Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Tomas12 08. 11. 2018, 15:51:35
-
Dobrý den,
potřeboval bych pomoc s přesměrováním portů na mikrotiku. Situace je taková, že je wanová adresa mikrotiku a wan adresa vzdáleného routeru a lokální zařízení na mikrotiku. Potřeboval bych nastavit obousměrnou komunikaci mezi wanovými adresami a lokální adresou na portech 25000-25007 přes protokol UDP. Pomůžete mi prosím?
Wan adresa mikrotiku:60.xxxx
Wan adresa vzdáleného router: 172.xxxx
Lokální zařízení, které je připojeno do mikrotiku s adresou 192.168.1.x
Předem Vám děkuji za odpověď
-
ipsec tunel & firewall pravidla?
-
mělo by to jít přes NAT a forewall pravidla ale už si s tím lámu hlavu týden, tak proto se ptám
-
Mám pocit, že to co hledáš je VPN. Na google je spoustu návodů jak zprovoznit ipsec vpn tunel na mikrotiku.
Pak je třeba jedna z možností nastavit firewall pravidlo na mikrotiku, že ti na danou adresu bude propouštět jen 25000-25007 UDP porty.
-
Právě o VPN nejde, mělo by to jí bez VPN, mikrotik na obě WAN adresy vidí, pingnu si na ně, jen potřebuji povolit tu komunikaci
-
Právě o VPN nejde, mělo by to jí bez VPN, mikrotik na obě WAN adresy vidí, pingnu si na ně, jen potřebuji povolit tu komunikaci
Pingne si je, protože se jedná o wanovky ;D. Wanová adresa je veřejná v internetu, což znamená, že si jí pingu i já ze svého NTB klidně z druhé strany republiky :-)
-
Právě o VPN nejde, mělo by to jí bez VPN, mikrotik na obě WAN adresy vidí, pingnu si na ně, jen potřebuji povolit tu komunikaci
Pingne si je, protože se jedná o wanovky ;D. Wanová adresa je veřejná v internetu, což znamená, že si jí pingu i já ze svého NTB klidně z druhé strany republiky :-)
Aby vám fungovalo komunikace dvou zařízení přes internet, tak VPN je opravdu nejlepší možnost, alternativy radši nehledejte :-) NAT slouží k trošku něčemu jinému.
Nebo mám pocit, že si nerozumíme :-)
-
Kdyžtak abych vám to nějak rozumně shrnul:
Máte 2 routery s wanovou adresou (veřejná přístupná adresa z internetu, po lopatě: každej si může zobrazit přihlašovací stránku vašeho routeru, ano dá se to ošetřit. S vašimi znalostmi bych se do toho radši nepouštěl).
Potřebujete mezi sebou propojit 2 sítě, abyste se z jedné sítě dostal do lokálního zařízení na síti druhé.
Což znamená vytvořit zašifrovaný tunel mezi routery, možností máte spoustu ipsec vpn, SSH, SSL, PPTP, L2TP, apod. Mikrotik umí IPSEC VPN tunel, což je asi nejlepší a nejvíc zabezpečená volba.
Vytvoření firewall pravidla na mikrotiku už je pak věc triviální.
-
Mikrotik by měl zdražit. Možná výrazně zdražit. Takto se krabičky, s netriviálním způsobem konfigurace, příliš snadno dostávají mezi lidi, kteří nemají předpoklady, pro překonávání překážek.
-
Dobrý den,
potřeboval bych pomoc s přesměrováním portů na mikrotiku. Situace je taková, že je wanová adresa mikrotiku a wan adresa vzdáleného routeru a lokální zařízení na mikrotiku. Potřeboval bych nastavit obousměrnou komunikaci mezi wanovými adresami a lokální adresou na portech 25000-25007 přes protokol UDP. Pomůžete mi prosím?
Wan adresa mikrotiku:60.xxxx
Wan adresa vzdáleného router: 172.xxxx
Lokální zařízení, které je připojeno do mikrotiku s adresou 192.168.1.x
Předem Vám děkuji za odpověď
Niekedy je lepsie to nakreslit. Ja som si to musel precit asi 2-3 krat a na koniec som si domyslel co asi chces.
(LAN_192.168.1.0/24--Mikrotik --WAN_60.x.x.x)-------inet------(172.x.x.x_vzdaleny_router--nejaka _LAN)Inak IP zacinajuca 172. nie je verejna.
