Проброс портов на 2х Роутерах.(Сервер у абонента)

[Archy_k 14]

Здравтсвуйте. (по существу читайте жирный шрифт)

 

У меня небольшая сетка, нет возможности раздавать белые IP (на одном белом IP - сегмент сети).

NAT'ит сервак с freebsd с помощью PF (он же Packet Filter)

 

Вот какая ситуация у меня получилась:

Абонент у себя установил видеонаблюдение на всех домах, а сервер ставит дома (в одном из его домов\дач). Он хочет смотреть из вне за своими домами\дачами. *как вы понимаете, сервак рандомно оказался в моей сети, то есть в том из его домов, который подключен к моей сети.

Нужно, чтоб при попытке зайти на мой белый IP, абон попадал не на "заглушку"\личный кабинет, а на веб морду своего сервака...

Для этого он должен идти на мой белый IP через порт например 1111 (или фих его знает какие порты у этого сервака) -> 99.99.99.99:1111

и тогда попадал на веб-морду своего видеонаблюдения, так ведь?

 

Я правильно понимаю теорию?

 

Для этого нужно правило для проброса портов в конфиге PF'a. 

(для примера используется, предположим

- внешний IP сервака -> 99.99.99.99

- IP абонента -> 172.16.0.104

- порт 1111 - через который абонент будет слать запрос на сервак (в браузере писать 99.99.99.99:1111 и попадать на свой роутер)

- порт 8080 - через который откликается роутер (ну так уж настроено) 

Вот какое правило я написал, потом stop и start PF'а... и все вроде бы работает. Но правильно ли?

Уважаемые коллеги, я не уверен, что правильно написал это правило, но вроде бы работает. Для успокоения моей совести, те кто знает, проверьте пожалуйста на ошибки... не поломает ли мне это правило ничего? Заранее спасибо.

rdr pass proto tcp from any to 99.99.99.99 port 1111 -> 172.16.0.104 port 8080

1.Роутер настроен так, что доступ у него на WAN'е через порт 8080, и теперь он виден из мира на порту 1111. (проброшен правилом: "при попытке зайти на белый IP через порт 1111, сервак переадресовывает запрос на серый IP абонента на порт 8080, то есть на веб морду роутера)

 

А теперь главная проблема, которую нужно решить: 

-> У абонента на территории 3 дома, и 3 роутера. Подключены все они сосиской (последовательно). Сервак видеонаблюдения находится на втором роутере (это технически не изменить). Модель роутеров TP-Link 841ND. Как настроить пробросы портов с 1го роутера на 2й, чтоб из вне заходить на веб-морду сервака видеонаблюдения. У меня в голове как-то все это не укладывается, хотя и понимаю, что все можно..

Подскажите пожалуйста, как такое реализовать? 

Аксиомы:

- на 1й роутер заход из мира *99.99.99.99:1111 пишем в браузере (IP выдуман для примера, чтоб заменить реальный белый IP, в данном примере это якобы белый IP)

- 2й-роутер получает от первого статический IP 192.168.1.1

- ко 2му-роутеру подключен этот сервак видеонаблюдения. (статику ему еще не дал, там по умолчанию 192.168.1.108, но это не важно)

Заранее огромное спасибо!

Відредаговано 2014-06-30 12:26:36 Archy_k

[C@der 1]

1. на вашем роутере (nat с freebsd) пробрасываете порт на ip аббонента (уже сделали)

2. на 1й роутер пробрасываете порт 8080 на ip регистратора

[Den_LocalNet 1 472]

на первом и втором роутере прописать dmz

[C@der 1]

dmz прокинет все порты, и туда будут ломиться местные хакеры.

судя по тому, что 2й роутер и видорегистратор находятся в одной подсети - второй роутер работает свичем и точкой доступа - значит на нем ничего настраивать не нужно

[Archy_k 14]

на первом и втором роутере прописать dmz

ага, была такая мысль..

это должно выглядеть так? ->

 1й роутер: DMZ - 192.168.1.1 (то есть IP, который получает 2й роутер)

 2й роутер: DMZ - 192.168.0.100 (то есть IP, который статиком прописан для сервака видеонаблюдения)

Да?

 

А UPnP вырубить на обоих роутерах? 

[Archy_k 14]

судя по тому, что 2й роутер и видорегистратор находятся в одной подсети - второй роутер работает свичем и точкой доступа - значит на нем ничего настраивать не нужно

такс, 2й роутер пока не работает свичем и точкой доступа, а работает как полноценный роутер. там у него дома 3 отдельных сети, но я думаю, что нужно сделать как Вы говорите - свичем и точкой доступа! *мне кажется, что так будет адекватнее для одного териториального адреса - не переключаться с одной сети WiFi на другую при переходе с дома в басейн, гараж и т.д.)

