Настройка проброса uPnP через 2 Микротика.

Обсуждение ПО и его настройки
N3RO
Сообщения: 8
Зарегистрирован: 12 июн 2018, 23:12

Приветствую! Ситуация следующая... Я дилетант, поэтому постараюсь описать, как можно проще!
Есть два Мироктика - один стоит у меня дома, другой у товарища. Между ними локальная сеть общего провайдера. Интернет с внешним IP адресом только у товарища, я же получаю интернет от роутера товарища на свой домашний Микрот по GRE туннелю, который мы настроили.
Возникла необходимость динамической переброски портов, чтобы микротик товарища открывал моему микротику и устройствам для него порты по запросу (uPnP). Однако, на uPnP запросы реагирует лишь мой микротик - перебрасывает их на порт GRE тунеля (как и должно), а вот удаленный микротик товарища не принимает этих uPnP с GRE туннеля и не открывает порты для моего и моих устройств.
Задача состоит в том, что его микрот слышал uPnP запросы из домашней локальной сети моего мироктика и перекидывал на них порты.
Еще раз приношу извинения за непрофессиональное описание. Постигать азы RouterOS очень интересно, но сложно...
Есть ли идеи, как реализовать uPnP переброс?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вы ситуацию не под той плоскостью увидели и не так отталкиваетесь.

1) реальный адрес у товарища, на его микротике (галочку ставим себе)
2) между двумя роутерами у Вас настроено взаимодействие сетей Ваших локальный ? (подтвердите) ?
3) и есть как бы правило, что НАТ/Маскарад адреса локального при доступе наружу,
надо перед самым выходом в сторону провайдера и делать это. ТО есть пакет не трогать,
пока он не хочет уйти выше.

Где у нас адрес реальный, правильно, у товарища, значит Вы должны до роутера товарища
со своего компа/приставки (кому нужен UPnP) прийти на роутер товарища, и там он
Вас должен и НАТ сделать (отправить пакет в сторону провайдера) и у товарища
на его роутера UPnP должен быть включён и в файрволе товарища, для Вашей сети
появятся динамические правила (созданные службой UPnP) .

А чтобы было красиво, и правильно, и была защита, у товарища локальная сеть должна быть одна,
у Вас она должна быть другая, и в настройках UPnP выбрать только Ваш локальный
интерфейс и/или (бридж)/и/или GRE-интерфейс, если товарищу (его сети) не нужен UPnP.

Ну как-то так....Зачем делать изврат и химичать на Вашем роутере,
когда всё равно пакеты уходят на провайдера через роутер товарища.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
N3RO
Сообщения: 8
Зарегистрирован: 12 июн 2018, 23:12

Vlad-2 писал(а): 29 мар 2020, 16:26 Вы ситуацию не под той плоскостью увидели и не так отталкиваетесь.

1) реальный адрес у товарища, на его микротике (галочку ставим себе)
2) между двумя роутерами у Вас настроено взаимодействие сетей Ваших локальный ? (подтвердите) ?
3) и есть как бы правило, что НАТ/Маскарад адреса локального при доступе наружу,
надо перед самым выходом в сторону провайдера и делать это. ТО есть пакет не трогать,
пока он не хочет уйти выше.

Где у нас адрес реальный, правильно, у товарища, значит Вы должны до роутера товарища
со своего компа/приставки (кому нужен UPnP) прийти на роутер товарища, и там он
Вас должен и НАТ сделать (отправить пакет в сторону провайдера) и у товарища
на его роутера UPnP должен быть включён и в файрволе товарища, для Вашей сети
появятся динамические правила (созданные службой UPnP) .

А чтобы было красиво, и правильно, и была защита, у товарища локальная сеть должна быть одна,
у Вас она должна быть другая, и в настройках UPnP выбрать только Ваш локальный
интерфейс и/или (бридж)/и/или GRE-интерфейс, если товарищу (его сети) не нужен UPnP.

