Проброс портов точек доступа из хотспота наружу.

Обсуждение ПО и его настройки
Ответить
r00t7c5
Сообщения: 3
Зарегистрирован: 03 апр 2017, 09:06

Доброго дня! Ситуация следующая:
MikroTik hAP (RB951Ui-2nD):
в 1 порт (WAN) подключен кабель от роутера провайдера (на порту 192.168.1.х/24 - выдается dhcp роутера провайдера);
На роутере настроена конфигурация:
4 порт + Wlan + hotspot - в бридже - сервис авторизации через смс, звонки (ФЗ) 192.168.10.х/24;
5 порт - рабочая подсеть 192.168.11.х/24.

в 4 порт подключены через свитч точки доступа Ubiquiti UniFi (изначально получали ip по dhcp, зарезервировал на микротике им статические ip 10 подсети). Таким образом через них вещает сеть хотспота с авторизацией. Все работает кроме одного. Необходимо настроить удаленный доступ к этим точкам владельцу этих точек. Пробрасывал TCP 8080 на выделенные ip, все равно не видят их удаленно, полагаю надо еще пробросить их на роутере провайдера, от которого идет входящий линк, но его настраивать нет полномочий. Как реализовать возможность подключения к ним удаленно, может и по номерам портов кто подскажет? Проброс в Firewall-NAT делал так: chain=dstnat; protocol=tcp; dst.port=8080; in.interface=eth1; action=netmap; to adresses=ip ubiquity AP; to ports=8080.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Боюсь тут всё сложнее, у меня Юбикью стоят точки, 8 внешних и 9 внутренних.
Для их управления используется их ПО, которое (ВНИМАНИЕ) требует общий бродкастовый домен,
или ещё точнее - ПО и точки все должны быть соединены на L2-layer уровне.
А значит пробросом тут не обойтись.....

а) ту сетку, что Вы зарезервировали (10-ю кажется?) так и оставляйте, но её надо до владельца точек пробросить,
или скажем так, коль Вы раздаёте адресацию, то корректнее так сказать: владельца пробросить туннелем к сети L2-точек.
б) или попытаться владельца через ВПН прокинуть/подключить...

Как это сделать в целом, не зная всех подробностей - сложно дать ответ. Я лишь поделился как вроде надо делать.
У меня точки между собой соединены в основном на одном свитче, а где нет возможности, естественно виланом сделано/проброшено
в рамках сети организации.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
r00t7c5
Сообщения: 3
Зарегистрирован: 03 апр 2017, 09:06

Вообщем ситуация несколько поменялась. Микрот с белым ip смотрит в интернет. 4 порт микрота + Wlan + hotspot - в бридже - (сервис авторизации через смс, звонки (ФЗ)) подсеть 192.168.10.0/24 находится за nat'ом микрота. В этой подсети висят точки доступа Ubiquiti UniFi. Их несколько штук. Как грамотно реализовать проброс порта 8080 на каждый из них? Ip для точек зарезервированы на dhcp микрота.
Задача в том чтобы UniFi Controller увидел точки удаленно через нат микрота.

Шаг 1. Проброс в Firewall-NAT
chain=dstnat; protocol=tcp; dst.port=8080; in.interface=eth1; action=dstnat; to adresses=<ip ubiquity AP>; to ports=8080. (Для первой точки)
chain=dstnat; protocol=tcp; dst.port=80801; in.interface=eth1; action=dstnat; to adresses=<ip ubiquity AP№2>; to ports=80801. (Для второй точки) и т.д. ....

Шаг 2. Настройка Firewall:
/ip firewall filter add chain=forward protocol=tcp dst-port=8080 action=accept (этого достаточно или на 80801, 80802 тоже надо?).

При такой реализации UniFi Controller увидит точки удаленно через нат? Если коряво то подскажите как лучше сделать...
Последний раз редактировалось r00t7c5 12 апр 2017, 13:38, всего редактировалось 1 раз.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Может проще докупить UiFi CloudKey???


r00t7c5
Сообщения: 3
Зарегистрирован: 03 апр 2017, 09:06

gmx писал(а):Может проще докупить UiFi CloudKey???

Не проще, мы должны предоставить рабочую систему авторизации для соблюдения ФЗ. Мы предоставили, а то что доступ к точкам извне нужен это пожелание заказчика, до этого все работало ч/з обычный роутер за натом, без портмаппинга и туннелей (со слов заказчика). Сам не видел. вот и советуюсь...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да не могло оно работать, по определению, оно и через порт-маппинг, скорее всего, не заработает. Выше объяснили почему.


Ответить