На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное DigiMania RSS
msm.ru
Страницы: (2) [1] 2  все  ( Перейти к последнему сообщению )  
> помогите настроить проброс портов
имеется сеть 192.168.10.0/24 в нее нельзя другие компы включать...
имеется комп 192.168.1.233(IP к примеру)
имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
wan 192.168.1.1 смотрит в комп 192.168.1.233
в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним и нужен доступ с 192.168.1.233
но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ не может быть получен....
также на 192.168.10.200 поднят https сервер.... Тоже самое....

конфигурация https://ska4ay.com/-bhod
Ни фига не понять. Рисуйте схему (можно квадратиками, реализма не требуется) с указанием всех сегментов, адресов/масок и прочих настроек.
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
Пожалуйста...
Прикреплённый файлПрикреплённый файлlan.pdf (6,59 Кбайт, скачиваний: 39)
Угу. Вам надо ходить сквозь NAT на определённые сервисы определённых узлов.
  • Выясняем, какие протоколы/порты требуются для каждого сервиса в сети 192.168.10.0/24. Например, для HTTPS это очевидно TCP/443, для RAdmin TCP/4899.
  • для каждой группы протокол-адрес-порт в 192.168.10.0/24 выбираем номер внешнего порта на том же протоколе, через который будем общаться с конкретным узлом. Например, для 192.168.10.200:443 можно оставить TCP/443 порт, для 192.168.10.10:4899 соответственно TCP/4899, а, скажем, для какого-то 192.168.10.11:4899 назначим TCP/4900... главное, для каждой внутренней группы протокол/IP:port нужно выделить свой индивидуальный и уникальный порт в рамках протокола, и желательно при этом не попасть в диапазон стандартных и служебных портов.
  • Для каждой группы (протокол - внутренний IP - внутренний порт - уникальный внешний порт) создаём правило проброса портов (Firewall - Port forwarding).
    • Name — название правила, произвольный текст. Лучше давать осмысленное название.
    • Protocol — выбираем нужный протокол. Если не знаете, какой нужен, или нужны оба - выбираем TCP+UDP.
    • External Zone — оставляем wan, ведь запрос к порту будет приходить на него.
    • External port — внешний номер порта, на котором мы хотим видеть переадресованный внутренний ресурс.
    • Internal Zone — оставляем lan.
    • Internal IP address — внутренний IP адрес нашего сервиса или устройства, к которому обеспечиваем доступ.
    • Internal port — внутренний номер порта.

Осталось не забыть добавить/сохранить правило.

Теперь обращаемся к 192.168.1.1 по назначенному внешнему порту, и попадаем на соответствующий сервис в 192.168.10.0/24.
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
ага, вот так:

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option name 'web'
option src_dport '443'
option dest_port '443'
option dest_ip '192.168.10.200'

но при этом, если запросить https://192.168.1.1 c wan, то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233
Цитата point5217 @
то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233

Наверное, да, у тебя ж не srcnat.
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
Цитата Akina @
Цитата point5217 @
то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233

Наверное, да, у тебя ж не srcnat.

Так запрос так и приходит, я его видел Wireshark
это правило следующим за forwarding поможет ?

config redirect
option src wan
option dest lan
option src_ip 192.168.1.233
option src_dip 192.168.10.253
option dest_port 443
option target SNAT
Цитата point5217 @
запрос так и приходит, я его видел Wireshark

Отлично... а на этот запрос сервис-то отвечает? на тот же адрес и тот же порт, с которого пришёл запрос?
Цитата point5217 @
это правило следующим за forwarding поможет ?

Нафига оно может быть нужно?
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
Цитата Akina @
Цитата point5217 @
запрос так и приходит, я его видел Wireshark

Отлично... а на этот запрос сервис-то отвечает? на тот же адрес и тот же порт, с которого пришёл запрос?
Цитата point5217 @
это правило следующим за forwarding поможет ?

Нафига оно может быть нужно?

как 192.168.10.200/24 может ответить на 192.168.1.233/24 ?
Это же разные под сети, по маске....

snat нужен, что-бы заменить адрес отправителя 192.168.1.233 на адрес роутера 192.168.10.253 (ну в теории)
Пока не пробовал, до оборудования нужно идти....
Цитата point5217 @
как 192.168.10.200/24 может ответить на 192.168.1.233/24 ?
Это же разные под сети, по маске....

Ну как бы у 192.168.10.200 должен быть маршрут - либо в подсеть, в которую входит 192.168.1.233, либо дефолтный, через 192.168.10.253. Туда он, в соответствии со своей таблицей маршрутизации, и будет слать ответ.

А у роутера уже проблем нет - у него есть таблица сеансов преобразования, по ней он и сработает.
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
192.168.10.200 ничего не знает про 192.168.1.0/24 , поскольку это lan сеть роутера, 192.168.1.0/24 - это wan сеть роутера
Цитата point5217 @
192.168.10.200 ничего не знает про 192.168.1.0/24

У него default gateway есть? Если нет - добавь 192.168.10.253.
Если есть, и он 192.168.10.253 - всё в порядке, само доедет.
Если есть, но не 192.168.10.253, добавь статический маршрут в 192.168.1.0/24 через 192.168.10.253 на каждый узел, к которому нужен доступ.
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
Цитата Akina @
Цитата point5217 @
192.168.10.200 ничего не знает про 192.168.1.0/24

У него default gateway есть? Если нет - добавь 192.168.10.253.
Если есть, и он 192.168.10.253 - всё в порядке, само доедет.
Если есть, но не 192.168.10.253, добавь статический маршрут в 192.168.1.0/24 через 192.168.10.253 на каждый узел, к которому нужен доступ.

добавляю шлюз 192.168.10.253 - Wireshark обратного пакета не видит...
Цитата point5217 @
Wireshark обратного пакета не видит
А шарк вообще где - на 192.168.10.200 работает?
Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
Есть претензии ко мне как к участнику? да ради бога.
Не нравятся мои ответы? не читайте их.
В общем, берегите себя. Нервные клетки не восстанавливаются.
Цитата Akina @
Цитата point5217 @
Wireshark обратного пакета не видит
А шарк вообще где - на 192.168.10.200 работает?

Да пакеты на 192.168.10.200 на порт 433 от 192.168.1.233 видит
1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
0 пользователей:


Рейтинг@Mail.ru
[ Script Execution time: 0,1269 ]   [ 21 queries used ]   [ Generated: 19.11.19, 22:33 GMT ]