Ako uz bolo spomenute, vytvorit si VPN
-
Hele vy chytrolíni, už jsem vyřešil přesměrování portů mezi dvěma wanovýma adresa na mikrotiku bez VPN, kdyby mě šlo o VPN tak není co řešit. Vždycky mě zaujme jak všichni trvdí, že ten kdo se ptá je idiot, když udělá jednu hloupou chybu. Až toi vyřeším bez VPN, hodím to sem. Akorát že pakety ze vzdálené wan adresy do mikrotiku dojdou ale nejdou dál k zařízení, takže to bude jen maličkost ve firewallu. Každopádně díky za pomoc :)
-
Dobrý den,
potřeboval bych pomoc s přesměrováním portů na mikrotiku. Situace je taková, že je wanová adresa mikrotiku a wan adresa vzdáleného routeru a lokální zařízení na mikrotiku. Potřeboval bych nastavit obousměrnou komunikaci mezi wanovými adresami a lokální adresou na portech 25000-25007 přes protokol UDP. Pomůžete mi prosím?
Wan adresa mikrotiku:60.xxxx
Wan adresa vzdáleného router: 172.xxxx
Lokální zařízení, které je připojeno do mikrotiku s adresou 192.168.1.x
Předem Vám děkuji za odpověď
Niekedy je lepsie to nakreslit. Ja som si to musel precit asi 2-3 krat a na koniec som si domyslel co asi chces.
(LAN_192.168.1.0/24--Mikrotik --WAN_60.x.x.x)-------inet------(172.x.x.x_vzdaleny_router--nejaka _LAN)Inak IP zacinajuca 172. nie je verejna.
Ako uz bolo spomenute, vytvorit si VPN
Proč by adresa 172. nemohla být veřejná?
Neveřejné jsou 172.16. - 172.32;
Což znamená, že například adresa 172.33.33.85 už je veřejná :-)
-
Zkuste následovat příkladu na URL http://www.pwrusr.com/network-engineering/mikrotik-1-to-1-nat-with-netmap-and-masquerade
tj. děláte směr ven i dovnitř extra. A jak "ip firewall nat" tak i "ip firewall filter".
-
Mikrotik umí IPSEC VPN tunel, což je asi nejlepší a nejvíc zabezpečená volba.
Tak zrovna IPsec v tunelovém režimu není na IPv4 úplně dobrá volba. Zbytečně si tím člověk přidělá problémy, které za jiných okolností by řešit nemusel. Pravda, nemusí je řešit, ale nebude to úplně bezpečné.
Na IPv4 je v určitém směru lepší použít IP-IP tunel a ten zašifrovat IPsecem v tarnsportím režimu. Ale nic není ideální a ani toto řešení není bez špatných vlastností.
Na IPsec je zdaleka nejlepší IPv6. Obávám se ale, že to už asi přesahuje znalosti a schopnosti původního tazatele.
-
Proč by adresa 172. nemohla být veřejná?
Neveřejné jsou 172.16. - 172.32;
Což znamená, že například adresa 172.33.33.85 už je veřejná :-)
ano sorry mas pravdu
-
Hele vy chytrolíni, už jsem vyřešil přesměrování portů mezi dvěma wanovýma adresa na mikrotiku bez VPN, kdyby mě šlo o VPN tak není co řešit. Vždycky mě zaujme jak všichni trvdí, že ten kdo se ptá je idiot, když udělá jednu hloupou chybu. Až toi vyřeším bez VPN, hodím to sem. Akorát že pakety ze vzdálené wan adresy do mikrotiku dojdou ale nejdou dál k zařízení, takže to bude jen maličkost ve firewallu. Každopádně díky za pomoc :)
Tak promiň, ale z tvého požadavku není vůbec jasné o co ti jde.
-
Že by...
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=60.xxxx dst-port=25000-25007 protocol=udp to-addresses=192.168.1.x to-ports=25000-25007
ale nezkoušel jsem...
-
řešení je jak už předemnou zmínil někdo DST-NAT
IP->Firewall->NewRule
Advanced
Chain: dstnat
Src.Address:
Dst.Address: publicIP(wan IP)
Protocol: UDP
Dst.Port: 25000-25007
Action
Action:dst-nat
To Address: lokalni adresa kam to ma smerovat
To Ports: 25000-25007
-
řešení je jak už předemnou zmínil někdo DST-NAT
IP->Firewall->NewRule
Advanced
Chain: dstnat
Src.Address:
Dst.Address: publicIP(wan IP)
Protocol: UDP
Dst.Port: 25000-25007
Action
Action:dst-nat
To Address: lokalni adresa kam to ma smerovat
To Ports: 25000-25007
.. tak tohle je normalni port forwarding.. na to neni potreba nic 3 dny zkoumat.. navodu je na to vsude plno..
Sem myslel ze tazatel ma na mysli neco slozitejsiho :)