The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"помогите настроить проброс портов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"помогите настроить проброс портов"  +/
Сообщение от point5217email (ok), 22-Окт-19, 12:42 
имеется сеть 192.168.10.0/24 в нее нельзя другие компы включать...
имеется комп 192.168.1.233(IP к примеру)
имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
wan 192.168.1.1 смотрит в комп 192.168.1.233
в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним и нужен доступ с 192.168.1.233
но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ не может быть получен....
также на 192.168.10.200 поднят https сервер.... Тоже самое....

конфигурация https://ska4ay.com/-bhod

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "помогите настроить проброс портов"  +/
Сообщение от fantom (??), 22-Окт-19, 13:02 
>[оверквотинг удален]
> имеется комп 192.168.1.233(IP к примеру)
> имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
> wan 192.168.1.1 смотрит в комп 192.168.1.233
> в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним
> и нужен доступ с 192.168.1.233
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....
> также на 192.168.10.200 поднят https сервер.... Тоже самое....
> конфигурация https://ska4ay.com/-bhod

Ну так классический НАТ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "помогите настроить проброс портов"  +/
Сообщение от Licha Morada (?), 23-Окт-19, 17:32 
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....

В принципе, ответ /может/ быть получен, если бы на компе в 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это инвазивно и трудоёмко в поддержке. Или если бы на дефолтном гейтвее сети 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это тоже инвазивно, не слишком чисто (зависит от ICMP Redirect) и означает вторжение на чужую территорию.

Всё правильно, требуется делать NAT, конкретно SNAT, чтобы хосты в 192.168.10.0/24 думали что с ними разговаривает непосредственно wr740 со своего адреса, а не кто-то в 192.168.1.0/24. Или менять топологию сети в соответствии с задачей.

Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают интерфейс LAN, которое изменяло бы адрес отправителя.

Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".

Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее, а то из вашего изложения очень трудно понять топологию.
Куда тыкать в wr740 не скажу, не обижайтесь

Разбирайтесь. Удачи.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "помогите настроить проброс портов"  +/
Сообщение от point5217email (ok), 23-Окт-19, 17:46 
>[оверквотинг удален]
> Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают
> интерфейс LAN, которое изменяло бы адрес отправителя.
> Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее
> назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
> 192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
> Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".
> Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее,
> а то из вашего изложения очень трудно понять топологию.
> Куда тыкать в wr740 не скажу, не обижайтесь
> Разбирайтесь. Удачи.

сеть 192.168.10.0/24 изменить нельзя...
не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod

к этому
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option name 'web'
option src_dport '443'
option dest_port '443'
option dest_ip '192.168.10.200'

нужно добавить это ?
config redirect
option src wan
option dest lan
option src_ip 192.168.1.233
option src_dip 192.168.10.253
option dest_port 443
option target SNAT


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "помогите настроить проброс портов"  +/
Сообщение от Licha Morada (?), 24-Окт-19, 00:06 

> сеть 192.168.10.0/24 изменить нельзя...

Не надо её менять. С точки зрения топологии, считайте её чужой, внешней, даже публичной сетью.

> не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod

Да, диаграма весьма способствует. Подтверждаю, если вы воткнёте wr740 другой стороной, то жизнь станет легче. Возможно, оно просто по дефолту заработает, или потребует очень базовой настройки типа "вот здесь в LAN я, а вон там WAN провайдера и его настройки такие-то, я хочу к провайдеру ходить".

> к этому
> config redirect
> option target 'DNAT'
> option src 'wan'
> option dest 'lan'
> option proto 'tcp'
> option name 'web'
> option src_dport '443'
> option dest_port '443'
> option dest_ip '192.168.10.200'

В вашей сетке это выглядит несколько дико. Переверните, наконец, свой wr740 правильной стороной, и оно не потребуется.
Это можно заставить работать (я так понял, вы уже заставили), но это излишнеее усложнение, а у вас и без того забот хватает.

> нужно добавить это ?
> config redirect
> option src wan
> option dest lan
> option src_ip 192.168.1.233
> option src_dip 192.168.10.253
> option dest_port 443
> option target SNAT

Нет.  src_dip это для DNAT, а вы делаете SNAT. Угощайтесь: https://openwrt.org/docs/guide-user/firewall/firewall_config...

Вы домашне задание, что-ли, делаете методом тыка?
Например давайте так. Если вы ухитритесь организовать доставку банки Гиннеса мне в офис, я вас проведу по этому пути за ручку. Я на другом материке, но необходимые координаты готов предоставить. Через личку или почту уважемого свидетеля, например (добровольцы?).
Гиннес, а особенно усилия по логистике, будет выступать доказательством того что вам действительно очень надо а позвать совсем некого.

Удачи.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "помогите настроить проброс портов"  +/
Сообщение от argouln (??), 25-Окт-19, 09:36 

option src_dport '443'
option dest_port '443'

исправьте 443 на порт radmin server


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру