jak sa dostat na dalsi mk v sieti...

[mato1]

Viem, bolo to tu rozoberane viac krat, ale nejde mi to... proste som z toho mimo. Umiestnil som uz niekolko MK do siete (za jednu verejnu ip) a ked sa chcem k nim dostat, tak neviem...

boli tu spomenute moznosti ako vpn a neviem co este, ale proste mi to nejde... uprime, ten vpn som ani nevedel nakopnut...

ak vas mozem poprosit tak potrebujem podrobnejsi popis - proste jak pre uplneho debila

proste mam verejnu ip 80.xx.xx.72 a potrebujem sa dostat na mk, ktory je ma ip 192.168.100.2 a dalsi ma 192.168.100.3

ako na to? co kde nastavit? treba nieco nastavit aj na tom MK vo vnutri sieti na ktory sa chcem dostat? alebo staci na brane do netu?

[gorila]

Viem, bolo to tu rozoberane viac krat, ale nejde mi to... proste som z toho mimo. Umiestnil som uz niekolko MK do siete (za jednu verejnu ip) a ked sa chcem k nim dostat, tak neviem...

boli tu spomenute moznosti ako vpn a neviem co este, ale proste mi to nejde... uprime, ten vpn som ani nevedel nakopnut...

ak vas mozem poprosit tak potrebujem podrobnejsi popis - proste jak pre uplneho debila

ahoj.mam ten isty problem.zatial sa s tym tiez trapim a laborujem

[djradiator]

Viem, bolo to tu rozoberane viac krat, ale nejde mi to... proste som z toho mimo. Umiestnil som uz niekolko MK do siete (za jednu verejnu ip) a ked sa chcem k nim dostat, tak neviem...

boli tu spomenute moznosti ako vpn a neviem co este, ale proste mi to nejde... uprime, ten vpn som ani nevedel nakopnut...

ak vas mozem poprosit tak potrebujem podrobnejsi popis - proste jak pre uplneho debila

proste mam verejnu ip 80.xx.xx.72 a potrebujem sa dostat na mk, ktory je ma ip 192.168.100.2 a dalsi ma 192.168.100.3

ako na to? co kde nastavit? treba nieco nastavit aj na tom MK vo vnutri sieti na ktory sa chcem dostat? alebo staci na brane do netu?

hmm ty chceš vlastne preložit lokalnu na verejnu ip??? ak ano tak to neni problem, ale na jednu lokalnu jednu verejnu to ti je jasne dufam , teda si ich možeš prepinat , ja to mam urobene pomocu SRC-NAT a DST-NAT, ale podmienka je že ak tam maš maškaradu, tak ta maškarada musi by až za tymito pravidlami, inak to nefunguje tak dobre

Kód: Vybrat vše

 / ip firewall nat
add chain=srcnat src-address=192.168.100.2 action=src-nat \
    to-addresses=80.xx.xx.72 to-ports=0-65535 comment="AP 1" disabled=no
add chain=dstnat dst-address=80.xx.xx.72 action=dst-nat \
    to-addresses=192.168.100.2 to-ports=0-65535 comment="" disabled=no
# tu je maškaráda ktorá prekláda všetky subnety z addresslistu s nazvom NAT!
add chain=srcnat out-interface=internet src-address-list=NAT action=masquerade \
    comment="NATko" disabled=no

PS: ak si to myslel inak napiš, možno niečo vymyslime

[mato1]

neviem ci sme sa rozumeli... ale ja potrebujem aby som sa z vonka vedel dostat na MK ktore su vo vnutri siete za maskaradou (kde hlavny server je tiez mk). Ale mam len jednu verejnu ip adresu...

to co si pisal o scr a dst nat som skusal... akurat tu maskaradu pomocou address listu som este nemal nahodenu

[djradiator]

neviem ci sme sa rozumeli... ale ja potrebujem aby som sa z vonka vedel dostat na MK ktore su vo vnutri siete za maskaradou (kde hlavny server je tiez mk). Ale mam len jednu verejnu ip adresu...

to co si pisal o scr a dst nat som skusal... akurat tu maskaradu pomocou address listu som este nemal nahodenu

aha, ty chceš aby na jednej verejnej si mal celu siet zavesenu???
neviem ako sa to da, ale ja to robim tak, že ked mam verejnu na hlavnom routry MK, tak na ostatne sa dostanem cez TELNET, cez winbox neviem ako by sa to dalo, asi nijako, možno ked by si tam mal v lokalke pc ktory ma verejnu a cez na ten sa prihlasiš a na nom by si robil, ale inak neviem sorry....

