[Zemelia]

Доброго времени суток!

 

Есть Микротик RB450G на нем поднята сессия от провайдера( ether1, соответственно внешний белый ip адрес на микротике). К RB450G (ether2) подключена антенна Siklu EH-1200L-ODU.

 

Антенна Siklu - работает через браузер с сертификатом (https). Из локальной сети на антенну без проблем можно зайти введя в адресной строке браузера: https://192.168.0.1 , через внешку с указанием внешнего ip адреса и порта, не происходит проброса на данное устройство(при этом на любое другое устройство без https - работает проброс, а на оборудование с https-нет.

 

Подскажите в чём может быть проблема, может кто то работал с таким оборудованием. для полноценной работы необходим удаленный доступ до Siklu. Через telnet и ssh тоже не получается подключиться.

[rmika]

Если щлюз у сиклу не микротик. то на микротике нужно правило маскарада для этого интерфейса или адресов сиклу.

[Zemelia]

Если щлюз у сиклу не микротик. то на микротике нужно правило маскарада для этого интерфейса или адресов сиклу.

В сиклу автоматом прописан шлюз и он определяется как ip микротика, и при чем динамический. На сиклу не мог найти где прописывается вручную шлюз. Там нашел параметры ip, и vlan.

Например на оборудование UBNT, проброс не будет работать пока шлюз не прописан правильно.

 

Попробую прописать правило маскарада для сиклу.

[Saab95]

Вы не забываете что у HTTPS порт не 80, а 443, и проброс нужно делать на него.

[Zemelia]

Вы не забываете что у HTTPS порт не 80, а 443, и проброс нужно делать на него.

Да, конечно на него и делаю.

[Saab95]

Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов.

 

/ip firewall nat

add action=netmap chain=dstnat disabled=yes dst-port=88 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=80

add action=netmap chain=dstnat disabled=yes dst-port=443 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=443

 

Вот таким правилом отлично делается проброс на новые наносы, в последних прошивках у них по умолчанию включено управление по https, все работает без проблем. Указанный бридж в правиле тот, к которому подключается оборудование, что бы для клиентов запросы в интернет не поломать.

[Zemelia]

Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов.

 

/ip firewall nat

add action=netmap chain=dstnat disabled=yes dst-port=88 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=80

add action=netmap chain=dstnat disabled=yes dst-port=443 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=443

 

Вот таким правилом отлично делается проброс на новые наносы, в последних прошивках у них по умолчанию включено управление по https, все работает без проблем. Указанный бридж в правиле тот, к которому подключается оборудование, что бы для клиентов запросы в интернет не поломать.

 

Спасибо за совет.

 

У нас клиенты и сиклу подключены к порту ether2

[Zemelia]

Saab95 (20 октября 2013 - 01:17) писал:

Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов.

 

 

Настроил на микротике vpn, внутренний ip микротика 10.1.0.1 , у сиклу 10.1.0.100, сделал себе ip 10.1.0.122. Подключаюсь по vpn к микротику без проблем, но доступен только микротик, остальное оборудование не пингуется. Попробовал добавить правило чтобы файрволла пропускал удаленного пользователя в локальную сеть:

 

/ip firewall nat add chain=input action=accept in-interface=pptp-in , но тоже ничего, доступен через vpn только сам микротик и больше ничего, с самого микротика другое оборудование находящееся в локальной сети - доступно.

Подскажите в чем может быть проблема?

[Saab95]

Нужно на интерфейсе сети, указать адрес 10.1.0.1/24 (он у вас наверно уже и указан), далее на этом интерфейсе в настройках включаете ARP-proxy, далее создаете VPN сервер кнопкой в разделе PPP, а не нажав на +. В секрете указываете 2 адреса, первый local = 10.1.0.200, второй remote = 10.1.0.201. После подключения получите доступ в сеть, все правила фильтрации нужно отключить. Если не сбросили начальную конфигурацию - придется вычищать конфиги - удалять все фильтры и всю лабуду, что там насоздавалась.

 

Другой вариант, если для сиклу микротик является шлюзом - укажите в секретах другую сеть, например local = 10.1.1.1, а remote = 10.1.1.2, при наличии НАТ, в правиле укажите, что dst.address = !10.0.0.0/8

[Zemelia]

Нужно на интерфейсе сети, указать адрес 10.1.0.1/24 (он у вас наверно уже и указан), далее на этом интерфейсе в настройках включаете ARP-proxy, далее создаете VPN сервер кнопкой в разделе PPP, а не нажав на +. В секрете указываете 2 адреса, первый local = 10.1.0.200, второй remote = 10.1.0.201. После подключения получите доступ в сеть, все правила фильтрации нужно отключить. Если не сбросили начальную конфигурацию - придется вычищать конфиги - удалять все фильтры и всю лабуду, что там насоздавалась.

 

Другой вариант, если для сиклу микротик является шлюзом - укажите в секретах другую сеть, например local = 10.1.1.1, а remote = 10.1.1.2, при наличии НАТ, в правиле укажите, что dst.address = !10.0.0.0/8

 

Включил ARP-proxy, и всё оборудование стало доступно.

 

Спасибо Большое за помощь в настройке!