Ну как-то так....Зачем делать изврат и химичать на Вашем роутере,
когда всё равно пакеты уходят на провайдера через роутер товарища.
1. Все верно, внешний реальник у товарища на микротике.
2. Нет, локальные сети не взаимодействуют. Тобеж у меня внутренний локальный дипазон 10.10.10.х, у него 10.20.20.х... Маршрутов на обоих роутерах о том, что искать адреса из первого и второго диапазона на другой стороне GRE тунеля - нет.
3. Маскарад на моем роутере настроен на GRE туннель к товарищу (с него я и получаю интернет). Маскарад у товарища настроен на шлюз (реальник) провайдера, с которого получает инет он и следовательно раздает мне.

Задачка получилась в тот момент, когда мой роутер при uPnP запроса от подключенных к нему устройств без труда создает динамическое uPnP правило в НАТе и отсылает его на GRE соединение (что идет к товарищу). А вот роутер товарища будто не видит этих запросов, и не создает в НАТе никаких uPnP правил пришедших из GRE туннеля от меня, идущих к шлюзу (реальнику) провайдера. Правило uPnP настроили корректно - у меня internal (мой бридж), external (GRE тунель к товарищу); у него internal (GRE тунель от меня) и external (шлюз к провайдеру с реальником).

В общем, в целом все настроено именно так, как Вы описали. За исключением наших внутренних локальных сетей устройства в которых не видят друг друга без маршрута. Однако, не работает... Роутер товарища не создает динамических uPnP.


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Подсказка - как только шлюз по умолчанию на клиентах будет указывать на роутер товарища будет вам перенаправление upnp.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да, easyman сжато Вам сказал то, что надо сделать, хотя и я это писал.
Но короткие ответы - не всегда моё.

1) Убрать НАТ между туннелями (какая разница, если НАТ делается всё равно на роутере товарища,
но сейчас делается он на GRE-интерфейсе, а будете делать его на WAN-интерфейсе.

2) Подружить сети между домами (свою сеть и сеть товарища), естественно сети должны быть разными по IP-пулу.

3) Приходить на роутер товарища из своей сети со своими локальными адресами, то есть
с приставки 192.168.2.4 прийти на роутер товарища 192.168.1.1 с адресом приставки 192.168.2.4
(роутер именно этот адрес и должен видеть и он его и будет потом и использовать).

4) И уже Вашу сеть (скажем 192.168.2.0/24) НАТить во внешку, + позволять делать UPnP
на роутере товарища для Вашей локальной сети.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
N3RO
Сообщения: 8
Зарегистрирован: 12 июн 2018, 23:12

Спасибо! Будем пробовать.


Аватара пользователя
loskiq
Сообщения: 6
Зарегистрирован: 24 дек 2017, 08:43
Контактная информация:

Vlad-2 писал(а): 30 мар 2020, 03:26 Да, easyman сжато Вам сказал то, что надо сделать, хотя и я это писал.
Но короткие ответы - не всегда моё.

1) Убрать НАТ между туннелями (какая разница, если НАТ делается всё равно на роутере товарища,
но сейчас делается он на GRE-интерфейсе, а будете делать его на WAN-интерфейсе.

2) Подружить сети между домами (свою сеть и сеть товарища), естественно сети должны быть разными по IP-пулу.

3) Приходить на роутер товарища из своей сети со своими локальными адресами, то есть
с приставки 192.168.2.4 прийти на роутер товарища 192.168.1.1 с адресом приставки 192.168.2.4
(роутер именно этот адрес и должен видеть и он его и будет потом и использовать).

4) И уже Вашу сеть (скажем 192.168.2.0/24) НАТить во внешку, + позволять делать UPnP
на роутере товарища для Вашей локальной сети.
Убрали NAT между туннелями. Сейчас NAT настроен только на моём микротике на WAN-интерфейсе (я тот самый товарищ).
В общем, для примера, у меня сетка 10.55.1.0/24, а у N3RO сетка 10.55.2.0/24.
Сейчас UPnP работает только в моей сетке. Нужно, чтобы UPnP моего микротика работал и в сетке N3RO.
Между нашими микротиками поднят туннель, на моём туннеле ip 10.41.0.1/30, на его туннеле 10.41.0.2/30
Также настроена маршрутизация наших сеток (10.55.1.0/24 и 10.55.2.0/24) между собой.
На микротике N3RO прописан дефолтный роут на ip 10.41.0.1
Соответственно, мой микротик видит обе сетки и натит их.

