В последних версиях Mikrotik RouterOS добавили функцию Cloud, роутер получает имя типа Cloud 10f74as749859xx.sn.mynetname.net но служба вроде не доработана или я что-то не так настроил. У меня серый IP который меняется каждый раз как я перегружаю роутер, а то и чаще, до этого у меня был роутер ASUS и Keenetic, та включается эта служба и войти на них я могу с любой точки без проблем, но с MikroTik RB951Ui-2HnD это не так. Что я делаю не так ?
В службах IP-Cloud-стоят галки enable и update time, вижу publik adress и dns name но зайти на них не могу. Внизу примечание Router is behind a NAT. Remote connection might not work.
Mikrotik RouterOS новая функция Cloud
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
1, не заходит потому, что нужен белый ип для клауда
2. принцип работы клауда микротика и сервисов у асуса совсем разный, потому и не судьба
2. принцип работы клауда микротика и сервисов у асуса совсем разный, потому и не судьба
- sonic2006
- Сообщения: 14
- Зарегистрирован: 24 авг 2016, 21:45
Вот сейчас подключил Keenetic Viva, у него есть пункт KeenDNS (Сервис KeenDNS позволяет использовать доменное имя для подключения к интернет-центру и серверам в вашей сети из Интернета.
В режиме «Через облако» вы сможете получить доступ только по протоколу HTTP, но даже в том случае, если провайдер выдает вам серый IP-адрес, недоступный из Интернета.
Чтобы иметь возможность обращаться к устройствам в домашней сети по любому протоколу, используйте режим «Прямой доступ», если такой доступ не ограничен в сети вашего провайдера.) - получаем адрес, все работает без проблем и довольно быстро.
Как такое настроить на Mikrotik ?
В режиме «Через облако» вы сможете получить доступ только по протоколу HTTP, но даже в том случае, если провайдер выдает вам серый IP-адрес, недоступный из Интернета.
Чтобы иметь возможность обращаться к устройствам в домашней сети по любому протоколу, используйте режим «Прямой доступ», если такой доступ не ограничен в сети вашего провайдера.) - получаем адрес, все работает без проблем и довольно быстро.
Как такое настроить на Mikrotik ?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вам же подсказали, что службы DynDNS (это аббревиатура мне больше нравиться) у разных
производителей разные и устроены и работают по-разному в целом.
У Кинетик судя по всему эта функция реализовано иначе и при подключении роутера
в Интернет, роутер инициирует какое-то соединение с облаком Кинетик, а уже
облако при запросе нужного роутера внутри этого канала позволяет обратиться на роутер.
У микротика своя функция(иная), она позволяет обратиться(попасть) на роутер всегда,
когда у роутера сменяется постоянно/регулярно внешний реальный адрес.
Если адрес подключения не Внешний, от данной функции мало пользы,
поэтому у Вас внизу и было предупреждение (на английском, что Вы находитесь за NAT'ом).
В Вашем случаи,
если Вам нужен доступ на микротик с внешнего мира, то единственные варианты:
а) это купить аренду реального адреса, то есть за 20-40руб или за 100-150руб
Вам провайдер будет выдавать реальный динамический/постоянный адрес.
Правда сразу Вам напомню, файрвол Вам нужно будет сразу уже настроить заблаговременно,
иначе атаки (со стороны Китайцев) сразу увидите в кол-ве пару сотен в 10-20 сек.
б) второй вариант, сложнее, если провайдер не даёт/не имеет возможности выдачи адреса,
то можно инициировать со стороны роутера соединяться куда-то (на тот адрес/сервер естественно
у которого есть уже реальный адрес) и уже с того объекта/сервера заходить по этому установленному
каналу на роутер.
производителей разные и устроены и работают по-разному в целом.
У Кинетик судя по всему эта функция реализовано иначе и при подключении роутера
в Интернет, роутер инициирует какое-то соединение с облаком Кинетик, а уже
облако при запросе нужного роутера внутри этого канала позволяет обратиться на роутер.
У микротика своя функция(иная), она позволяет обратиться(попасть) на роутер всегда,
когда у роутера сменяется постоянно/регулярно внешний реальный адрес.
Если адрес подключения не Внешний, от данной функции мало пользы,
поэтому у Вас внизу и было предупреждение (на английском, что Вы находитесь за NAT'ом).
В Вашем случаи,
если Вам нужен доступ на микротик с внешнего мира, то единственные варианты:
а) это купить аренду реального адреса, то есть за 20-40руб или за 100-150руб
Вам провайдер будет выдавать реальный динамический/постоянный адрес.
Правда сразу Вам напомню, файрвол Вам нужно будет сразу уже настроить заблаговременно,
иначе атаки (со стороны Китайцев) сразу увидите в кол-ве пару сотен в 10-20 сек.
б) второй вариант, сложнее, если провайдер не даёт/не имеет возможности выдачи адреса,
то можно инициировать со стороны роутера соединяться куда-то (на тот адрес/сервер естественно
у которого есть уже реальный адрес) и уже с того объекта/сервера заходить по этому установленному
каналу на роутер.
-
- Сообщения: 1
- Зарегистрирован: 10 сен 2019, 10:35
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
А чего не показали что прошивка свежая и как идут запросы?
1) перезагрузите роутер
2) отключить все-все правила в первой закладке (Filter Rules)
3) WinBox "свежий" стоит? (обновите).
P.S.
(по скрину как будто Вин7 или даже ВинХР)
-
- Сообщения: 11
- Зарегистрирован: 13 окт 2019, 19:21
Всём доброго времени суток. Дабы не плодить новых тем напишу тут.
Роутер hAP ac^2, прошивка 6.45.6 (stable), пров Билайн.
Вторые сутки уже бьюсь с этим Cloud и попыткой пробросить порты для IP камеры, но всё тщетно..Помогите пожалуйста
Включаю Cloud , получаю адрес, но зайти на него с телефона не могу...
IP в L2TP и 2ip.ru совпадает, по сути получается белый динамический...
Так же пытаюсь зайти на IP камеру (в настройках камеры порт 8999 задан), тоже безрезультатно....(
Вот выдержка из бекапа:
Роутер hAP ac^2, прошивка 6.45.6 (stable), пров Билайн.
Вторые сутки уже бьюсь с этим Cloud и попыткой пробросить порты для IP камеры, но всё тщетно..Помогите пожалуйста
Включаю Cloud , получаю адрес, но зайти на него с телефона не могу...
IP в L2TP и 2ip.ru совпадает, по сути получается белый динамический...
Так же пытаюсь зайти на IP камеру (в настройках камеры порт 8999 задан), тоже безрезультатно....(
Вот выдержка из бекапа:
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) SSH на роутере Вы не отключили, посмотрите по логам, атаки (попытки) входа на роутер по SSH есть?SPAX писал(а): ↑13 окт 2019, 23:40 Вторые сутки уже бьюсь с этим Cloud и попыткой пробросить порты для IP камеры, но всё тщетно..Помогите пожалуйста
Включаю Cloud , получаю адрес, но зайти на него с телефона не могу...
IP в L2TP и 2ip.ru совпадает, по сути получается белый динамический...
Так же пытаюсь зайти на IP камеру (в настройках камеры порт 8999 задан), тоже безрезультатно....(
(красным должно быть и их должно быть не мало)
Это простой способ = если атак нету, значит Вас что-то прикрывает.
1.1) Оставляете как есть, отключаете в файрволе, в закладке Filter Rules = ВСЕ!!!! правила на 2-3 минуты
и опять, пукт 1 - смотрите есть атаки по SSH
Если появились, значит какие-то правила у Вас ограничивают доступ, а так как Вы используете
пре-заводские настройки, то скорее всего это так и есть.
1.2) можете телнет и фтп включит на 2-10 минут на роутере, обычно их ой как любят атаковать.
2) У Вас правила проброса имеют нулевой счётчик сработки = грубо говоря до данных правил пакет не дошёл.
Проверять надо всё.
2.1) У Вас L2TP подключение это как раз и есть внешнее подключение, а у Вас по пре-заводскому конфигу,
лишь порт1 описан в переменной как WAN, добавьте ещё и L2TP также в переменную WAN
3) Ну и не совсем ясно с arp записью для камеры? Понятно что Вы руками так делали,
запись руками добавили, а толку, если ограничения на бридже не стоят.
Я бы убрал это всё, заставил получить камере адрес автоматически, и уже увидев
в закладке аренды адресов DHCP (Leases) там камеру, дал её уже нужный адрес, который
она будет и получать в будущем постоянно (совет лишь).
3.1) Также надо более детально настроить DHCP, а именно в настройках DHCP поставить,
чтобы он сам создавал ARP запись по каждому клиенту, и тогда будет более правильно.
3.2) также надо настроить чтобы DHCP отдавал DNS'ы клиентам.
4) Я не вижу у Вас по-умолчанию маршрута в Интернет, либо Вы делали конфиг когда
подключение по L2TP было не активно, либо что-то ещё. Если нет шлюза
в Интернет, ничего работать не будет.
5) Проброс проверяется ОБЯЗАТЕЛЬНО с чужого канала, не с этого канала.
5.1) Камера локально на порту 8999 - работает и доступно (надеюсь) ????
P.S.
Я так понял, Вы ориентируетесь в микротике, если это так,
сносите все заводские настройки, и на чистом роутере руками за 15 минут
настраивайте и у Вас всё заработает. БОЛЬШЕ потеряете время на изучение проблем.
P.P.S.
На 2ip.ru есть тест открытости порта, делали/проверяли ???
-
- Сообщения: 11
- Зарегистрирован: 13 окт 2019, 19:21
Vlad-2
Спасибо!
Начну с конца, в МТ особо не разбираюсь) так, на троечку если только))
1. По логам чисто, на 2ip показывало, что всё закрыто. SSH отрубил сейчас.
1.1. Отключил всё, пустило!
2.1 добавил
3. сделал
3.1 Правильно понимаю, что надо в DHCP Server галочку поставить на Add ARP for Leases?
3.2 не знаю как это.
4. Да, видел в DHCP Client, что нет шлюза...хотя в Route листе всё прописано... Делал все настройки опираясь на несколько мануалов...до этого дела с МТ не имел вообще))
5, 5.1 конечно! ))
Сейчас исход такой, сделал 2.1 и 3 и теперь пускает на камеру по клоуд адресу + порт! Но на сам МТ не пускает (на 2ip пишет порт 80 и 8291 закрыты)...
Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?
Спасибо!
Начну с конца, в МТ особо не разбираюсь) так, на троечку если только))
1. По логам чисто, на 2ip показывало, что всё закрыто. SSH отрубил сейчас.
1.1. Отключил всё, пустило!
2.1 добавил
3. сделал
3.1 Правильно понимаю, что надо в DHCP Server галочку поставить на Add ARP for Leases?
3.2 не знаю как это.
4. Да, видел в DHCP Client, что нет шлюза...хотя в Route листе всё прописано... Делал все настройки опираясь на несколько мануалов...до этого дела с МТ не имел вообще))
5, 5.1 конечно! ))
Сейчас исход такой, сделал 2.1 и 3 и теперь пускает на камеру по клоуд адресу + порт! Но на сам МТ не пускает (на 2ip пишет порт 80 и 8291 закрыты)...
Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Варианты, от плохого к хорошему по надежности:
1) Оставить как есть, только поменять номера портов на какие-нибудь нестандартные.
2) Реализовать схему с port-knocking.
И единственный действительно надежный вариант:
3) Ходить по впн.
Telegram: @thexvo