Jump to content

Recommended Posts

Posted

Добрый день!

Есть не совсем стандартная задача: надо пробросить внешний IP (публичный IP 185.0.0.1) через домашний роутер (публичный IP 200.0.0.1). Роутер Keenetic Extra, версия прошивки последняя 3.5.*, обновляется автоматически. Успешно удается пробросить порт в локальную сеть – работает и перенаправляет внутри LAN, например:

200.0.0.1:443 (интернет) -> 192.168.1.99:8000 (LAN)     -   работает

WAN2LAN.jpg.ffb2e39609895753cfb6b351cf987963.jpg

Но никак не получается пробросить порт на внешний IP адрес:

200.0.0.1:443 (интернет) -> 185.0.0.1:443 (интернет) - не работает

Для примера решал подобную задачу на другом домашнем роутере Mikrotik, там работает и правило выглядит следующим образом (привожу пример исключительно для наглядности своего вопроса)

Microtic.jpg.979ca2d392b237039bee0c960baf439f.jpg

Надеюсь понятен мой вопрос, прошу помочь.

Posted

Спасибо, уже догадался, что web-интерфейсом не обойтись и придется через CLI, а можете чуть подробнее намекнуть, в какую сторону копать? Может быть пример где-нибудь разобран подобный или мануал для чайников, хотелось бы хотя примерное направление действий (т.к. доступ меня ограничен по времени, к сожалению, сам подключаюсь удаленно к этому роутеру) ?

Posted (edited)
3 часа назад, Andrey Arj сказал:

Спасибо, уже догадался, что web-интерфейсом не обойтись и придется через CLI, а можете чуть подробнее намекнуть, в какую сторону копать? Может быть пример где-нибудь разобран подобный или мануал для чайников, хотелось бы хотя примерное направление действий (т.к. доступ меня ограничен по времени, к сожалению, сам подключаюсь удаленно к этому роутеру) ?

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 ,  ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

Edited by werldmgn
Posted
26 minutes ago, werldmgn said:

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 ,  ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

Спасибо! Буду пробовать

Posted
7 hours ago, werldmgn said:

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 ,  ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

К сожалению, ip static не помог. Получается, что ip static в CLI абсолютная копия опции «переадресация портов» в веб интернет-центре. Как только я создаю новое правило с помощью ip static, оно тут же отображается в интернет-центре, как только удаляю все правила командой «no ip static» - все правила сразу же удаляются и в интерфейсе интернет-центра. Другими словами, ip static в моем случае не дает нового качества, получается абсолютно аналогичный результат, который был получен ранее с помощью интернет-центра.

Более подробно, например, нужные мне правила не работают:

1.) ip static tcp ISP 200.0.0.1 443 185.0.0.1 443    - НЕ работает

      ip static tcp 200.0.0.1/32 443 185.0.0.1 443    - НЕ работает (аналог 1)

Но при этом следующие правила работают:

2.) ip static tcp ISP 200.0.0.1 443 191.168.1.1 80   - работает  (отображает интернет-центр по публичному IP роутера 200.0.0.1:443)

     ip static tcp 200.0.0.1/32 443 191.168.1.1 80     -  работает (аналог 2)

Это правило тоже работает:

3.) ip static tcp 192.168.1.1/32 1000 185.0.0.1 443 – работает (из локальной сети работает перенаправление на нужный порт нужного сервера, откликается telnet 192.168.1.1 1000)

Используя логику (возможно неверную), пытался использовать правила 2+3, чтобы добиться своей цели с помощью промежуточного порта, но результата нет:

4) ip static tcp 200.0.0.1/32 443 192.168.1.1 1000 + ip static tcp 192.168.1.1/32 1000 185.0.0.1 443 – НЕ работает

Конечно, я не большой спец в сетевых делах, но хочу довольно простую вещь: просто перенаправить порт с роутера на внешний адрес («глобальная сеть» -> «глобальная сеть»). Может быть, надо смотреть в сторону Opkg ?

 

Posted

 ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается:

src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443   

Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?

Posted
46 minutes ago, werldmgn said:

 ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается:

src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443   

Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?

Это медицинский факт: микротик перенаправляет трафик с помощью dstnat как надо, а вот конкретно наша модель Keenetik Extra не умеет стандартными средствами такую маршрутизацию отрабатывать ("натить внешку"). По ip static и стандартным средствам вопрос закрыт, ни в коем случае не пытаюсь разжигать холивары по поводу разных моделей и производителей, просто решаю свою конкретную задачу и решение в принципе есть.

Вот что ответила тех.поддержка, если мне не верите:

""""""""""""""

2040124488_keenetichelp.PNG.b093f78e19428a7d29f5ad05df0911e1.PNG""""""""""""""

Так что направление для дальнейшего копания - OPKG + ebtables. К сожалению, на роутере уже занят один USB, поэтому придется добавлять хаб, а это еще одно дополнительное устройство с постоянным питанием.

Posted

Модели все же soho, такой функционал на моей памяти просят впервые. Потому и не сделано.

Мы не пытаемся целиком копировать netfilter или энерпрайз решения других вендоров.

Если будет достаточно запросов - реализуем.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.