Доброго времени суток!
Почитал форум, но не нашел ответа вот на такой вопрос:
Есть цепочка - роутер - два бублика (мост) -роутер - опять два бублика- роутер
на входящем роутере есть белый айпи и на него я могу зайти винбоксом удаленно, как правильно настроить всю цепочку, чтобы извне можно было войти на любое из устройств?
изнутри всё видно винбоксом
вход извне на цепочку микротиков
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
plin2s
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Сделать проброс портов наружу.
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Чем войти? Тем же Winbox'ом? Проброс портов рулит. Если входить по ssh, то я бы и не пробрасывал ничего. Зашел на первый роутер, а там команда :
вводите пароль и Вы на нужной железке.
Vasya_admin - логин на нужной железке
XXX.XXX.XXX.XXX - адрес нужной железки
Код: Выделить всё
system ssh user=Vasya_admin XXX.XXX.XXX.XXXвводите пароль и Вы на нужной железке.
Vasya_admin - логин на нужной железке
XXX.XXX.XXX.XXX - адрес нужной железки
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
vlad-kat
- Сообщения: 0
- Зарегистрирован: 13 авг 2014, 15:17
SSH запрещен на всех железках, иначе желающих подобрать пароль - уууууууууу
решил таким путем
chain=dstnat action=dst-nat to-addresses=192.168.1.211 to-ports=8291
protocol=tcp dst-port=8211
chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=8291
protocol=tcp dst-port=8200
и так далее по цепочке,
то есть каждой железке назначил проброс, ну и естественно, обратно
chain=srcnat action=src-nat to-addresses=192.168.1.2 protocol=tcp
всем спасибо)
решил таким путем
chain=dstnat action=dst-nat to-addresses=192.168.1.211 to-ports=8291
protocol=tcp dst-port=8211
chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=8291
protocol=tcp dst-port=8200
и так далее по цепочке,
то есть каждой железке назначил проброс, ну и естественно, обратно
chain=srcnat action=src-nat to-addresses=192.168.1.2 protocol=tcp
всем спасибо)
-
vlad-kat
- Сообщения: 0
- Зарегистрирован: 13 авг 2014, 15:17
podarok66 писал(а):вводите пароль и Вы на нужной железке.
Vasya_admin - логин на нужной железке
XXX.XXX.XXX.XXX - адрес нужной железки
а пароль сразу нельзя?
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
vlad-kat писал(а):SSH запрещен на всех железках, иначе желающих подобрать пароль - уууууууууу
Нормальная пара логин-пароль обычно стойко держит этих школяров. (Ну только тупой школяр может день за днем подбирать пароль к роутеру, давая логином только root. У меня его банит автоматом на сутки, когда бан заканчивается , школота возвращается. А услуги мастера взлома стоят значительных сумм, обычно проще купить пароль у админа
или его окружения.)vlad-kat писал(а):а пароль сразу нельзя?
По-моему нельзя, у меня не получалось...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
VPN туннель и по верх него подключайтесь к чему угодно...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
vlad-kat
- Сообщения: 0
- Зарегистрирован: 13 авг 2014, 15:17
Dragon_Knight писал(а):VPN туннель и по верх него подключайтесь к чему угодно...
с этим чегой-то никак, поднял, поднимается, но остальные железки даже не пингуются
есть еще одна цепочка, но там за входом есть сервак, на него по ВПН захожу и всё нормально
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Маршруты проверяйте...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
plin2s
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
В качестве отдельной "защиты" от открытых портов наружу можно сделать port knock.
Вот была хорошая ссылка, но теперь есть только в гугле. Пожалуй перенесу ее в faq.
http://webcache.googleusercontent.com/s ... ent=ubuntu
Вот была хорошая ссылка, но теперь есть только в гугле. Пожалуй перенесу ее в faq.
http://webcache.googleusercontent.com/s ... ent=ubuntu