 

Но для начала я хочу настроить проброс портов, в случае, если там осознано было сделано 3 сети, и абон не даст сделать 1 сеть.

[C@der 1]

переход с бассейна в гараж при сохраннии сигнала wifi - просмотрите в сторону unifi

а по настройкам как-то так:

1. на вашем роутере (nat с freebsd) пробрасываете порт на ip аббонента (уже сделали)

2. на 1й роутер пробрасываете порт 8080 на ip второго роутера

3. на 2й роутер пробрасываете порт 8080 на ip регистратора

 

порт 8080 лучше поменять на что-то другое, например 20080

[Archy_k 14]

1. на вашем роутере (nat с freebsd) пробрасываете порт на ip аббонента (уже сделали)

2. на 1й роутер пробрасываете порт 8080 на ip регистратора

такс, я вот в чем "сыплюсь":

если брать так как есть - то есть 3 роутера и 3 отдельные сети...

если я проброшу порт 8080 на 2й роутер то я потеряю доступ к веб-морде 1го роутера и меня будет бросать сразу на морду 2го роутера.

А там уже пробрасывать на IP регистратора или прописывать DMZ.

Или я не понимаю что-то?

[C@der 1]

пробрасывайте 3 порта, чтобы сохранился доступ к вебмордам

каждой морде - свой порт

Відредаговано 2014-06-30 13:02:14 C@der

[Archy_k 14]

пробрасывайте 3 порта, чтобы сохранился доступ к вебмордам

каждой морде - свой порт

Огромное спасибо Вам!

Сегодня попробую все это сделать, и потом отпишусь о результатах.

[Archy_k 14]

Всю ночь мучался, не получилось...

Второй роутер не виден, или как на него тогда заходить? (порт из мира сделал разным

Все вариации перепробовал, и ничего: не попадаю на веб-морду 2го роутера, а на первый роутер без проблем.

Все роутеры TP-Link 841N.

Мож я не так что-то делаю... 

 

*вечером пойду проверю настройки для 2го роутера, мож там настройки кривые.

[C@der 1]

в вебморде обоих тп-линков для доступа к ним по wan порту должен быть включен 

Access Control - Enable Internet Access Control 

порты пробрасывать в Forwarding - Virtual Servers

настраивать проще с самого дальнего конца (от регистратора)

[Archy_k 14]

в вебморде обоих тп-линков для доступа к ним по wan порту должен быть включен 

Access Control - Enable Internet Access Control 

порты пробрасывать в Forwarding - Virtual Servers

настраивать проще с самого дальнего конца (от регистратора)

На первом Тп-Линке эта галочка отключена (только что проверил), но я все же попадаю на веб-интерфейс из мира (по wan порту).

Если я хочу попасть на веб-морду второго роутера - поставить на обоих галочку и настраивать Переадресацию (Forwarding)? 

Этот форвардинг я уже делал и не раз, но не получилось... Неужели в этих галочках дело?

 

 

Вот тут сбоку прочитал про эти галочки, и там пишут, что это ограничение конкретных интернет узлов, то есть например гугла, яндекса и т.д.

 

Завтра с утра ваще со скринами все выложу, может подскажете прям явную ошибку в моих мучениях. 

Відредаговано 2014-07-01 15:26:08 Archy_k

[zaborovsky 359]

У абонента на территории 3 дома, и 3 роутера. Подключены все они сосиской (последовательно).

зачем три роутера?

достаточно одного роутера (на входе),а два других заменить свитчами, соединенными каскадом (т..е. сосиской по вашей терминологии ).

тогда форвардинг портов проще делать -- для каждого сервера видеонаблюдения пробрасывать свой порт на роутере, стоящем на входе в его подсетку.

 

тогда

 

"при попытке зайти на белый IP через порт 1111, сервак переадресовывает запрос на ПЕРВЫЙ сервер видеонаблюдения абонента 

"при попытке зайти на белый IP через порт 1112, сервак переадресовывает запрос на ВТОРОЙ сервер видеонаблюдения абонента 

 

и наконец

"при попытке зайти на белый IP через порт 1113, сервак переадресовывает запрос на ТРЕТИЙ сервер видеонаблюдения абонента 

Відредаговано 2014-07-01 15:33:04 zaborovsky

[Archy_k 14]

Ну вот во-первых: там 3 роутера с WiFi, или может бывают свичи с WiFi? даже если да, то вопрос поставлен так, что абон скорее всего откажется что-либо менять и он знает, что можно настроить, поэтому нужно настроить (там проводами подключены только роутеры между собой, а абонские гаджеты все на WiFi висят)

 

Вы предложили открыть 3 порта для абонента, чтоб сервак кидал на веб-морду роутеров. То есть Вы предлагаете у всех 3х роутеров на доступ с ван-порта сделать 1 и тот же порт, и настроить проброс согласно входящего порта? Ну впринципе так я и делаю, но... Всех 3х случаях я попадаю на веб-морду роутера, который 1й в этой сосиске.

 

У меня не получается пройти сквозь 1й роутер, то есть например пробросить порт 1112 на 1м роутере, и тем самым попасть на веб-морду второго роутера.

Если знаете как, то жду любых полезных предложений. 

[zaborovsky 359]

Ну вот во-первых: там 3 роутера с WiFi, или может бывают свичи с WiFi? даже если да, то вопрос поставлен так, что абон скорее всего откажется что-либо менять и он знает, что можно настроить, поэтому нужно настроить (там проводами подключены только роутеры между собой, а абонские гаджеты все на WiFi висят)

как вариант -- второй и третий роутеры заменить на точки доступа

в противном случае у абона на третьем роутере -- тройной НАТ, на втором -- двойной.

зачем такое?

Вы предложили открыть 3 порта для абонента, чтоб сервак кидал на веб-морду роутеров. То есть Вы предлагаете у всех 3х роутеров на доступ с ван-порта сделать 1 и тот же порт, и настроить проброс согласно входящего порта? Ну впринципе так я и делаю, но... Всех 3х случаях я попадаю на веб-морду роутера, который 1й в этой сосиске.

У меня не получается пройти сквозь 1й роутер, то есть например пробросить порт 1112 на 1м роутере, и тем самым попасть на веб-морду второго роутера

изначально я предлагал слить все в одну сеть путем замены второго и третьего роутера в каскаде на свитчи

тогда бы все сервера видеонаблюдения были в одной подсети и все их 8080-е порты можно было промапить на главном роутере на три последовательно идуших порта: 1111, 1112 и 1113

Если знаете как, то жду любых полезных предложений.

в вашем же случае нужно делать последовательный форвардинг портов, начиная с третьего роутера на первый

например

8080-порт сервера-3 мапим на порт-1111 на роутере-3,

затем на роутере-2 порт 1111 роутера-3 мапим на порт 1111 роутера-2

затем то же самое -- на роутере-1

 

по такой же схеме сервер-2

только там цепочка укорачивается на одно звено

 

ну и так далее

 

получаем:

 

S3:8080 --> R3:1111 --> R2:1111 --> R1:1111

S2:8080 --> R2:1112 --> R1:1112

S1:8080 --> R1:1113

но я бы все же предложил все слить в одну сетку и заменить роутеры на свитчи + точки доступа

 

а то тройной и двойной НАТ -- это не айс.

Відредаговано 2014-07-01 21:26:15 zaborovsky

[C@der 1]

или выключить на 2м и 3м роутерах dhcp и провод идущий от первого роутера подключать НЕ в WAN.

после чего настраивать только первый роутер

Відредаговано 2014-07-01 20:11:36 C@der

[C@der 1]

и для сервера видеонаблюдения, скорее всего, нужно пробрасывать не один порт

[zaborovsky 359]

или выключить на 2м и 3м роутерах dhcp и провод идущий от первого роутера подключать НЕ в WAN.

после чего настраивать только первый роутер

можно и так.

т.е. делаем из роутеров тупые свитчи путем отключения dhcp и не используем их wan-порты.

но это кривоватое решение, как по мне (я такое делал...) -- к примеру, абон сбросит настройки роутеров и все перестанет работать

 

и для сервера видеонаблюдения, скорее всего, нужно пробрасывать не один порт

кстати, да, и такое может быть.

там только веб-морда на 8080, а софт его, скорее всего, еще какие-то порты юзает.

Відредаговано 2014-07-01 21:32:14 zaborovsky

[Archy_k 14]

Огромное спасибо всем, кто помог!

Проблема решена (не было возможности сразу же написть): 2й и 3й роутеры не пробрасывали порты, пришлось прийти к человеку, сделать reset на обоих роутерах, настроить заново, и все заработало:

- Теперь видео-сервак виден из вне на конкретном порту -> там его веб-морда.

- Еще 2 порта я протянул через 2 роутера, чтоб прога для видео-сервака могла с ним общаться.

- Каждому роутеру назначил свой порт на ван-интерфейс(порт) для доступа из вне. А также протянул эти порты на ван-интерфейсах через все роутеры и через сервак. Теперь доступны все веб-морды роутеров и видео-сервак.

- Реализовал без DMZ. С помощью - Forwarding -> Virtual servers.

Если кому нужна помощь, м.б. что-то детальнее объяснить, пишите в личку, если смогу - помогу!

Еще раз всем спасибо за помощь!

[Archy_k 14]

У меня тут спросили со скринами показать, у некоторых не получается сделать.

Решил продублировать один из своих ЛС, мож кому понятнее будет:

 

1. Во-первых:

каждому роутеру нужно прикрепить статический IP на вышестоящем: то есть 2й роутер должен получать всегда 1 и тот же (зарезервированый под него IP):

это на первом роутере

 

это на 2м роутере, у меня тут привязан IP 3го роутера и IP видео-сервака.

 

2. Во-вторых, создаем переадресацию:

В разделе DHCP -> выставляем правило в разделе Виртуальные Серверы  и указываем порт и IP по которому будет идти перенаправление на следующий роутер (НО, если речь идет о веб серваке, то нужно сменить порт захода на веб-морду роутера с 80 или 8080 на любой другой, я у себя сделал 20081(для 1го роутера), 20082(для 2го роутера), 20083(для 3го роутера), то есть чтоб при использовании 80го порта, на котором работает Apache (или как там у тебя веб-сервер называется?), оно не лезло на веб-морду роутера.

смотри как у меня:

Рассмотрим все мои правила:

1е правило - это проброс порта 20082 на IP -> 192.168.82.1 (который привязан к мак-адресу 2го роутера, то есть его получает всегда 2й роутер.), кстати на 2м роутере установлено удаленное управление на интерфейсе (на разъеме WAN) через порт 20082 вот как это выглядит:

для первого роутера у меня стоит порт 20081,

а для 3го роутера - 20083.

Предположим твою ситуацию...теперь, если я из интернета введу IP адрес, который ты получешь, скажем от Киевстара (то что получает твой 1й роутер) - например это 46.46.46.46 , и при этом ты укажешь порт 20082, то ты попадешь на веб-морду твоего второго роутера. Выглядит это так:

46.46.46.46:20082

(IP - выдуман для примера, надеюсь, что это понятно)

2е правило - это впринципе теперь тебе понятно, я надеюсь: это я пробросил "запрос на доступ к веб-морде 3го роутера" с 1го роутера на 2й....

Представь ситуацию: ты пишешь 46.46.46.46:20083 - то есть ты ломишься на 1й роутер на порт 20083, и он по 2му правилу шлет тебя на 2й роутер, а на 2м роутере стоит правило, которое переадресовывает этот запрос на 3й роутер, и тот уже открывает свою веб-морду! Понятно это?

Глянь сразу на правила переадресации этого порта со второго роутера на 3й, чтоб наглядно понимать:

3е правило - это проброс диапазона портов с 37777 по 37778 (то есть 2 порта) на 2й роутер, а со второго роутера на видео-сервак, который у нас стоит отдельной железякой, и слушает запросы на порт 37777 и отправляет ответы на порт 37778. То есть если прога, которая мониторит видео-наблюдение включена и хочет получать видео, она отправит запрос на IP адрес 46.46.46.46:37777 , который попадет на 1й роутер, и будет отправлен по 3му правилу на 2й роутер, а оттуда на видео-сервак. и т.д. Надеюсь это понятно?

4е правило - это веб-морда видео-сервака , то есть при простом вбивании в браузере IP адреса 1го роутера (то есть типа 46.46.46.46), сразу сработает правило на 1м роутере, и потом на 2м роутере, и далее сработает веб-морда видео-сервака.

Я короче даже не знаю что еще написать, если не понятно, не стесняйся, задавай вопросы!

3. В-третьих, главное вот что:

- 1.Смени порты удаленного управления на своих роутерах, чтоб они были не 80 и не 8080, чтоб не перекрывали твой веб-сервак. 

- 2.От КИЕВСТАРА ты получаешь динамический IP ??? - это херово! Нужен статический, чтоб каждый раз не искать на каком ты IP сейчас...

- 3.Если у тебя сервак на 3м роутере висит, то протащи правилами 80й порт на конкретный IP адрес, который выдает 3й роутер твоему серваку!

- 4.Назначь всему (роутерам, серваку) статические IP адреса.

Відредаговано 2014-10-31 00:18:29 Archy_k