Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Mikrotik - Przekierowanie portów przez router na localhosta

ww.bielsko 21 Oct 2009 01:23 8637 10
Telkom Telmor
  • #1
    ww.bielsko
    Level 17  
    Witam,
    Walcze już z tym kolejny dzień.
    Sytuacja wygląda tak:

    WAN------IP:1.2.3.4-[MT]-IP:192.168.1.1-----IP:192.168.1.254-[Linksys WRT54GC]-192.168.0.1-------192.168.0.101-[Localhost na PC]

    czyli:
    - jest publiczne IP
    - MT na wejściu
    - zaraz za nim router Linksysa
    - na końcu LAN z komputerkiem, który usiłuje przekierować na publiczny adres

    Przewertowałem wszystkie manuale dot. konfiguracji MT, ale każda próba ustawienia przekierowania na router, a następnie na z routera na komp. kończy się tym, że ze świata widać panel dostępowy do MT :(

    Czy ktoś umie rozwiązać łamigłówkę ???

    pozdr
  • Telkom Telmor
  • Helpful post
    #2
    mr_grabarz
    Level 20  
    panel dostępowy do MT? czyli co stronę WWW? jeśli o to ci chodzi to możesz w firewalu dodać regułkę na łańcuch add chain=input dst-address=1.2.3.4 dst-port=80 protocol=tcp action=drop

    co do przekierowania portów na MT
    add chain=srcnat action=src-nat dst-address=1.2.3.4 dst-port=0-65535 to-addresses=192.168.1.254 to-ports=0-65535
    to przekieruje wszystkie porty na router

    add chain=dstnat dst-address=1.2.3.4 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.254 to-ports=80

    przekieruje sam port 80

    oczywiście na firewallu musisz mieć odblokowany dany port :)
  • Telkom Telmor
  • #3
    ww.bielsko
    Level 17  
    Witam,
    Dzięki za odpowiedź.
    Wprowadziłem oba zaklęcia, ale naprawde nie ma bata zrobić cokolwiek, próbowałem już karkołomnych operacji wcześniej, dlatego napisałem na forum po pomoc.

    /ip firewall filter
    add chain=srcnat action=src-nat dst-address=1.2.3.4 dst-port=0-65535 to-addresses=192.168.1.254 to-ports=0-65535

    /ip firewall nat
    add chain=srcnat action=src-nat dst-address=1.2.3.4 protocol=tcp dst-port=0-65535 to-addresses=192.168.1.254 to-ports=0-65535 disabled=no

    Nic nie działa. Każdorazowo wyświetla się panel logowania www mikrotika.
    MT jest w wersji 3.10.

    Próbowałem różnych operacji np.:
    przydzielanie%20zewnetrznegoadresu%20ip%20komputeron%20w%20sieci%20lan.pdf
    lub opcji z wiki mikrotik:
    Przekierowanie_IP_publicznego_na_IP_wewnętrzne
    Z formułki i ręcznie.
    Na routerze mam włączoną odpowiedź na anonimowe rządania WAN, a na mikrotiku sprawdzając pingi do 192.168.1.252 (czyli routera przedzielonego z dhcp mikrotika) odpowiedzi są ok.
    Rozumiem, że jeśli nawet nie przekierowanie do IP za routerem to powinno wyświetlić się okienko logowania do routera, a nie www login mikrotika.

    Próbowałem włączyć DMZ na routerze + regułka z pdfa , ale wtedy sytuacja wygląda tak, że wpisując 1.2.3.4 w sieci LAN przekierowuje mnie na localhosta, któego chce, ale sprawdzając z internetu (np.: przez stronę anonymouse.org lub ktoś sprawdza) dostaje zawsze logowania do mikrotika przez www.

    Kurde sam już nie wiem.
  • Helpful post
    #4
    mr_grabarz
    Level 20  
    podaj mi:
    /ip address print
    /ip firewall filter print
    /ip firewall nat print


    jaki dokładnie
    MikroTik? coś na routerbordzie (jak tak to jakim?) czy na kompie? (jak tak to ile kart sieciowych)

    to podam ci gotowe regułki do wklejenia

    a co do tego panela, to
    /ip service disable www

    bo chyba to masz na myśli pod słowem "panel"
  • Helpful post
    #5
    szwagros
    Level 33  
    Powinieneś użyć dst-nat a nie src-nat.
  • #6
    ww.bielsko
    Level 17  
    To jest EasyBridge 5G-19D LITE ma RB 411 LEVEL 3 z kartą ATHEROS WMIA 166AG.
    http://www.technologic.pl/index.php?option=com_virtuemart&page=shop.browse&category_id=17&Itemid=29
    To antenka z mikrotikiem na pokładzie do mojego ISP.

