Přístup k jednotkám Mikrotik na síti z venku

[Bishboun]

Ahoj, měl bych dotaz. Mám veřejnou IP na prvním mikrotiku (vstup do sítě). Potřeboval bych jestli by mi někdo neporadit jak nastavit a co do jednotech (RB433), abych mohl z venku přes veřejnou ip přistupovat k dalším dvoum jednotkám za vstupem. Zatím se dostanu pouze na jednu a to tu první prakticky bez nastavení, ale problém je ten, že bych chtěl se dostat i na další a to mam smůlu....třeba pomocí nějákýho portu.

Díky za rady B.

[Ajfel]

Ahoj, měl bych dotaz. Mám veřejnou IP na prvním mikrotiku (vstup do sítě). Potřeboval bych jestli by mi někdo neporadit jak nastavit a co do jednotech (RB433), abych mohl z venku přes veřejnou ip přistupovat k dalším dvoum jednotkám za vstupem. Zatím se dostanu pouze na jednu a to tu první prakticky bez nastavení, ale problém je ten, že bych chtěl se dostat i na další a to mam smůlu....třeba pomocí nějákýho portu.

Díky za rady B.

Forward portu:

/ip firewall nat
add action=dst-nat chain=dstnat comment=Presmerovani_na_RB disabled=no dst-address=yyy.yyy.yyy.yyy dst-port=yyy protocol=tcp to-addresses=xxx.xxx.xxx.xxx to-ports=xxx


xxx - je IP adresa a port uvnitr site routerboardu na ktery se chcete dostat
yyy - je ip prvniho routerboardu - verejna IP a port pres ktery se ma jit na RB uvnitr site

[tom-tom]

není lepší se na ten první připojovat přes VPNko a pak se na ty další připojovat v rámci intranetu, než to celé zbytečně vystrkovat ven?

[pcwifi]

na par mistech jsem znamymu delal pripojen na net, kdy jsme si sami dodaly HW (RBcko,antena) a od ISP dostaly jen pristup na AP na zaklade MAC a pevnou IP. Takoveto jednotky trci na oneh verejnych uz mesice a jeste s tim nebyl problem, obcas nejaky sikmooky se tam snazi dostat ale rychle to pomine. Pristup na dalsi jednotku ve vnitrni siti jedine pres presmerovani portu. Nejak nevidim duvod proc resit VPN apod., teda pokud nejde o vic jak 2-3 RBcka.

PW

[Ajfel]

Osobne neresim vpnka ani nic podobneho, na hlavnim routeru mam toto presmerovavaci pravidlo jedno, zakazane a jen pokud jej potrebuji si jej nejdriv zapnu a nastavim potrebnou IP a pak zase vypnu. Nevidim v tom problem a je to prace asi na 10 vterin.

[Bishboun]

Osobne neresim vpnka ani nic podobneho, na hlavnim routeru mam toto presmerovavaci pravidlo jedno, zakazane a jen pokud jej potrebuji si jej nejdriv zapnu a nastavim potrebnou IP a pak zase vypnu. Nevidim v tom problem a je to prace asi na 10 vterin.

Moc díky za radu...hned po práci to zkusím a dám vědět....jen by mě zajímalo jestli na těch interních RB musím taky něco nastavovat...jo a funguje toto připojování pomocí winbox?

[tom-tom]

Osobne neresim vpnka ani nic podobneho, na hlavnim routeru mam toto presmerovavaci pravidlo jedno, zakazane a jen pokud jej potrebuji si jej nejdriv zapnu a nastavim potrebnou IP a pak zase vypnu. Nevidim v tom problem a je to prace asi na 10 vterin.

to by mi asi jeblo pořád něco zapínat. Takhle jsem pořád připojený k vpn a na routery se přihlašuju jako kdybych seděl doma nebo v kanclu. Navíc, nejde jen o winbox, ale i další služby na tom stroji.
Ale je fakt, že v jeho případě takový přístup na 2-3 routery je zbytečný luxus, pokud mu jde jen o winbox.

[Bishboun]

Tak mi to nejde. Pres winbox mi to píše hlášku "Could not connect to yyy.yyy.yyy.yyy (port 600) - connection refused". Mělo by to jít přes winbox? Nebo používáte jiný přístup. Jelikož jsem lama tak používám winbox....dobře se přes něj nastavuje.

[Ajfel]

Osobne neresim vpnka ani nic podobneho, na hlavnim routeru mam toto presmerovavaci pravidlo jedno, zakazane a jen pokud jej potrebuji si jej nejdriv zapnu a nastavim potrebnou IP a pak zase vypnu. Nevidim v tom problem a je to prace asi na 10 vterin.

to by mi asi jeblo pořád něco zapínat. Takhle jsem pořád připojený k vpn a na routery se přihlašuju jako kdybych seděl doma nebo v kanclu. Navíc, nejde jen o winbox, ale i další služby na tom stroji.
Ale je fakt, že v jeho případě takový přístup na 2-3 routery je zbytečný luxus, pokud mu jde jen o winbox.

Zrejme ta potreba se ridi tim, jak casto clovek pristupuje na ty RBecka zvenku, coz je v mem pripade asi tak 1x-2x do roka(z toho asi tak 1x-2x pristupuji stejne na hlavni GW, tam to pravidlo ani nic jineho nepotrebuji), jinak delam vsechno z vnitrni site, takze vazne nemam potrebu neceho jineho

[tom-tom]

tak neříkám že každý den, ale občas se na střeše hodí z mobilu ssh přes operátora...

[Bishboun]

Tak mi to nejde. Pres winbox mi to píše hlášku "Could not connect to yyy.yyy.yyy.yyy (port 600) - connection refused". Mělo by to jít přes winbox? Nebo používáte jiný přístup. Jelikož jsem lama tak používám winbox....dobře se přes něj nastavuje.

takto? yyy.yyy.yyy.yyy :600

no kdyz zadám 123.45.67.89:600 to IP ve winboxu tak mi to prostě napíše tohle a nespojí se to...nevim jestli to není třeba verzí winbox -- mam v2.2.15.... nebo mi ISP blokuje porty?

Já to řeším proto, že jsem doma a síť je jinde a pokaždý když něco chci na 2. a 3. RB nastavit tak musím jet tam nastavit a zas domu... co se týče uživatelů tak ty dělám přes tu vřejnou IP GW. Ale když řeším nějákej problém dál tak je to blbý. Děláte to taky přes winbox?? Můj problém je že se moc dobře neorientuju přes telnet.

Díky za radu B.

[Ajfel]

Muze to byt verzi winboxu, zkus novejsi, nevim od ktere verze presne se dalo winboxem pripojovat na jinem nez obvyklem portu.

[hapi]

a máš správně napsaný to pravidlo pro dst nat? Máš tam správně napsanej to-port?

[Bishboun]

a máš správně napsaný to pravidlo pro dst nat? Máš tam správně napsanej to-port?

No nevim jakej port by měl být ten správný a proto jsem tak dal na obě místa 600. Nebo to má být nastaveno, že napíšu 600, ale přesměruju to na 8291?? Jestli by se našel někdo kdo by mi to vysvětlil jak pro blbce (pro mě bylo by to dobrý .... vážně v tom nemam zkušenost. Dík B.

[tom-tom]

jo, provoz směrující na port 600 té vystrčené mašiny směruješ do sítě na ip X.X.X.X a port 8291 (winbox)
/ip firewall nat add chain=dstnat in-interface=ethX dst-port=600 protocol=tcp action=dst-nat to-addresses=X.X.X.X to-ports=8291