Двойной проброс портов

Обсуждение оборудования и его настройки
Ответить
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Добрый день.
Имеется такая схема сети:

Изображение

Необходимо попасть Winbox (например) Mikrotik RB и Groove

На CCR создал следующие правила:

Код: Выделить всё

action=netmap chain=dstnat comment="To Router" dst-port=8292 \
    in-interface=combo1 protocol=tcp to-addresses=172.16.1.11 to-ports=8291
action=netmap chain=dstnat comment="To AP" dst-port=8293 \
    in-interface=combo1 protocol=tcp to-addresses=172.16.1.11 to-ports=8294
На RB:

Код: Выделить всё

action=dst-nat chain=dstnat dst-port=8294 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.88.252 to-ports=8291
В результате, на RB попадает, на Groove - нет.

Подскажите, как добраться до Groove


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если с CCR все микротики видны, то есть маршруты все прописаны, то для таких целей придумали Romon. Вы подключаетесь к CCR в режиме Romon, а дальше видите все свои микротики.

https://wiki.mikrotik.com/wiki/Manual:RoMON


BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Спасибо. Попробую.
Но мне еще веб интерфейс регистратора пробросить надо. Пробрасываю аналогично - результат, соответственно такой же - нет доступа


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

С пробросами в рамках форума трудно помочь. В идеале, если все сети смаршрутизированы, а NAT только на первом микротике - то проброс только на нем делается. Если NATов несколько, то на каждом микротике за NAT нужно делать проброс. При этом, недоступность может оказаться вовсе не из-за порт маппинга, а, например, из-за того, что пакет до клиента стал очень большим (MTU) и он просто не пролазит.

Правильные производители регистраторов, понимая все эти сложности, подняли у себя облачные сервисы и плевали на порты. Разве у вашего регистратора этого нет?

Помните, что у вас еще могут быт включенные правила фаерволла на всех микротиках, которые могут блокировать доступ, mangle, которые заруливают трафик "куда-то не туда", специфические route и так далее...

А еще, возможно, для успешного проброса нужно подменить адрес источника...
Последний раз редактировалось gmx 24 май 2018, 10:40, всего редактировалось 1 раз.


BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Насколько я разобрался - нет


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

??? 21 век на дворе, где вы его взяли? Поменять срочно.


BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

gmx писал(а): 24 май 2018, 10:10 для таких целей придумали Romon
Спасибо. Отличный инструмент. Пол дела сделано


BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

gmx писал(а): 24 май 2018, 10:41 Поменять срочно.
А вот менять нет возможности - так что надо только пробрасывать порт


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В некоторых сетях это вообще невозможно...
Надо менять регистратор, дабы избежать геморроя в будущем.


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

На счет проброса winbox - в фаерволе порт 8291 открыт на RB951 по форварду?
На счет проброса портов видеорега - помимо стандартного 80 порта ,нужно пробрасывать еще и media-порт, по которому непосредственно сам видеопоток идет. Читать ман по регу нужно на счет портов, и/или становиться торчем и смотреть по каким портам еще что передается, соответственно выловив их пробрасывать.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Ответить