    [admin@MT-2684] >> /ip address print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 192.168.1.1/24 192.168.1.0 192.168.1.255 LAN
    1 192.168.106.17/26 192.168.106.0 192.168.106.63 wlan1

    [admin@MT-2684] > /ip firewall filter print
    Flags: X - disabled, I - invalid, D - dynamic

    [admin@MT-2684] > /ip firewall nat print
    Flags: X - disabled, I - invalid, D - dynamic
    0 chain=srcnat action=masquerade out-interface=wlan1


    Może dostanie gotowych regułek jest ekstra ponieważ zadziała, ja jednak wolał bym dowiedzieć się dlaczego ??? Może na tej platformie się nie da puścić dalej, ja osobiście pare lat temu na ios cisco działałem, a tu mikrotiki jakieś, kurde.

    Próbowałem obie opcje:
    DST
    SRC
    wg opisu opcji NAT na wiki mikrotik,
    ale lipton.
  • Helpful post
    #7
    mr_grabarz
    Level 20  
    szwagros wrote:
    Powinieneś użyć dst-nat a nie src-nat.
    true, true, mój babol :(

    /ip firewall nat add chain=dstnat action=dst-nat dst-address=192.168.106.17 dst-port=0-65535 to-addresses=192.168.1.254 to-ports=0-65535 protocol=tcp

    opcjonalnie, ale raczej nie powinno być potrzeby
    /ip firewall filter add chain=forward dst-address=192.168.1.254 action=accept protocol=tcp

    za to MikroTik robi przekierowanie na LinkSys-a Twojego, tylko że na port WAN, nie wiem czy masz na nim włączone logowanie przez WAN

    żeby wyłączyć serwer WWW na MikroTiku
    /ip service disable www
  • #8
    ww.bielsko
    Level 17  
    Wyświetla failure: ports can be specified if proto is tcp or udp
    ale zrobię mu TCP

    Inaczej jeszcze ten adres 192.168.106.17 jest przypisany w LAN (MAN) mojego ISP, a chodzi o przekierowanie adresu nad tym IP jest jeszcze zewnętrzny 1.2.3.4, po wklepaniu powyższego nie routuje do 1.2.3.4 w ogóle, trasa się zgubiła.

    czyli:
    WAN ---- 1.2.3.4 ------[ISP]-----192.168.106.17-----[MT]--192.168.1.1-----192.168.1.252--[ROUTER]---192.168.0.1---------192.168.0.101-[HOST docelowy]

    ??? i dalej pozostaje znak zapytania

    OK. Możliwości Services już rozumiem :)
  • Helpful post
    #9
    mr_grabarz
    Level 20  
    ww.bielsko wrote:
    Wyświetla failure: ports can be specified if proto is tcp or udp
    ale zrobię mu TCP


    nie zdążyłem :D

    kliknij do mnie na GG będzie łatiwej

    ww.bielsko wrote:

    czyli:
    WAN ---- 1.2.3.4 ------[ISP]-----192.168.106.17-----[MT]--192.168.1.1-----192.168.1.252--[ROUTER]---192.168.0.1---------192.168.0.101-[HOST docelowy]

    ??? i dalej pozostaje znak zapytania

    OK. Możliwości Services już rozumiem :)



    no to podmień w tej regułce z 192.168.106.17 na 1.2.3.4, chociaż adres IP 1.2.3.4 nie wygląda na "ludzki", owszem prawidłowy, no ale...
    jesteś go pewien?
  • #10
    ww.bielsko
    Level 17  
    Nie to tylko przykładowy :)
    Mam akurat na klasie A: 88.199.144.172
    punknij sprawdzisz,
    na routerze Remote Management = enabled
    pakiety na pingu teraz kończą się pewnie na mikrotiku i bez odpowiedzi,
    ten mikrotik jest jak czarna dziura, powinni go przebadać w cern
  • Helpful post
    #11
    mr_grabarz
    Level 20  
    problem rozwiązany przez GG problemem był zew. IP od ISP