Интернет - MikroTik - TPLink

[Sat_Odessa 1]

Помогите решить задачу:

Есть 2 роутера с белыми адресами: TPLink и MikroTik. Необходима переодическая настройка (открытие/закрытие портов). С Mikrotik-oм никаких проблем нет, так как инструкций в интернете вагон и маленькая тележка. А вот с TPLink-ом загвоздка. Чтобы не открывать доступ к нему на весь мир, доступ веб-интерфейсу TPLink-а открыт только для адреса Mikrotik-а. Соответственно из локальной сети Mikrotik-а я могу попасть в настройки TPLink-а. Но иногда нужен удаленный доступ к TPLink-у из других мест.

 

Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.

[DICTATOR1 47]

НИКУЯ НИ ПОНИЛ НО ОЧИНЬ ИНТИРЕСНО

 

А ЕСЛИ Я ПРАВЫЛЬНО ПОНЯВ ТО ТЫ ХОЧИШ ЧИРИС МИКРОТ ИЗ ИНЕТА ЗАХОДЫТЬ ЗЗАДИ У ТПЛИНК

ТАК У ЧОМ ПРОБЛЕМА? ОТДИЛЫ ОДЫН ПОРТ У МИКРОТИ И СОЗДАЙ НА НЁГО ОТДЕЛЬНУ ПОДСЕТЬ ПРЫСВОЙ АДРИС И ВЫКЛЮЧИ ДХЦП - ПРОБРОСЬ НА ЦЭЙ АДРИС ПОРТ - ПОТОМ ЦЭЙ ЛАН УТЫКНЫ У ТУПОЛИНК И ГОТОВО

[Sat_Odessa 1]

Микротик и ТПЛинк как бы географически находятся в разных домах: кабелем не дотянешься. Для простоты считаем, что:

Микротик находится в городе А

ТПЛинк находится в городе Б

Мы находимся в городе Е

 

На ТПЛинк можно попасть только из локалной сети ТПЛинка либо с адреса, который принадлежит подконтрольному нам Микротику.

 

Задача из города Е подключится к микротику с помощью браузера на некий порт таким образом, чтобы наши запросы из города Е через город Б приходили в город А (и обратно).

[DICTATOR1 47]

ДАВАЙ РЫСУЙ СХЕМУ - А ТО ТЫ ВЖЭ СКИКЫ НАБАЛАКАВ ШО ЩЯС ПАЛКОВНИК ПРЫЙДЭ - И ТОДИ ТОЧНО НЫ ЗАХОЧИШ СЛУХАТЬ АТВЕТ  

[tkapluk 871]

7 часов назад, Sat_Odessa сказал:

 

 

Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.

В Гуглі: ssh tunnel mikrotik

[Dimkers 1 540]

8 часов назад, Sat_Odessa сказал:

Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.

Можна. От тільки навіщо? Боти намацають той порт та будут туди довбати, а всі пакети будут летіти через мікрт, грузячи його.... А городити ще ї портконокінг для умовної шавушні....

Я б зробив все ж на мікроті якійсь впн серв, на приклад сстп, бо його ще не блокують, бо він повністю пахне https'ом. та працював би з нього(мікрота) на тплінку якщо треба. Або якщо таких ось точок забагато, та тобі треба десь з малдів/тая з ними працювати - зняв би ВПС, на якій би підключався з свого ноута сидячі на пляжУ, а вже саме з тої ВПС лазив би на всі ролтери, що в мене на обслуговуванні. Якось так.

[Sat_Odessa 1]

22 минуты назад, Dimkers сказал:

Можна. От тільки навіщо? Боти намацають той порт та будут туди довбати, а всі пакети будут летіти через мікрт, грузячи його.... А городити ще ї портконокінг для умовної шавушні....

Я б зробив все ж на мікроті якійсь впн серв, на приклад сстп, бо його ще не блокують, бо він повністю пахне https'ом. та працював би з нього(мікрота) на тплінку якщо треба. Або якщо таких ось точок забагато, та тобі треба десь з малдів/тая з ними працювати - зняв би ВПС, на якій би підключався з свого ноута сидячі на пляжУ, а вже саме з тої ВПС лазив би на всі ролтери, що в мене на обслуговуванні. Якось так.

Мне на 5 минут. Потом порт закрывается.

[Sat_Odessa 1]

2 часа назад, tkapluk сказал:

В Гуглі: ssh tunnel mikrotik

Не подходит. Мне часто нужен доступ с чужой машинки, поэтому нужно без установки всего лишнего (vpn, putty и т.п.).

 

Мне нужно что-то вроде правила в NAT: зашел на микротик, поставил правило в ENABLE, поработал 5 - 10 минут и отключил правило.

[Dimkers 1 540]

46 минут назад, Sat_Odessa сказал:

Мне на 5 минут. Потом порт закрывается.

 

39 минут назад, Sat_Odessa сказал:

Мне часто нужен доступ с чужой машинки, поэтому нужно без установки всего лишнего (vpn, putty и т.п.).

А как вы собрались на чужой машинке попадать на микрот и включать правило ? Веб микрота голой соракой на ружу? 🤭

 А vpn сейчас есть даже в телефоне...

 

Ясли вам тяпляп сойдёт(а судя из постов оно таки сойдёт) - используйте прокси на микроте.

 

Відредаговано 2024-02-17 07:40:44 Dimkers

[vlin 41]

port knocking
ping knocking

[Sat_Odessa 1]

1 час назад, vlin сказал:

port knocking
ping knocking

Это мы в курсе. Вопрос не про микротик, а как с его помощью на другой роутер попасть.

[Sat_Odessa 1]

2 часа назад, Dimkers сказал:

 

А как вы собрались на чужой машинке попадать на микрот и включать правило ? Веб микрота голой соракой на ружу? 🤭

 А vpn сейчас есть даже в телефоне...

 

Ясли вам тяпляп сойдёт(а судя из постов оно таки сойдёт) - используйте прокси на микроте.

 

Не понимаю, где вы увидели, что мне тяп-ляп сойдет? У меня все лишнее закрыто для всего мира, но когда нужно я себе нужный порт открываю. Прокси не подходит по вышеупомянутой причине (ничего устанавливать и настраивать нельзя). Только через браузер обычный http/https.

 

Я знаю как подобное решается через ssh, но порт открытый пока жива сессия ssh, а мне нужен порт на постоянной основе и правилами в NAT таблице открывать/закрывать его. От того, что раз в неделю/месяц на 5-10 минут будет открываться порт без всяких VPN и тому подобное - ничего криминального не случится. Ну не смогут боты найти его так быстро, а если какой-то сканер и зацепит его случайно, то точно не сбрутфорсит за такое коротко время.

 

В нате правила либо изнутри наружу, либо снаружи внутрь. А мне нужно снаружи наружу с подменой IP.

[Sat_Odessa 1]

Может у кого-нибудь есть описание настроек MikroTik-а, но не таких как "базовая настройка" или инструкций типа "нажимаем то-то и то-то". Может я и сам разберусь, если найду внятное описание чем, например, dst-nat от netmap отличается.

[Sandorik 19]

ну так возьми и создай два правила. первое, которое порт перекидывает и второе, которое делает нат.

[Sat_Odessa 1]

10 минут назад, Sandorik сказал:

ну так возьми и создай два правила. первое, которое порт перекидывает и второе, которое делает нат.

Мне не нужно перекидывать порт. Порт остается тот же самый. Как сделать нат? У меня не получается.

 

Давайте еще раз сформулирую задачу.

 

Допустим есть некий ТРлинк, у которого Веб-морда открыта наружу для одного единственного адреса на порту 1234. Т.е. мы имеем доступ к MyTPLink.net:1024 с IP-адреса 1.20.33.47 (адрес MikroTik-а). Как сделать так, чтобы с любой точки интернета обращаясь на адрес https://1.20.33.47:1234 мы при этом попадали на https://MyTPLink.net:1024, и при этом ТРлинк должен думать, что запросы к нему приходят от 1.20.33.47. Вопросы связанные с безопасностью, ботнетами, порткнокинг и прочее не обсуждаем.

 

П.с.: адреса и номер порта взяты с головы.

Відредаговано 2024-02-17 11:13:42 Sat_Odessa

[Dimkers 1 540]

1 час назад, Sat_Odessa сказал:

Прокси не подходит по вышеупомянутой причине (ничего устанавливать и настраивать нельзя). Только через браузер обычный http/https.

А для прокси ничего кроме браузера и не надо....

1 час назад, Sat_Odessa сказал:

, а мне нужен порт на постоянной основе и правилами в NAT таблице открывать/закрывать его.

А как вы это собрались делать без putty\winbox?

1 час назад, Sat_Odessa сказал:

От того, что раз в неделю/месяц на 5-10 минут будет открываться порт без всяких VPN и тому подобное - ничего криминального не случится

Зашел включил прокси на микроте. в браузере прописал порт и IP микрота, ввел адрес тплинка и зашел. Чем не устраивает?

[Dimkers 1 540]

47 минут назад, Sat_Odessa сказал:

Как сделать так, чтобы с любой точки интернета обращаясь на адрес https://1.20.33.47:1234 мы при этом попадали на https://MyTPLink.net:1024, и при этом ТРлинк должен думать, что запросы к нему приходят от 1.20.33.47.

harpin nat\nat loopback\dst-nat...

Відредаговано 2024-02-17 11:52:33 Dimkers

[Sat_Odessa 1]

Всем спасибо, разобрался.

 

Трафик попадал под другое запрещающее правило в фаерволе, поэтому у меня ничего и не получалось.

[Dimkers 1 540]

1 час назад, Sat_Odessa сказал:

Может у кого-нибудь есть описание настроек MikroTik-а, но не таких как "базовая настройка" или инструкций типа "нажимаем то-то и то-то"

А зачем эти описания, если нет понятия как сеть работает? Вы поймите как работает ваш проброс портов, а потом уже делайте то что нужно. Базовые настройки они и зовуться того - базовые. Остальное уже - это хлеб сетевых админов\сетевых инженеров.

2 минуты назад, Sat_Odessa сказал:

рафик попадал под другое запрещающее правило в фаерволе, поэтому у меня ничего и не получалось.

Ну вот, когда сел и подумал сам, без обращения за быстрыми решениями - оно и получилось

[Sat_Odessa 1]

6 минут назад, Dimkers сказал:

А зачем эти описания, если нет понятия как сеть работает? Вы поймите как работает ваш проброс портов, а потом уже делайте то что нужно. Базовые настройки они и зовуться того - базовые. Остальное уже - это хлеб сетевых админов\сетевых инженеров.

Ну вот, когда сел и подумал сам, без обращения за быстрыми решениями - оно и получилось

Я не обращаюсь за быстрыми решениями. Только когда в тупик захожу. Просто нужно было выспаться.

[DICTATOR1 47]

ТЫБИ ПРОСТО ПОВЫЗЛО ШО СЛАВКА НА КОМБАЙНЕ НЫ ПРЫЙИХАВ  

[Інет.укр 110]

5 часов назад, DICTATOR1 сказав:

ТЫБИ ПРОСТО ПОВЫЗЛО ШО СЛАВКА НА КОМБАЙНЕ НЫ ПРЫЙИХАВ  

ну а що, коло тплінка поставив саму круту точку від комбайна, коло мікрота поставив і все) 

[carver 76]

похоже что все отписавшиеся в топике, теперь будут проходить по делу, как свидетели или соучастники этого SAT кардшаринга ))

[DICTATOR1 47]

ТА КОМУ ЩЯС ТОЙ ШАРИНГ ВСРАВСЯ? ТАРЕЛКЫ ЩЯС ТОКА У ДАЛБАЙОБОВ - ПРЫ ТОМ ШО ЩЯС У КАЖДОМ КУРЯТНЫКУ У СЫЛИ ЗАБЫТОМ ОПТИКА И 100 МИГАБИТ ИНЕТ - ВСИ ЮЗАЮТЬ АЙПИТВ

[carver 76]

В 18.02.2024 в 03:00, DICTATOR1 сказал:

ТА КОМУ ЩЯС ТОЙ ШАРИНГ ВСРАВСЯ? ТАРЕЛКЫ ЩЯС ТОКА У ДАЛБАЙОБОВ - ПРЫ ТОМ ШО ЩЯС У КАЖДОМ КУРЯТНЫКУ У СЫЛИ ЗАБЫТОМ ОПТИКА И 100 МИГАБИТ ИНЕТ - ВСИ ЮЗАЮТЬ АЙПИТВ

ну ты тут себе "на пятерик" наговорил.
ВСУ на SAT/тарелках живет, старлинк там и все такое. ))

 

говоришь д$лб#$бы ?
согласен. оптика - наше все.

 

пора прекращать этот резерв персонала.

как думаешь ?

 

а кардшаринг или astra/мультикаст или партнерский "megogo",

х.з.  может есть тонкости, но похоже мы оба не в теме, того, что сами вещаем.

или смотришь там что, и в курсе ?