Что я не так делаю Изменено 29 мая, 2013 пользователем haverlinkfor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
haverlinkfor Опубликовано 29 мая, 2013 · Жалоба Извините, разобрался Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
keeper1978 Опубликовано 12 мая, 2014 · Жалоба Помогите нужно создать правило пользлователь при первом подключении должен перенаправлятся на информационную страницу в локальной сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaebasto Опубликовано 12 мая, 2014 · Жалоба Saab95, теперь в микротике можно dst-port=!8291 и вроде как все кроме 8291 полетит на заданный адрес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rv9cpt Опубликовано 2 марта, 2015 · Жалоба с соданием pptp нет проблем все хорошоработает в локальной сети а вот из вне - неудатся подключится нужно. ли делать какие либо правла на nat фаервол поа открыт весь подключение к интернету по PPPOE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 2 марта, 2015 · Жалоба Белый адрес получаете? Не него и надо заходить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zerostok Опубликовано 12 июня, 2015 · Жалоба Заходим в IP--> Firewall --> NAT добавляем правило. Там указываем Protocol - TCP или UDP, если нужно пробросить оба, то нужно сделать 2 правила, по одному для каждого протокола. Dst Port это порт на микротике, при обращении на который вы попадете на нужное вам устройство в сети. На вкладке Action ставите dst-nat и указываете IP адрес и порт, на которые правило будет перенаправлять данные. Но использовать доступ по VPN все же удобнее, не нужно помнить порт каждого устройства, особенно когда их много. Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 июня, 2015 · Жалоба Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них Вы на рокете не забыли шлюз указать в сторону микротика, через который проброс делаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zerostok Опубликовано 14 июня, 2015 · Жалоба Я извиняюсь может за тупняк, но спрошу - делаю всё как написано, в микротике видно что порты идут, но в итоге на свой rocket m5 не попадаю снаружи. Я уже на рокете хттпс отключил. В микротике и до и после маскарада это правило ставил... Нифига. Точно такое же правило только на доступ по rdp до внутреннего сервака - работает, ловит снаружи порт 3392, пересылает на внутренний адрес на порт 3389. А тут тоже самое, только снаружи слушаем порт 245, пересылаем на 80-й и нихера!!!!!!! Микротик настроен на раздачу инета, по списку в adress list... Измучился, помогите. Хочу удаленно получать доступ к своим убнт-шкам в области, но не выходит. впн думаю не выйдет, с телефона хочу заходить на них Вы на рокете не забыли шлюз указать в сторону микротика, через который проброс делаете? Шлюзом указан микротик, днс-ы пустые Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zerostok Опубликовано 15 июня, 2015 · Жалоба Соображений больше нет? Может там какой то косяк в том что по https на ubiquiti заходить надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 июня, 2015 · Жалоба Соображений больше нет? Может там какой то косяк в том что по https на ubiquiti заходить надо? Если вы не отключили доступ по https, то при попытке зайти на 80 порт, он перенаправляет на другой, соответственно вы и его тоже должны пробросить. Если проброса нет, то и открываться ничего не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 8 ноября, 2015 · Жалоба Вопрос по данному методу, один знакомый говорит что Proxy-arp это зло и надо от него уходить. Выключил proxy-arp и не заметил разницы, на все устройства попадаю. Для чего в приведенном выше примере он используется ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 ноября, 2015 · Жалоба Прокси арп используется в случаях, когда надо передать ИП адреса поверх L3 сети, но оставить связанность с ними по L2, тогда тот порт, куда подключен кабель провайдера, выдает от своего имени ARP ответы с нужными ИП адресами и оборудование провайдера понимает, куда отправлять по ним пакеты. Никакого зла он не представляет. Просто есть правильные методы применения инструмента, а есть ошибочные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 8 декабря, 2015 · Жалоба Прокси арп используется в случаях, когда надо передать ИП адреса поверх L3 сети, но оставить связанность с ними по L2, тогда тот порт, куда подключен кабель провайдера, выдает от своего имени ARP ответы с нужными ИП адресами и оборудование провайдера понимает, куда отправлять по ним пакеты. Никакого зла он не представляет. Просто есть правильные методы применения инструмента, а есть ошибочные. Все же если не трудно, подскажите: Есть Точка А с внешним белым IP 178.200.1.1 Есть точка Б за натом, с сетью 192.168.19.0/24 На точке А поднята сеть 192.168.13.0/24 и создан PPTP сервер (192.168.13.200) из этой же сети. На точке Б на ней поднимаю PPTP-Client (192.168.13.201), в маршрутах указываю что в сеть 192.168.13.0/24 ходить через шлюз 192.168.13.200. В маршрутах точки А указываю, что сеть 192.168.19.0/24 ходить через шлюз 192.168.13.201. Скорее всего я не до конца понимаю всю тонкость работы сетевых протоколов, а в точности arp. Просто у меня все отлично работало без Proxy-arp, но сегодня внезапно в 2 часа ночи пропала связь клиентов с биллингом, помогло включение proxy-arp. Т.е. c NAS базовой станции 192.168.19.1 я не пинговал IP биллинга 192.168.13.210, но в то же время пинг проходил до центрального микротика 192.168.13.1. Не могу понять почему работало все без прокси-арп, а потом внезапно перестало, кто может пояснить ? И как можно сделать связанность удаленных точек с центром, без использования Proxy-arp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 декабря, 2015 · Жалоба Вам просто надо на всех роутерах настроить НАТ таким образом, что бы внутрисетевой трафик под него не попадал. Далее включаете везде OSPF (для этого в меню Routing-OSPF на вкладке Network добавляете все используемые сети, если везде серая то одну 192.168.0.0/16), после все роутеры договорятся о маршрутах и доступ будет куда угодно и откуда угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dominikus Опубликовано 1 августа, 2016 (изменено) · Жалоба Друзья, помогите справится с сетью: Точка А: microtik c белым ip 89.255.X.X локалка 192.168.2.1-192.168.2.25 Точка В: zyxel giga III, подключение yota через модем hilink Е3372 (имеет свой DHCP 192.168.8.1-192.168.8.100), роутер получает IP 192.168.8.1 затем организует (как я понимаю)- 2 DHCP локальную сеть 192.168.1.1-192.168.1.25 На Микротике поднял тунель PPTP локальный адрес сделал 192.168.2.1 удаленный 192.168.2.55 zyxel подключился и получил белый IP от Микротика ip 89.255.X.X Но доступ извне не могу организовать, в локальный сети zyxel 192.168.1.1-192.168.1.25 стоит сервер Synology нужно получить доступ web, FTP, videostaion и т.д. ну к определенным службам и портам, что только не мудрил, все делаю вроде как описано выше, не получается, подозрение на двойной NAT как обойти или надо может быть как-то иначе? Да и никак не могу настроить доступ к кинетику по имени домена присвоенный synology акаунт, там прописывается правильный белый ip 89.255.X.X но в инете нет доступа Буду очень признателен за дельные советы Изменено 1 августа, 2016 пользователем Dominikus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 2 августа, 2016 · Жалоба >На Микротике поднял тунель PPTP локальный >адрес сделал 192.168.2.1 удаленный >192.168.2.55 >zyxel подключился и получил белый IP от >Микротика ip 89.255.X.X С чего это зуксель белый ip получил ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...