На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное DigiMania RSS
msm.ru
Страницы: (2) [1] 2  все  ( Перейти к последнему сообщению )  
> помогите настроить проброс портов
    имеется сеть 192.168.10.0/24 в нее нельзя другие компы включать...
    имеется комп 192.168.1.233(IP к примеру)
    имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
    wan 192.168.1.1 смотрит в комп 192.168.1.233
    в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним и нужен доступ с 192.168.1.233
    но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ не может быть получен....
    также на 192.168.10.200 поднят https сервер.... Тоже самое....

    конфигурация https://ska4ay.com/-bhod
      Ни фига не понять. Рисуйте схему (можно квадратиками, реализма не требуется) с указанием всех сегментов, адресов/масок и прочих настроек.
      Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
      Есть претензии ко мне как к участнику? да ради бога.
      Не нравятся мои ответы? не читайте их.
      В общем, берегите себя. Нервные клетки не восстанавливаются.
        Пожалуйста...
        Прикреплённый файлПрикреплённый файлlan.pdf (6,59 Кбайт, скачиваний: 39)
          Угу. Вам надо ходить сквозь NAT на определённые сервисы определённых узлов.
          • Выясняем, какие протоколы/порты требуются для каждого сервиса в сети 192.168.10.0/24. Например, для HTTPS это очевидно TCP/443, для RAdmin TCP/4899.
          • для каждой группы протокол-адрес-порт в 192.168.10.0/24 выбираем номер внешнего порта на том же протоколе, через который будем общаться с конкретным узлом. Например, для 192.168.10.200:443 можно оставить TCP/443 порт, для 192.168.10.10:4899 соответственно TCP/4899, а, скажем, для какого-то 192.168.10.11:4899 назначим TCP/4900... главное, для каждой внутренней группы протокол/IP:port нужно выделить свой индивидуальный и уникальный порт в рамках протокола, и желательно при этом не попасть в диапазон стандартных и служебных портов.
          • Для каждой группы (протокол - внутренний IP - внутренний порт - уникальный внешний порт) создаём правило проброса портов (Firewall - Port forwarding).
            • Name — название правила, произвольный текст. Лучше давать осмысленное название.
            • Protocol — выбираем нужный протокол. Если не знаете, какой нужен, или нужны оба - выбираем TCP+UDP.
            • External Zone — оставляем wan, ведь запрос к порту будет приходить на него.
            • External port — внешний номер порта, на котором мы хотим видеть переадресованный внутренний ресурс.
            • Internal Zone — оставляем lan.
            • Internal IP address — внутренний IP адрес нашего сервиса или устройства, к которому обеспечиваем доступ.
            • Internal port — внутренний номер порта.

          Осталось не забыть добавить/сохранить правило.

          Теперь обращаемся к 192.168.1.1 по назначенному внешнему порту, и попадаем на соответствующий сервис в 192.168.10.0/24.
          Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
          Есть претензии ко мне как к участнику? да ради бога.
          Не нравятся мои ответы? не читайте их.
          В общем, берегите себя. Нервные клетки не восстанавливаются.
            ага, вот так:

            config redirect
            option target 'DNAT'
            option src 'wan'
            option dest 'lan'
            option proto 'tcp'
            option name 'web'
            option src_dport '443'
            option dest_port '443'
            option dest_ip '192.168.10.200'

            но при этом, если запросить https://192.168.1.1 c wan, то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233
              Цитата point5217 @
              то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233

              Наверное, да, у тебя ж не srcnat.
              Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
              Есть претензии ко мне как к участнику? да ради бога.
              Не нравятся мои ответы? не читайте их.
              В общем, берегите себя. Нервные клетки не восстанавливаются.
                Цитата Akina @
                Цитата point5217 @
                то на lan 192.168.10.200 на порт 443 придет запрос с ip 192.168.1.233

                Наверное, да, у тебя ж не srcnat.