Теперь вопросы по UPnP:

1. Включать UPnP нужно только на моём микротике?
2. На своём микротике external указываю WAN-интерфейс, а internal указываю тот самый туннель?
3. Если всё-таки нужно будет включить UPnP на микротике N3RO, то external указываю тот самый туннель, а internal указываю бридж, на котором прописан ip 10.55.2.1/24?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

loskiq писал(а): 30 мар 2020, 12:18 Убрали NAT между туннелями. Сейчас NAT настроен только на моём микротике на WAN-интерфейсе (я тот самый товарищ).
В общем, для примера, у меня сетка 10.55.1.0/24, а у N3RO сетка 10.55.2.0/24.
Сейчас UPnP работает только в моей сетке. Нужно, чтобы UPnP моего микротика работал и в сетке N3RO.
Молодцы. Надо было с самого начала так делать.
loskiq писал(а): 30 мар 2020, 12:18 Между нашими микротиками поднят туннель, на моём туннеле ip 10.41.0.1/30, на его туннеле 10.41.0.2/30
У микротиков (если они стоят с двух сторон) и при использовании GRE можно самому GRE не задавать
сетки. То есть маршрутизацию можно сделать, выбрав в таблице маршрутов сам GRE-интерфейс.
(фича микротика). НО пока думаю Вам лучше оставить адреса.
loskiq писал(а): 30 мар 2020, 12:18 Также настроена маршрутизация наших сеток (10.55.1.0/24 и 10.55.2.0/24) между собой.
На микротике N3RO прописан дефолтный роут на ip 10.41.0.1
Соответственно, мой микротик видит обе сетки и натит их.
Отлично.
loskiq писал(а): 30 мар 2020, 12:18 1. Включать UPnP нужно только на моём микротике?
ДА
loskiq писал(а): 30 мар 2020, 12:18 2. На своём микротике external указываю WAN-интерфейс, а internal указываю тот самый туннель?
По идеа да, не настраивал с GRE+UPnP, но по логике да, он же является локальным
и вообще GRE является тем интерфейсом, который связывает удалённую сетку.
(надо визуально видеть, но пока да, оставляйте GRE).
loskiq писал(а): 30 мар 2020, 12:18 3. Если всё-таки нужно будет включить UPnP на микротике N3RO, то external указываю тот самый туннель, а internal указываю бридж, на котором прописан ip 10.55.2.1/24?
Служба UPnP на роутере N3RO = в Вашей схеме подключения - полностью бессмысленная.
На его роутере будет UPnP выполняться, и будет он для сетки локальную 10.55.2.0/24
делать пробросы портов на адрес? (на адрес туннеля, там он у нас 10.41.0.2)
И что это даёт? В одной сети (через UPnP) открыты какие-то порты в ней
с адреса 10.41.0.2, смысл в итоге??



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

вообще лучше реализовать через eoip и избежать лишних подсетей и маршрутизаций.
Поднимите eoip - один конец в бридж к товарищу без интернета, другой отдельным интерфейсом у вас.
назначаете адрес 10.55.2.1 на eoip интерфейс у себя и это будет для него шлюза по умолчанию - его в internal upnp. и собственно всё.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

easyman писал(а): 30 мар 2020, 12:37 вообще лучше реализовать через eoip и избежать лишних подсетей и маршрутизаций.
Поднимите eoip - один конец в бридж к товарищу без интернета, другой отдельным интерфейсом у вас.
назначаете адрес 10.55.2.1 на eoip интерфейс у себя и это будет для него шлюза по умолчанию - его в internal upnp. и собственно всё.
Всем хорошо eoip, да вот только небыстрый он и нагружает железку прилично. А ведь товарищам upnp не с проста понадобился. Видимо, что-то толстое в канал полезет...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить