доступ на микротик из вне

Обсуждение оборудования и его настройки
chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

день добрый. помогите разобраться.
есть YOTA со статическим IP адресом - х.х.х.х
интерфейс LTE на микротик получает адрес 10.0.0.10 от модема по DHCP
адрес самого модема YOTA 10.0.0.1
IP адрес самого микротик 172.16.6.1
вопрос в следующем - как долучить доступ к микротик через статический внешний IP адрес??
когда пытаюсь подключиться то в ip\firewall\connections вижу свое подключение, но на адрес 10.0.0.10 и на сам микротик оно не пробрасывается, такое ощущение, что нет маршрута между внутренним адресом модема и микротик.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

между модемом yota и мтиком уже по умолчанию есть маршрутизация, они же оба в одной сети, т.е. по умолчанию создан маршрут как только вы прописали на их интерфейсах адреса. единственное, это будет работать, если будете обращаться на адрес 10.0.0.10, если будете обращаться к 172.16.0.1, то тут да, надо прописать на йопте маршрут к сети 172.16.0.0/24 via 10.0.0.10

Код: Выделить всё

 ip\firewall\connections

а это вы на мтике видите? т.е. на самом модеме вы настроили проброс порта? как вы его задали? покажите настройки.
а в фаерволе микротика есть какие то ограничения\разрешения?


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

да, подключение вижу на самом микротике.
сам модем не настраивается, залочен производителем. но если я втыкаю его в комп и подключаюсь по внешнему адресу например терминалом, то 3389 пробрасывается. получается, что модем по умолчанию через себя пропускает все. почему только винбокс или http не открывается по адресу 10.0.0.10??
в фаерволе все правила отключены.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

А в /ip services нет ограничений на сети, с которых предоставляется доступ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Маршруты выложите ваши


Есть интересная задача и бюджет? http://mikrotik.site
chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

в service выключен api и www-ssl по умолчанию.
маршруты
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;;
0.0.0.0/0 Port2 1
1 S 0.0.0.0/0 USB 2
2 ADC 10.0.0.0/24 10.0.0.10 USB 0
3 ADC 172.16.6.0/24 172.16.6.1 Port3 0
4 ADC 255.255.255.252/32 <IP адрес другого провайдера> Port2 0


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

chek_ писал(а):в service выключен api и www-ssl по умолчанию.
маршруты
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;;
0.0.0.0/0 Port2 1
1 S 0.0.0.0/0 USB 2
2 ADC 10.0.0.0/24 10.0.0.10 USB 0
3 ADC 172.16.6.0/24 172.16.6.1 Port3 0
4 ADC 255.255.255.252/32 <IP адрес другого провайдера> Port2 0

а, ну тогда понятно. у вас прилетает через йопту, а улетает через порт2, ибо у него дистанс меньше (пакеты ведь не src-nat'ит йтовский свисток). ищите тут на форуме, или по просторам, как сделать так, чтобы улетало через тот же интерфейс, что и прилетает.


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

в mangl у меня сделана метка пакетов. и если я отключаю первое правило, то доступ на yota все равно не появляется, хотя инет начинает ходить через нее.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

И чего вы дальше с этими помеченными пакетами делаете?


Есть интересная задача и бюджет? http://mikrotik.site
chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

ничего. просто пакеты через какой интерфейс приходят через тот же и уходят. в роутах или фаерволе эти данные не используются.


Ответить