Проброс портов
-
sergium
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Добрый день, не могли бы вы проконсультировать в вопросе по настройке роутера. Имеется роутер MikroTik hEX Lite, а также два WiFi роутера Zyxel, работающие в режимах точки доступа. Все устройства подключены к одному коммутатору. Требуется пробросить порты на веб-интерфейсы роутеров. Веб-интерфейсы в обоих роутерах работают на 80-м порту, в локальной сети доступ к ним есть, ip-адреса роутеров с MikroTikа пингуются. Делаю стандартный проброс портов через dst-nat, но из интернета доступа к веб-интерфейсам нет. При этом в локальной сети имеется ещё несколько устройств с веб-интерфейсами на 80-м порту- сетевой накопитель, несколько принтеров, веб-сервер - с ними все работает нормально, порты пробрасываются, доступ из интернета есть.Следовательно, проброс портов я делаю правильно, но почему не удается пробросить порты на роутеры не понятно...
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Потому что роутеры Zyxel, скорее всего, настроены так, что не имеют доступа в интернет. Скорее всего в настройках LAN роутеров нету пункта "шлюз".
Чтобы они стали доступны их нужно настраивать стандартным способом: то есть в локальную сеть они должны смотреть портом WAN, а клиенты WiFi будут за NAT этих роутеров. На многих роутерах Zyxel, кстати, NAT можно отключить.
Чтобы они стали доступны их нужно настраивать стандартным способом: то есть в локальную сеть они должны смотреть портом WAN, а клиенты WiFi будут за NAT этих роутеров. На многих роутерах Zyxel, кстати, NAT можно отключить.
-
sergium
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Да роутеры не имеют выхода в интернет - они работают как точки доступа, но если я вижу устройство в локальной сети, почему я не могу настроить к нему доступ через интернет?
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Потому что устройства не умеют отвечать на запрос внешнего IP наружу. Вам надо читать что такое NAT и и как он работает.
Но, самое интересное, что у нас в руках микротик, и можно попробовать подменить адрес источника.
Например,
chain=srcnat action=src-nat to-addresses=10.1.1.1 dst-address=192.168.77.10 log=no log-prefix=""
где 192.168.77.10 - IP адрес вашего Zyxel, а 10.1.1.1, например локальный адрес Микротика.
Не уверен, что все это сработает. Это однозначно прокатывает на VPN (спасибо vqd).
Не забывайте, что важен порядок правил, оно должно быть выше правил проброса порта.
Но, самое интересное, что у нас в руках микротик, и можно попробовать подменить адрес источника.
Например,
chain=srcnat action=src-nat to-addresses=10.1.1.1 dst-address=192.168.77.10 log=no log-prefix=""
где 192.168.77.10 - IP адрес вашего Zyxel, а 10.1.1.1, например локальный адрес Микротика.
Не уверен, что все это сработает. Это однозначно прокатывает на VPN (спасибо vqd).
Не забывайте, что важен порядок правил, оно должно быть выше правил проброса порта.
-
podarok66
- Модератор
- Сообщения: 4358
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Проще всего дать доступ снаружи к вебинтерфейсам используя нестандартные порты. Что-то типа такого:
И в адресной строке набирать адрес:порт
Естественно, отследить, чтобы фаервол на тике не блочил эти порты. Ну и конечно и Тика должен быть внешний адрес не за натом
Код: Выделить всё
/ ip firewall nat
add chain=dstnat dst-address=<Внешний_IP_адрес> protocol=tcp dst-port=23120 action=dst-nat to-addresses=<Внутренний_IP_Zixel_1> to-ports=80 comment="One_AP" disabled=no
add chain=dstnat dst-address=<Внешний_IP_адрес> protocol=tcp dst-port=23140 action=dst-nat to-addresses=<Внутренний_IP_Zixel_2> to-ports=80 comment="Two_AP" disabled=noИ в адресной строке набирать адрес:порт
Естественно, отследить, чтобы фаервол на тике не блочил эти порты. Ну и конечно и Тика должен быть внешний адрес не за натом
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
podarok66,
вы не поняли, Zyxel в схеме топикстартера не умеют ходить в инет... У них нет шлюза, они не могут ответить наружу...
вы не поняли, Zyxel в схеме топикстартера не умеют ходить в инет... У них нет шлюза, они не могут ответить наружу...
-
sergium
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Тогда объясните пожалуйста, что значит "ответить наружу"? Насколько я понимаю, точка доступа - это беспроводной коммутатор и у неё нет ни WANа ни LANа. А как же сетевые принтеры, они же то же не могут ходить в интернет, но доступ к ним есть.
-
podarok66
- Модератор
- Сообщения: 4358
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да, действительно, недопонял))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
sergium
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Спасибо, видимо, разобрался - получается что у Zyxel-ей в режиме точки доступа не даже такого пункта как шлюз...
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Что значит ходить в интернет??? То, что у принтера нету экрана или браузера - это не значит, что он не может ходить в интернет. На 100% уверен, что в настройках принтера есть Шлюз (Gateway), который вы вбили руками или принтер его получил по DHCP. Более того, все современные сетевые принтеры и мфу умеют обновлять свое ПО через инет, сканировать в облака и обладают возможностями облачной печати, а также E-mail Print.
Далее, при работе NAT, роутер транслирует запрос от внешнего IP на IP внутренний, но он это делает не от своего имени (он там подразумевается, не явно), поэтому устройство в локальной сети отвечает также внешнему IP адресу, но делает это через, так называемый, default route, стандартный маршрут, то есть все отправить на шлюз - он разберется (ну и порт, естественно).
