forum.opennet.ru - "помогите настроить проброс портов" (5)

"помогите настроить проброс портов"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"помогите настроить проброс портов"	+/–
Сообщение от point5217 (ok), 22-Окт-19, 12:42
имеется сеть 192.168.10.0/24 в нее нельзя другие компы включать... имеется комп 192.168.1.233(IP к примеру) имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24 wan 192.168.1.1 смотрит в комп 192.168.1.233 в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним и нужен доступ с 192.168.1.233 но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ не может быть получен.... также на 192.168.10.200 поднят https сервер.... Тоже самое.... конфигурация https://ska4ay.com/-bhod
Ответить \| Правка \| Cообщить модератору

Оглавление

gt оверквотинг удален Ну так классический НАТ , fantom (??), 13:02 , 22-Окт-19, (1)
В принципе, ответ может быть получен, если бы на компе в 192 168 10 0 24 был м, Licha Morada (?), 17:32 , 23-Окт-19, (2)

gt оверквотинг удален сеть 192 168 10 0 24 изменить нельзя не могу здесь при, point5217 (ok), 17:46 , 23-Окт-19, (3)

Не надо её менять С точки зрения топологии, считайте её чужой, внешней, даже пу, Licha Morada (?), 00:06 , 24-Окт-19, (4)
option src_dport 443 option dest_port 443 исправьте 443 на порт radmin server, argouln (??), 09:36 , 25-Окт-19, (5)

Сообщения [Сортировка по времени | RSS]

1. "помогите настроить проброс портов" +/–

Сообщение от fantom (??), 22-Окт-19, 13:02

>[оверквотинг удален]
> имеется комп 192.168.1.233(IP к примеру)
> имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
> wan 192.168.1.1 смотрит в комп 192.168.1.233
> в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним
> и нужен доступ с 192.168.1.233
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....
> также на 192.168.10.200 поднят https сервер.... Тоже самое....
> конфигурация https://ska4ay.com/-bhod
Ну так классический НАТ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "помогите настроить проброс портов" +/–

Сообщение от Licha Morada (?), 23-Окт-19, 17:32

> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....
В принципе, ответ /может/ быть получен, если бы на компе в 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это инвазивно и трудоёмко в поддержке. Или если бы на дефолтном гейтвее сети 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это тоже инвазивно, не слишком чисто (зависит от ICMP Redirect) и означает вторжение на чужую территорию.
Всё правильно, требуется делать NAT, конкретно SNAT, чтобы хосты в 192.168.10.0/24 думали что с ними разговаривает непосредственно wr740 со своего адреса, а не кто-то в 192.168.1.0/24. Или менять топологию сети в соответствии с задачей.
Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают интерфейс LAN, которое изменяло бы адрес отправителя.
Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".
Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее, а то из вашего изложения очень трудно понять топологию.
Куда тыкать в wr740 не скажу, не обижайтесь
Разбирайтесь. Удачи.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "помогите настроить проброс портов" +/–

Сообщение от point5217 (ok), 23-Окт-19, 17:46

>[оверквотинг удален]
> Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают
> интерфейс LAN, которое изменяло бы адрес отправителя.
> Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее
> назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
> 192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
> Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".
> Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее,
> а то из вашего изложения очень трудно понять топологию.
> Куда тыкать в wr740 не скажу, не обижайтесь
> Разбирайтесь. Удачи.
сеть 192.168.10.0/24 изменить нельзя...
не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod
к этому
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option name 'web'
option src_dport '443'
option dest_port '443'
option dest_ip '192.168.10.200'
нужно добавить это ?
config redirect
option src wan
option dest lan
option src_ip 192.168.1.233
option src_dip 192.168.10.253
option dest_port 443
option target SNAT

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "помогите настроить проброс портов" +/–

Сообщение от Licha Morada (?), 24-Окт-19, 00:06

> сеть 192.168.10.0/24 изменить нельзя...
Не надо её менять. С точки зрения топологии, считайте её чужой, внешней, даже публичной сетью.
> не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod
Да, диаграма весьма способствует. Подтверждаю, если вы воткнёте wr740 другой стороной, то жизнь станет легче. Возможно, оно просто по дефолту заработает, или потребует очень базовой настройки типа "вот здесь в LAN я, а вон там WAN провайдера и его настройки такие-то, я хочу к провайдеру ходить".
> к этому
> config redirect
> option target 'DNAT'
> option src 'wan'
> option dest 'lan'
> option proto 'tcp'
> option name 'web'
> option src_dport '443'
> option dest_port '443'
> option dest_ip '192.168.10.200'
В вашей сетке это выглядит несколько дико. Переверните, наконец, свой wr740 правильной стороной, и оно не потребуется.
Это можно заставить работать (я так понял, вы уже заставили), но это излишнеее усложнение, а у вас и без того забот хватает.
> нужно добавить это ?
> config redirect
> option src wan
> option dest lan
> option src_ip 192.168.1.233
> option src_dip 192.168.10.253
> option dest_port 443
> option target SNAT
Нет. src_dip это для DNAT, а вы делаете SNAT. Угощайтесь: https://openwrt.org/docs/guide-user/firewall/firewall_config...
Вы домашне задание, что-ли, делаете методом тыка?
Например давайте так. Если вы ухитритесь организовать доставку банки Гиннеса мне в офис, я вас проведу по этому пути за ручку. Я на другом материке, но необходимые координаты готов предоставить. Через личку или почту уважемого свидетеля, например (добровольцы?).
Гиннес, а особенно усилия по логистике, будет выступать доказательством того что вам действительно очень надо а позвать совсем некого.
Удачи.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "помогите настроить проброс портов" +/–