                Так запрос так и приходит, я его видел Wireshark
                это правило следующим за forwarding поможет ?

                config redirect
                option src wan
                option dest lan
                option src_ip 192.168.1.233
                option src_dip 192.168.10.253
                option dest_port 443
                option target SNAT
                  Цитата point5217 @
                  запрос так и приходит, я его видел Wireshark

                  Отлично... а на этот запрос сервис-то отвечает? на тот же адрес и тот же порт, с которого пришёл запрос?
                  Цитата point5217 @
                  это правило следующим за forwarding поможет ?

                  Нафига оно может быть нужно?
                  Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
                  Есть претензии ко мне как к участнику? да ради бога.
                  Не нравятся мои ответы? не читайте их.
                  В общем, берегите себя. Нервные клетки не восстанавливаются.
                    Цитата Akina @
                    Цитата point5217 @
                    запрос так и приходит, я его видел Wireshark

                    Отлично... а на этот запрос сервис-то отвечает? на тот же адрес и тот же порт, с которого пришёл запрос?
                    Цитата point5217 @
                    это правило следующим за forwarding поможет ?

                    Нафига оно может быть нужно?

                    как 192.168.10.200/24 может ответить на 192.168.1.233/24 ?
                    Это же разные под сети, по маске....

                    snat нужен, что-бы заменить адрес отправителя 192.168.1.233 на адрес роутера 192.168.10.253 (ну в теории)
                    Пока не пробовал, до оборудования нужно идти....
                      Цитата point5217 @
                      как 192.168.10.200/24 может ответить на 192.168.1.233/24 ?
                      Это же разные под сети, по маске....

                      Ну как бы у 192.168.10.200 должен быть маршрут - либо в подсеть, в которую входит 192.168.1.233, либо дефолтный, через 192.168.10.253. Туда он, в соответствии со своей таблицей маршрутизации, и будет слать ответ.

                      А у роутера уже проблем нет - у него есть таблица сеансов преобразования, по ней он и сработает.
                      Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
                      Есть претензии ко мне как к участнику? да ради бога.
                      Не нравятся мои ответы? не читайте их.
                      В общем, берегите себя. Нервные клетки не восстанавливаются.
                        192.168.10.200 ничего не знает про 192.168.1.0/24 , поскольку это lan сеть роутера, 192.168.1.0/24 - это wan сеть роутера
                          Цитата point5217 @
                          192.168.10.200 ничего не знает про 192.168.1.0/24

                          У него default gateway есть? Если нет - добавь 192.168.10.253.
                          Если есть, и он 192.168.10.253 - всё в порядке, само доедет.
                          Если есть, но не 192.168.10.253, добавь статический маршрут в 192.168.1.0/24 через 192.168.10.253 на каждый узел, к которому нужен доступ.
                          Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
                          Есть претензии ко мне как к участнику? да ради бога.
                          Не нравятся мои ответы? не читайте их.
                          В общем, берегите себя. Нервные клетки не восстанавливаются.
                            Цитата Akina @
                            Цитата point5217 @
                            192.168.10.200 ничего не знает про 192.168.1.0/24

                            У него default gateway есть? Если нет - добавь 192.168.10.253.
                            Если есть, и он 192.168.10.253 - всё в порядке, само доедет.
                            Если есть, но не 192.168.10.253, добавь статический маршрут в 192.168.1.0/24 через 192.168.10.253 на каждый узел, к которому нужен доступ.

                            добавляю шлюз 192.168.10.253 - Wireshark обратного пакета не видит...
                              Цитата point5217 @
                              Wireshark обратного пакета не видит
                              А шарк вообще где - на 192.168.10.200 работает?
                              Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
                              Есть претензии ко мне как к участнику? да ради бога.
                              Не нравятся мои ответы? не читайте их.
                              В общем, берегите себя. Нервные клетки не восстанавливаются.
                                Цитата Akina @
                                Цитата point5217 @
                                Wireshark обратного пакета не видит
                                А шарк вообще где - на 192.168.10.200 работает?

                                Да пакеты на 192.168.10.200 на порт 433 от 192.168.1.233 видит
                                1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
                                0 пользователей:


                                Рейтинг@Mail.ru
                                [ Script Execution time: 0,1177 ]   [ 16 queries used ]   [ Generated: 22.11.19, 02:42 GMT ]