Mikrotik és technicolor port forwarding

Hálózatok általános

Sziasztok

Van egy technicolor tc7200-as csodálatos kábelmodem routerem. Tavaly nyáron beüzemeltem egy hobbi/munka linux szervert Multimédia, Nas, AD DC, WEBszerver, ftp funciókkal, és elég intenzíven használom is távolról. A lakossági használatra szánt routerem be is adta fél év alatt a kulcsot. Szolgáltató természetesen cserélte is, de megjegyezték ez nem erre való.

Szóval eldöntöttem tehermentesítem ezt a szart és teszek be mögé egy komolyabbat.

Vettem is egy RB2011UiAS-2HnD-IN típusú Mikrotiket. Előbb-utóbb meg kell tanulni, meg így az ember rákényszerül hogy fejlessze a hálózati ismereteit.

Lehet ezzel kicsit túl lőttem a célom, mert a buta routeremhez okos vagyok, a mikrotikhez viszont hülye.

Akkor a lényegre térek. Valamiért nem sikerül belőnöm, nemhogy kintről nem érem el a szerverem, de itthonról a saját hálózatomból sem.

Leírom a mikrotik elötti működő állapotot is, hátha lényeges.

A TC7200 ip címe 192.168.0.1, 10 és 40 között osztja ki az ip címeket.
A szerveremben egyetelen hálókártya van, fix ip címmel: 192.168.0.100

A port forwarding beállítások a webmin eléréséhez:

Local IP Address: 192.168.0.100
External IP Address: 0.0.0.0
Local Start Port: 10000
Local End Port: 10000
External IP: 0.0.0.0
External Start Port: 10000
External End Port: 10000

Így tökéletesen működött.

A jelenlegi felállás: A tc7200 2-es lan portja meg a mikrotik eth1-re. Az eth2 meg egy nyolcporotos tp-link TL-SG1008-as switchbe, ezen keresztül csatlakoznak a pc-k és a szerver.

A mikrotik ipcíme a gyári 192.168.88.1

10-50-ig kapják a kiensek a címeket, a szerver ip-jét átállítottam ...88.100-ra.

A kliens gépeken az átjáró át lett írva ...0.1-ről ...88.1-re, a névkiszolgáló ...0.100-ról ...88.100-ra.

Mivel a TC7200 elég butuska, továbbá a szolgáltató eléggé lekorlátozta a beállításokat, így a tűzfalat sem lehet kikapcsolni, ezért két tűzfalam van. Természetesen az ip címekben a megfelelő helyen átírtam a 0-kat 88-ra.

Samba és társai köszöni jól van, tarományvezérlés, névfeloldás működik.

A mikrotik beállításai miatt széttúrtam a netet, mindent a leírtak szerint állítottam be, amit mindjárt ismertetek, de mégsem érhető el sem kintről, sem a helyi hálózati kliensekről

IP > FIREWALL > NAT:

General szekció: chain dst-nat, protocol tcp, dst port 10000, in interface all-ethernet (ezt természetesen szigorítom majd)

Action szekció: action dst-nat, to addresses 192.168.88.100 to ports 10000

  • 2232 megtekintés

( virgagabi | 2018. 02. 04., v – 20:14 )

Ha ez egy UPC-s modem UPC-s szolgáltatással, akkor azzal kezdeném, hogy átállítom "Bridge Mode"-ba a System menü Switch mode alatt. Így a mikrotik már publikus IP-t fog kapni és az eszközök már nem lesznek kétszeres NAT mögött. Cserébe ezen felül már csak 1 eszköznek lesz képes IP-t adni a TC7200.
Szerk: mondjuk ha IPv6-os config van a TC7200-on (DSlite) az árnyalja a helyzetet, de akkor eddig sem érted volna el az eszközöket kívülről IPv4-en...

( Seaweed | 2018. 02. 04., v – 21:06 )

Ha nincs a technicolorban bridge mode (mint ahogy az enyémben sincs) akkor nem marad más mint a DMZ. így igaz hogy 2 NAT lesz, de legalább kintről elérsz mindent ami a mikrotikon engedve van.

Mikrotik-ot meg kezeljük külön. Feltételezve hogy azon minden jól be van állítva.

Alap beállításokat leíró doksikkal tele a net. De a leírásból nem derül ki hogy ether1 dhcp clienten van e, illetve a masquerade rendesen be van e állítva.

Kintről eléréshez meg dst-nat kell adott portokkal.

Ebben az esetben gyak letojhatod "két tűzfalad van", ha bridge akkor eleve, ha DMZ akkor meg technicolor minden enged a mikrotik fele.

A szolgáltatóm a PR-Telecom. Az eszközparkja tudtommal 100%-ban megegyezik a UPC-jével, mivel a UPC saját gárda híján a pr-rel épíítteti ki a rendszert.

Sajnos a pr elég durván lekorlátozza a modemrouterjeit. Megnéztem egy TC7200-es manualt, úgy a beállítások 70%-a el van a kedves pr ügyfél orra elől dugva. Nemhogy nem lehet átkapcsolni bridge módra, de DMZ opció sincs. Szívesek kiprintscreenelném az adminfelületet, de úgy néz ki ez a ketyere is beadta a kulcsot egy hét használat után. Üres oldal jön be meg néhány pötty és egy táblázat. Menüpontok, gombok meg sem jelennek. Az előző legalább másfél évig kibírta.

Nem lehet, hogy egy központi frissítési hiba vágja haza? Jobb lesz ha írok a pr informatikának. Esetleg itt a hupon nincs valaki, aki pr-nél rendszergazda?

Cseréltesd ki azt a vackot egy sima Cisco gigabit-es kábelmodemre. Nekünk is volt ilyen, kb 12 órán keresztül. Amióta kicserélték a Cisco kábel modemre azóta jó. Arra kell figyelni, hogy a Cisco modem és MikroTik router között keresztkötésű kábel legyen. Ekkor fognak rendesen összeállni gigabit-el az eszközök. A Cisco modem-en a link LED zölden fog villogni. Egyenes kábellel csak 100 Mbit/sec-el fognak összeállni.

Probléma megoldva. Írtam a PR informatikának. Javasolták a router cseréjét modemre. Be is mentem a kőszegi ügyfélszolgálatra és potom 2540 Ft ráfizetéssel megdobtak egy Cisco EPC3208-al. Nem tudjátok elképzelni mennyire megörültem. Az ügyfélkezelők se értették hogy lehet az, hogy valaki annak tud örülni, ha a modemrouterét modemre cserélik.
Gúnyosan azt válaszoltam: Hülye informatikusok... (Persze valójában fordítva gondoltam, a neminformatikus földi halandókra)

( ggallo | 2018. 02. 05., h – 21:33 )

Ha jól értem, a belső hálózatról sem éred el a Webmin felületet. Mindezt úgy, hogy a gépek egy switch-en, azonos IP tartományban vannak, és egyébként látják egymást.
Ha így van, akkor nem lehet, hogy csupán a Webmin elérésének korlátozása maradt a régi IP tartományon, és azért nem enged csatlakozni?

A Mikrotik port átirányítás mellé még kell egy engedő tűzfal szabály is, amennyiben a gyári konfig él, és benne vannak a gyári DROP szabályok.
Valami ilyesmi: add chain=forward dst-address=192.168.88.100 dst-port=10000 protocol=tcp
De ez ugye csak és kizárólag a Mikrotik-en átmenő forgalomra (ami az internet felől érkezik) van hatással, a helyi elérésre nem.