Сообщение от argouln (??), 25-Окт-19, 09:36

option src_dport '443'
option dest_port '443'
исправьте 443 на порт radmin server

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите настроить проброс портов"	+/–
Сообщение от fantom (??), 22-Окт-19, 13:02
>[оверквотинг удален] > имеется комп 192.168.1.233(IP к примеру) > имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24 > wan 192.168.1.1 смотрит в комп 192.168.1.233 > в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним > и нужен доступ с 192.168.1.233 > но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но > адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ > не может быть получен.... > также на 192.168.10.200 поднят https сервер.... Тоже самое.... > конфигурация https://ska4ay.com/-bhod Ну так классический НАТ...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "помогите настроить проброс портов"	+/–
Сообщение от Licha Morada (?), 23-Окт-19, 17:32
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но > адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ > не может быть получен.... В принципе, ответ /может/ быть получен, если бы на компе в 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это инвазивно и трудоёмко в поддержке. Или если бы на дефолтном гейтвее сети 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это тоже инвазивно, не слишком чисто (зависит от ICMP Redirect) и означает вторжение на чужую территорию. Всё правильно, требуется делать NAT, конкретно SNAT, чтобы хосты в 192.168.10.0/24 думали что с ними разговаривает непосредственно wr740 со своего адреса, а не кто-то в 192.168.1.0/24. Или менять топологию сети в соответствии с задачей. Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают интерфейс LAN, которое изменяло бы адрес отправителя. Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN. 192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN. Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet". Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее, а то из вашего изложения очень трудно понять топологию. Куда тыкать в wr740 не скажу, не обижайтесь Разбирайтесь. Удачи.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "помогите настроить проброс портов"	+/–
	Сообщение от point5217 (ok), 23-Окт-19, 17:46
	>[оверквотинг удален] > Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают > интерфейс LAN, которое изменяло бы адрес отправителя. > Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее > назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN. > 192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN. > Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet". > Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее, > а то из вашего изложения очень трудно понять топологию. > Куда тыкать в wr740 не скажу, не обижайтесь > Разбирайтесь. Удачи. сеть 192.168.10.0/24 изменить нельзя... не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod к этому config redirect option target 'DNAT' option src 'wan' option dest 'lan' option proto 'tcp' option name 'web' option src_dport '443' option dest_port '443' option dest_ip '192.168.10.200' нужно добавить это ? config redirect option src wan option dest lan option src_ip 192.168.1.233 option src_dip 192.168.10.253 option dest_port 443 option target SNAT
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "помогите настроить проброс портов"	+/–
	Сообщение от Licha Morada (?), 24-Окт-19, 00:06
	> сеть 192.168.10.0/24 изменить нельзя... Не надо её менять. С точки зрения топологии, считайте её чужой, внешней, даже публичной сетью. > не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod Да, диаграма весьма способствует. Подтверждаю, если вы воткнёте wr740 другой стороной, то жизнь станет легче. Возможно, оно просто по дефолту заработает, или потребует очень базовой настройки типа "вот здесь в LAN я, а вон там WAN провайдера и его настройки такие-то, я хочу к провайдеру ходить". > к этому > config redirect > option target 'DNAT' > option src 'wan' > option dest 'lan' > option proto 'tcp' > option name 'web' > option src_dport '443' > option dest_port '443' > option dest_ip '192.168.10.200' В вашей сетке это выглядит несколько дико. Переверните, наконец, свой wr740 правильной стороной, и оно не потребуется. Это можно заставить работать (я так понял, вы уже заставили), но это излишнеее усложнение, а у вас и без того забот хватает. > нужно добавить это ? > config redirect > option src wan > option dest lan > option src_ip 192.168.1.233 > option src_dip 192.168.10.253 > option dest_port 443 > option target SNAT Нет. src_dip это для DNAT, а вы делаете SNAT. Угощайтесь: https://openwrt.org/docs/guide-user/firewall/firewall_config... Вы домашне задание, что-ли, делаете методом тыка? Например давайте так. Если вы ухитритесь организовать доставку банки Гиннеса мне в офис, я вас проведу по этому пути за ручку. Я на другом материке, но необходимые координаты готов предоставить. Через личку или почту уважемого свидетеля, например (добровольцы?). Гиннес, а особенно усилия по логистике, будет выступать доказательством того что вам действительно очень надо а позвать совсем некого. Удачи.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "помогите настроить проброс портов"	+/–
	Сообщение от argouln (??), 25-Окт-19, 09:36
	option src_dport '443' option dest_port '443' исправьте 443 на порт radmin server
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору