Страница 1 из 2
вход извне на цепочку микротиков
Добавлено: 13 авг 2014, 15:25
vlad-kat
Доброго времени суток!
Почитал форум, но не нашел ответа вот на такой вопрос:
Есть цепочка - роутер - два бублика (мост) -роутер - опять два бублика- роутер
на входящем роутере есть белый айпи и на него я могу зайти винбоксом удаленно, как правильно настроить всю цепочку, чтобы извне можно было войти на любое из устройств?
изнутри всё видно винбоксом
Re: вход извне на цепочку микротиков
Добавлено: 13 авг 2014, 15:55
plin2s
Сделать проброс портов наружу.
Re: вход извне на цепочку микротиков
Добавлено: 13 авг 2014, 16:29
podarok66
Чем войти? Тем же Winbox'ом? Проброс портов рулит. Если входить по ssh, то я бы и не пробрасывал ничего. Зашел на первый роутер, а там команда :
Код: Выделить всё
system ssh user=Vasya_admin XXX.XXX.XXX.XXX
вводите пароль и Вы на нужной железке.
Vasya_admin - логин на нужной железке
XXX.XXX.XXX.XXX - адрес нужной железки
Re: вход извне на цепочку микротиков
Добавлено: 13 авг 2014, 23:47
vlad-kat
SSH запрещен на всех железках, иначе желающих подобрать пароль - уууууууууу
решил таким путем
chain=dstnat action=dst-nat to-addresses=192.168.1.211 to-ports=8291
protocol=tcp dst-port=8211
chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=8291
protocol=tcp dst-port=8200
и так далее по цепочке,
то есть каждой железке назначил проброс, ну и естественно, обратно
chain=srcnat action=src-nat to-addresses=192.168.1.2 protocol=tcp
всем спасибо)
Re: вход извне на цепочку микротиков
Добавлено: 13 авг 2014, 23:49
vlad-kat
podarok66 писал(а):вводите пароль и Вы на нужной железке.
Vasya_admin - логин на нужной железке
XXX.XXX.XXX.XXX - адрес нужной железки
а пароль сразу нельзя?
Re: вход извне на цепочку микротиков
Добавлено: 14 авг 2014, 01:12
podarok66
vlad-kat писал(а):SSH запрещен на всех железках, иначе желающих подобрать пароль - уууууууууу
Нормальная пара логин-пароль обычно стойко держит этих школяров. (Ну только тупой школяр может день за днем подбирать пароль к роутеру, давая логином только root. У меня его банит автоматом на сутки, когда бан заканчивается , школота возвращается. А услуги мастера взлома стоят значительных сумм, обычно проще купить пароль у админа
или его окружения.)
vlad-kat писал(а):а пароль сразу нельзя?
По-моему нельзя, у меня не получалось...
Re: вход извне на цепочку микротиков
Добавлено: 14 авг 2014, 01:38
Dragon_Knight
VPN туннель и по верх него подключайтесь к чему угодно...
Re: вход извне на цепочку микротиков
Добавлено: 14 авг 2014, 02:23
vlad-kat
Dragon_Knight писал(а):VPN туннель и по верх него подключайтесь к чему угодно...
с этим чегой-то никак, поднял, поднимается, но остальные железки даже не пингуются
есть еще одна цепочка, но там за входом есть сервак, на него по ВПН захожу и всё нормально
Re: вход извне на цепочку микротиков
Добавлено: 14 авг 2014, 03:37
Dragon_Knight
Маршруты проверяйте...
Re: вход извне на цепочку микротиков
Добавлено: 14 авг 2014, 12:32
plin2s
В качестве отдельной "защиты" от открытых портов наружу можно сделать port knock.
Вот была хорошая ссылка, но теперь есть только в гугле. Пожалуй перенесу ее в faq.
http://webcache.googleusercontent.com/s ... ent=ubuntu