[Zdeněk]

Můžu doporučit PPTP, nastavíš si v ,,secrets,, parametry připojení a pak přes Windows, v sí. připojeních vytvoříš VPN, ale v NATu musíš vytvořit maškarádu lokálních adres do toho bridge ve kterém se ty MK nachází - tedy např.: 192.168.0.0/24 out intf.: LAN , nebo BRIDGE, act: Masq., pak snad ještě pravidlo pro remonte adres ve firewallu. Chodí to výboně- když to chodí, ale někdy se není možné připojit háže to hlášky - chyba zabezpečení, nebo port nebyl vytvořen a jiné hňupiny, což jsem nezjistil proč. Jiný způsob zatím nevím, chyba je , že MK neumí měnit port na kterém slyší Winbox, pak by to byla pohoda- nevim proč to nejde, na Monowallu to není problém, ovšem je to trochu jiný ,,traktor,,. To vše - a se daří.

[hocimin1]

A co skusit premapovani portu na tom hlavnim mikrotiku s verejnou IP

80.xx.xx.72:8180 192.168.100.2:8291
80.xx.xx.72:8380 192.168.100.3:8291

atak dale. Muzes si takhle presmapovat cokoliv

a pak se jenom winboxem prihlasis a do adresy bud zadas 80.xx.xx.72:8180 nebo 80.xx.xx.72:8380

[djradiator]

A co skusit premapovani portu na tom hlavnim mikrotiku s verejnou IP

80.xx.xx.72:8180 192.168.100.2:8291
80.xx.xx.72:8380 192.168.100.3:8291

atak dale. Muzes si takhle presmapovat cokoliv

a pak se jenom winboxem prihlasis a do adresy bud zadas 80.xx.xx.72:8180 nebo 80.xx.xx.72:8380

mohol by si to prosim napisat konkretne to pravidlo, lebo skusil som toho vela, ale ked som dal pravidlo tak raz ma tam hodilo raz nie (( teda väčšinou nie!!?

Kód: Vybrat vše

  / ip firewall nat
add chain=dstnat dst-address=213.xx.xx.179 dst-port=25410 action=netmap \
    to-addresses=10.111.254.10 to-ports=8291 comment="Presmerovanie cez porty" \
    disabled=no
add chain=dstnat dst-address=213.xx.xx.179 dst-port=25440 action=netmap \
    to-addresses=10.111.254.40 to-ports=8291 comment="" disabled=no
add chain=dstnat dst-address=213.xx.xx.179 dst-port=25450 action=netmap \
    to-addresses=10.111.254.50 to-ports=8291 comment="" disabled=no
add chain=dstnat dst-address=213.151.xx.179 dst-port=25460 action=netmap \
    to-addresses=10.111.254.60 to-ports=8291 comment="" disabled=no


Myslel si to takto?! lebo skušal som to aj cez DST-NAT, ale stale to blbo, ale ta ipcka 213.xx.xx.179 to je ipcka routra hlavneho na ktorom su tie pravidla, a ostatne lokalne ipky su routre (apcka)

[Zdeněk]

To je nesmysl - do Winboxu nezadáš: xxx.xxx.xxx.xxx:8180. respektive zadáš, ale nastavený port ignoruje - jede si furt na svém 8291-nelze změnit, a taky nezměníš v MK port na kterém má MK naslouchat. Říkám, je to nedomyšlené a chybí to tam.

[djradiator]

To je nesmysl - do Winboxu nezadáš: xxx.xxx.xxx.xxx:8180. respektive zadáš, ale nastavený port ignoruje - jede si furt na svém 8291-nelze změnit, a taky nezměníš v MK port na kterém má MK naslouchat. Říkám, je to nedomyšlené a chybí to tam.

hmm zaujimave, ale poviem ti že teraz to tak mam urobene a ide mi to, ale iba jedna ipka:( teda nech zadam port bud 25410/25460/25450 ale stale ma to hodi na to prve 254.10, čiže si myslim že nejako sa to určite musi dat, nie?! ked funguje jedno tak musi aj druhe....

[Zdeněk]

Mám nastavenou jen jednu a nejede to - háže mě to na hlavní MK. Ale pravidlo je správně, když zadám do Expl. http://xxx.xxx.xxx.xxx:yyyy tak paket projde. Ale to je všechno- takže ve Winboxu nepošle číslo portu, jen IP.

[djradiator]

Mám nastavenou jen jednu a nejede to - háže mě to na hlavní MK. Ale pravidlo je správně, když zadám do Expl. http://xxx.xxx.xxx.xxx:yyyy tak paket projde. Ale to je všechno- takže ve Winboxu nepošle číslo portu, jen IP.

sorry, beriem spä!!!, mne to zblbo trochu, teda tak že na ten hlavny som sa nedostaval cez winbox, ale hned ma to hadzalo na tu presmerovanu!!

[Zdeněk]

Tak to jo, ale to neřeší náš problém. Zkoušel někdo používat Webbox, tam přesměrování jde, ale nevím co s ním lze všechno nastavit, jestli je to vůbec použitelné.

[hocimin1]

S tim presmerovanim portu to byl jen rychlej napad. Ale jak jsem cetl manual k WINBOXU tak on opravdu ignoruje port kterej tam napisu.

[Jan Holub]

On ho neignoruje, on se připojuje na více portech. Nejdříve se spojí na portu, který máš právě nastaven ve winboxu a po spojení komunikuje natvrdo na 8291.