Помогите с пробросом tcp порта.

[henry.pootel]

Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить

любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24

Имеем:

release: 2.16.D.11.0-1
hw_version: 15560000-A
hw_id: ku_ra
device: Keenetic Ultra

 

interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 222
    up

interface GigabitEthernet0/Vlan222
    role inet for BELKA
    security-level public
    ip address 172.16.17.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface GigabitEthernet0/Vlan888
    rename BELKA
    description Belka_VID888
    role inet
    mac address factory wan
    security-level public
    ip address 172.30.30.30 255.255.255.224
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 49149
    igmp upstream
    up

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

dc:a6:32:ac:16:b0 -- MAC raspberry

 

НЕ РАБОТАЕТ.

ssh -p 2222 root@172.30.30.30                                           
ssh: connect to host 172.30.30.30 port 2222: Connection refused

На raspberry firewall нет, с кинетика пинг идет.

P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.

 

 

 

 

 

[henry.pootel]

2 minutes ago, werldmgn said:

на Wan порту trunk с vlan222 и vlan888? Есть ли возможность сделать на интерфейс GigabitEthernet0/Vlan222 security-level private? Сдается мне, что после этого проброс заработает корректно.

wan - содержит 888
порт 4 - в access vlan222

interface GigabitEthernet0/Vlan888
   rename BELKA
   description Belka_VID888
   role inet
   mac address factory wan
   security-level public
   ip address 172.30.30.30 255.255.255.224
   ip dhcp client dns-routes
   ip dhcp client name-servers
   ip access-group _WEBADMIN_BELKA in
   ip global 49149
   igmp upstream
   up
!
interface GigabitEthernet0/Vlan222
   security-level private
   ip address 172.16.17.1 255.255.255.0
   ip dhcp client dns-routes
   ip dhcp client name-servers
   up
!
ip static tcp 172.30.30.0 255.255.255.224 2222 172.16.17.16 22

#####################
в vlan222 идут запросы на 22 порт, но прям от PC (172.30.30.1)

[Werld]

1 минуту назад, henry.pootel сказал:

wan - содержит 888
порт 4 - в access vlan222

interface GigabitEthernet0/Vlan888
   rename BELKA
   description Belka_VID888
   role inet
   mac address factory wan
   security-level public
   ip address 172.30.30.30 255.255.255.224
   ip dhcp client dns-routes
   ip dhcp client name-servers
   ip access-group _WEBADMIN_BELKA in
   ip global 49149
   igmp upstream
   up
!
interface GigabitEthernet0/Vlan222
   security-level private
   ip address 172.16.17.1 255.255.255.0
   ip dhcp client dns-routes
   ip dhcp client name-servers
   up
!
ip static tcp 172.30.30.0 255.255.255.224 2222 172.16.17.16 22

#####################
в vlan222 идут запросы на 22 порт, но прям от PC (172.30.30.1)

Ну так если Vlan222 не сомтрит никуда еще кроме малины, ну поставьте вы на нем смело security-level private. И тогда проброс будет работать и автоматом все трансляции выполнятся.

[henry.pootel]

4 minutes ago, werldmgn said:

Ну так если Vlan222 не сомтрит никуда еще кроме малины, ну поставьте вы на нем смело security-level private. И тогда проброс будет работать и автоматом все трансляции выполнятся.

Дык поставил. Попробовал все варианты security-level
Все равно на PRi идет запрос от PC в чистом виде, а не от кинетика.

Но! Я не перегружал кинетик. Может быть надо? (Делать save и перегружать)

[Илья Картавенко]

Только что, henry.pootel сказал:

Дык поставил. Попробовал все варианты security-level
Все равно на PRi идет запрос от PC в чистом виде, а не от кинетика.

Но! Я не перегружал кинетик. Может быть надо? (Делать save и перегружать)

save обязательно. и да лучше перезагрузить.

[Werld]

2 минуты назад, henry.pootel сказал:

Дык поставил. Попробовал все варианты security-level
Все равно на PRi идет запрос от PC в чистом виде, а не от кинетика.

Но! Я не перегружал кинетик. Может быть надо? (Делать save и перегружать)

Не, перезагружать не обязательно, применяется все так. Значит этого не достаточно, надо дальше думать. 

[Werld]

Попробовать ip nat 172.30.30.0 255.255.255.224  - включить глобальный нат для всех пакетов от указаной сети, идущих через маршрутизатор

[henry.pootel]

2 minutes ago, werldmgn said:

Попробовать ip nat 172.30.30.0 255.255.255.224  - включить глобальный нат для всех пакетов от указаной сети, идущих через маршрутизатор

Заработало!!!!

Я пробовал ip nat BELKA - так не работало и я бросил...

Вау! Спасибо огромное за конструктивную помощь!!!!!! Не придется ехать.

[Werld]

1 минуту назад, henry.pootel сказал:

Заработало!!!!

Я пробовал ip nat BELKA - так не работало и я бросил...

Вау! Спасибо огромное за конструктивную помощь!!!!!! Не придется ехать.

Ну вы понаблюдайте, чтоб не выплыли неизвестные побочные эффекты). Этой командой вы включили для пакетов из этой сети при переходе их в ЛЮБОЙ другой интерфейс маскарад на адрес этого интерфейса.

[henry.pootel]

1 minute ago, werldmgn said:

Ну вы понаблюдайте, чтоб не выплыли неизвестные побочные эффекты). Этой командой вы включили для пакетов из этой сети при переходе их в ЛЮБОЙ другой интерфейс маскарад на адрес этого интерфейса.

Спасибо, я уже вернул RPi dhcp клиента и загружаю в кинетик оригинальный конфиг... Теперь буду ловить RPi в домашней сети. Спасибо еще раз! Вы мой герой на сегодня