Zemelia Опубликовано 19 октября, 2013 · Жалоба Доброго времени суток! Есть Микротик RB450G на нем поднята сессия от провайдера( ether1, соответственно внешний белый ip адрес на микротике). К RB450G (ether2) подключена антенна Siklu EH-1200L-ODU. Антенна Siklu - работает через браузер с сертификатом (https). Из локальной сети на антенну без проблем можно зайти введя в адресной строке браузера: https://192.168.0.1 , через внешку с указанием внешнего ip адреса и порта, не происходит проброса на данное устройство(при этом на любое другое устройство без https - работает проброс, а на оборудование с https-нет. Подскажите в чём может быть проблема, может кто то работал с таким оборудованием. для полноценной работы необходим удаленный доступ до Siklu. Через telnet и ssh тоже не получается подключиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 19 октября, 2013 · Жалоба Если щлюз у сиклу не микротик. то на микротике нужно правило маскарада для этого интерфейса или адресов сиклу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zemelia Опубликовано 19 октября, 2013 · Жалоба Если щлюз у сиклу не микротик. то на микротике нужно правило маскарада для этого интерфейса или адресов сиклу. В сиклу автоматом прописан шлюз и он определяется как ip микротика, и при чем динамический. На сиклу не мог найти где прописывается вручную шлюз. Там нашел параметры ip, и vlan. Например на оборудование UBNT, проброс не будет работать пока шлюз не прописан правильно. Попробую прописать правило маскарада для сиклу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 октября, 2013 · Жалоба Вы не забываете что у HTTPS порт не 80, а 443, и проброс нужно делать на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zemelia Опубликовано 19 октября, 2013 · Жалоба Вы не забываете что у HTTPS порт не 80, а 443, и проброс нужно делать на него. Да, конечно на него и делаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 октября, 2013 · Жалоба Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов. /ip firewall nat add action=netmap chain=dstnat disabled=yes dst-port=88 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=443 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=443 Вот таким правилом отлично делается проброс на новые наносы, в последних прошивках у них по умолчанию включено управление по https, все работает без проблем. Указанный бридж в правиле тот, к которому подключается оборудование, что бы для клиентов запросы в интернет не поломать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zemelia Опубликовано 19 октября, 2013 · Жалоба Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов. /ip firewall nat add action=netmap chain=dstnat disabled=yes dst-port=88 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=443 in-interface=!bridge_work protocol=tcp to-addresses=192.168.1.20 to-ports=443 Вот таким правилом отлично делается проброс на новые наносы, в последних прошивках у них по умолчанию включено управление по https, все работает без проблем. Указанный бридж в правиле тот, к которому подключается оборудование, что бы для клиентов запросы в интернет не поломать. Спасибо за совет. У нас клиенты и сиклу подключены к порту ether2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zemelia Опубликовано 22 октября, 2013 · Жалоба Saab95 (20 октября 2013 - 01:17) писал: Настройте на микротике VPN сервер, выдайте туда отдельную подсеть (отличную от той, что на релейке), отключите нат для этой сети и сможете удаленно заходить на устройство. Другой вариант выдать адрес удаленному клиенту из существующей подсети, но потребуется включить proxy-arp на интерфейсе, смотрящем в сторону оборудования. Удаленный доступ всегда лучше пробросов. Настроил на микротике vpn, внутренний ip микротика 10.1.0.1 , у сиклу 10.1.0.100, сделал себе ip 10.1.0.122. Подключаюсь по vpn к микротику без проблем, но доступен только микротик, остальное оборудование не пингуется. Попробовал добавить правило чтобы файрволла пропускал удаленного пользователя в локальную сеть: /ip firewall nat add chain=input action=accept in-interface=pptp-in , но тоже ничего, доступен через vpn только сам микротик и больше ничего, с самого микротика другое оборудование находящееся в локальной сети - доступно. Подскажите в чем может быть проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 октября, 2013 · Жалоба Нужно на интерфейсе сети, указать адрес 10.1.0.1/24 (он у вас наверно уже и указан), далее на этом интерфейсе в настройках включаете ARP-proxy, далее создаете VPN сервер кнопкой в разделе PPP, а не нажав на +. В секрете указываете 2 адреса, первый local = 10.1.0.200, второй remote = 10.1.0.201. После подключения получите доступ в сеть, все правила фильтрации нужно отключить. Если не сбросили начальную конфигурацию - придется вычищать конфиги - удалять все фильтры и всю лабуду, что там насоздавалась. Другой вариант, если для сиклу микротик является шлюзом - укажите в секретах другую сеть, например local = 10.1.1.1, а remote = 10.1.1.2, при наличии НАТ, в правиле укажите, что dst.address = !10.0.0.0/8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zemelia Опубликовано 22 октября, 2013 · Жалоба Нужно на интерфейсе сети, указать адрес 10.1.0.1/24 (он у вас наверно уже и указан), далее на этом интерфейсе в настройках включаете ARP-proxy, далее создаете VPN сервер кнопкой в разделе PPP, а не нажав на +. В секрете указываете 2 адреса, первый local = 10.1.0.200, второй remote = 10.1.0.201. После подключения получите доступ в сеть, все правила фильтрации нужно отключить. Если не сбросили начальную конфигурацию - придется вычищать конфиги - удалять все фильтры и всю лабуду, что там насоздавалась. Другой вариант, если для сиклу микротик является шлюзом - укажите в секретах другую сеть, например local = 10.1.1.1, а remote = 10.1.1.2, при наличии НАТ, в правиле укажите, что dst.address = !10.0.0.0/8 Включил ARP-proxy, и всё оборудование стало доступно. Спасибо Большое за помощь в настройке! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...