Попробуйте сделать у себя на компьютере следующее: внесите вручную IP адрес из свой подсети, маску, но не вносите шлюз. И попробуйте. Компьютер будет отлично работать даже с вашими сетевыми принтерами и любыми другими сетевыми устройствами в ОДНОЙ подсети, но при этом на компьютере не будет интернета.
Теперь, что касается ваших устройств. Помните, что ваш Zyxel - это скорее домашний роутер, заточенный на работу под NAT. И он может иметь два IP адреса: один - это адреса бриджа, куда вы втыкаете локальную сеть. В настройках это раздел LAN. И там нету никакого шлюза. Увы и ах! При таком подключении Zyxel никогда в инет сам не выйдет. Это невозможно. Второй IP - это IP на стороне WAN, который он получает от провайдера. В вашем случае провайдер вы, точнее ваш микротик. Если подключить Zyxel к микротику портом WAN, а в настройках Zyxel выбрать "Динамический IP" (ну или как-то по другому он называется), то Zyxel получит IP он DHCP вашего микротика и заработает. На нем будет интернет и он будет раздавать интернет всем своим WiFi клиентам, но... у клиентов WiFi IP адреса будут не от вашего микротика, а от DHCP сервера Zyxel, и если эти адреса пересекаются с адресами вашей локальной сети, то в итоге приведет к тому, что клиенты WiFi не увидят всю вашу локальную сеть, но инет у них будет. Причем шлюзом для них будет Zyxel, а для Zyxel шлюзом будет микротик и все это можно назвать двойным NAT. Возможно, повторяю, ВОЗМОЖНО, на Zyxel можно выключить NAT, тогда он станет фактически мостом, между микротиком и WiFi клиентами и тогда вся схеме заработает.
Можно попробовать следующую схему: настроить WAN на Зикселе, как я писал выше, настроить LAN на Зикселе на подсеть отличную, он вашей локальной подсети на микротике. Воткнуть все это в микротик, убедиться, что инет у WiFi клиентов есть и они видят большинство устройств вашей локальной сети (для этого нужно настраивать маршруты на микротике). Но, опять-таки, если в основной локальной сети есть устройства, которые не имеют в настройках шлюза, то их клиенты WiFi увидеть не смогут. Но ваш Zyxel в таком случае увидит интернет и будет доступен из внешней сети.
Уж извините за длинопост, то я не знаю как еще на пальцах вам объяснить принципы маршрутизации.
Короче, все ваши проблемы решаются с легкостью - заменой Zyxel на микротик. Микротик все умеет и все настраивается двумя строчками...
Далее, при работе NAT, роутер транслирует запрос от внешнего IP на IP внутренний, но он это делает не от своего имени (он там подразумевается, не явно), поэтому устройство в локальной сети отвечает также внешнему IP адресу, но делает это через, так называемый, default route, стандартный маршрут, то есть все отправить на шлюз - он разберется (ну и порт, естественно).
Попробуйте сделать у себя на компьютере следующее: внесите вручную IP адрес из свой подсети, маску, но не вносите шлюз. И попробуйте. Компьютер будет отлично работать даже с вашими сетевыми принтерами и любыми другими сетевыми устройствами в ОДНОЙ подсети, но при этом на компьютере не будет интернета.
Теперь, что касается ваших устройств. Помните, что ваш Zyxel - это скорее домашний роутер, заточенный на работу под NAT. И он может иметь два IP адреса: один - это адреса бриджа, куда вы втыкаете локальную сеть. В настройках это раздел LAN. И там нету никакого шлюза. Увы и ах! При таком подключении Zyxel никогда в инет сам не выйдет. Это невозможно. Второй IP - это IP на стороне WAN, который он получает от провайдера. В вашем случае провайдер вы, точнее ваш микротик. Если подключить Zyxel к микротику портом WAN, а в настройках Zyxel выбрать "Динамический IP" (ну или как-то по другому он называется), то Zyxel получит IP он DHCP вашего микротика и заработает. На нем будет интернет и он будет раздавать интернет всем своим WiFi клиентам, но... у клиентов WiFi IP адреса будут не от вашего микротика, а от DHCP сервера Zyxel, и если эти адреса пересекаются с адресами вашей локальной сети, то в итоге приведет к тому, что клиенты WiFi не увидят всю вашу локальную сеть, но инет у них будет. Причем шлюзом для них будет Zyxel, а для Zyxel шлюзом будет микротик и все это можно назвать двойным NAT. Возможно, повторяю, ВОЗМОЖНО, на Zyxel можно выключить NAT, тогда он станет фактически мостом, между микротиком и WiFi клиентами и тогда вся схеме заработает.
Можно попробовать следующую схему: настроить WAN на Зикселе, как я писал выше, настроить LAN на Зикселе на подсеть отличную, он вашей локальной подсети на микротике. Воткнуть все это в микротик, убедиться, что инет у WiFi клиентов есть и они видят большинство устройств вашей локальной сети (для этого нужно настраивать маршруты на микротике). Но, опять-таки, если в основной локальной сети есть устройства, которые не имеют в настройках шлюза, то их клиенты WiFi увидеть не смогут. Но ваш Zyxel в таком случае увидит интернет и будет доступен из внешней сети.
Уж извините за длинопост, то я не знаю как еще на пальцах вам объяснить принципы маршрутизации.
Короче, все ваши проблемы решаются с легкостью - заменой Zyxel на микротик. Микротик все умеет и все настраивается двумя строчками...