faq обучение настройка
Текущее время: Сб ноя 18, 2017 07:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Чт ноя 02, 2017 19:43 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
Добрый день, уважаемые системные администраторы, модераторы.
Столкнулся с проблемой и недопониманием, прошу помочь разобраться или указать где я допустил ошибку и на что обратить внимание.
Исходные данные:
1. WAN2 - основной интернет (статический IP)
Через WAN2 на LAN проброшен порт 30000 на IP 192.168.16.150
2. WAN1 - резервный MTS-3G роутер (статический IP)
MTS-3G имеет подсеть 192.168.17.0/24, шлюз 192.168.17.1 и проброшен порт 30000 на 192.168.17.10
WAN1 имеет IP 192.168.17.10, шлюз 192.168.17.1
3. LAN - имеет подсеть 192.168.16.0/24 шлюз 192.168.16.1.

Задача:
Пробросить порт 30000 MTS-3G на WAN1, далее на LAN IP - 192.168.16.150. Получается, ткнувшись на два разных статических IP-адреса я могу попасть на один и тот же компьютер.

Результат:
+ Захожу через WAN2 без проблем.
+ Захожу находясь в подсети MTS-3G роутера 192.168.17.0/24 через WAN1 на LAN IP - 192.168.16.150 без проблем (правило DFL отрабатывает)
- Не могу попасть на 192.168.16.150 тыкаясь извне на MTS-3G. MTS-3G порт 30000 проброшен, проверял.

Проблема:
Похоже я что-то не учёл: напутал с маршрутизацией, правилом или не дописал его.

1. Policies -> Firewalling -> Rules -> Main IP Rules -> MTS_to_LAN_30000 (IP Policy - Allow)
Source: WAN1 - 192.168.17.0/24 или 0.0.0.0/0
Destination: core - 192.168.17.10
Service: 30000
Source translation: Auto
Destination Translation: SAT -> Single IP -> 192.168.16.150

Решения от 11.11.2017 нескольких задач в одной теме, описание частного случая:
Скрытый текст: показать
Оборудование:
1. ZTE MF283+ (МТС 834F) - роутер МТС в режиме DMZ
2. DFL-860E (прошивка 2.27.30.03) - обновлённый интерфейс
Сети:
1. МТС 834F - DMZ.
  • WAN IP (условно) - 1.1.1.1
  • IP: 192.168.17.10 - IP адрес, на который мы "повесим" DMZ
  • Маска: 255.255.255.0
  • Шлюз: 192.168.17.1
2. DFL-860E - WAN1 (резервный) и WAN2 (основной - PPPoE).
  • wan1_ip: 192.168.17.10 - IP адрес WAN1
  • wan1_net: 192.168.17.0/24
  • wan1_gw: 192.168.17.1
  • wan1_metric: 80
  • wan2_ip: 0.0.0.0
  • wan2_net: 0.0.0.0
  • wan2_gw: 0.0.0.0
  • wan2_metric: не имеет значения. wan2 не будет использоваться напрямую.
  • PPPoE IP (условно): 2.2.2.2
  • PPPoE_metric: 90
  • Сервис Radmin = 30000 (порт)
Примечание: Все пакеты, которые попадают на WAN IP - МТС 834F будут отправлены на IP 192.168.17.10 для нашей DFL-860E. Перед использованием MTS роутера, рекомендую проверить отработку DMZ на ПК. Некоторые модели, особенно старые, даже с последними прошивками - работают некорректно. Характеристики WAN2 при PPPoE не имеют значения, поэтому 0.0.0.0
3. Radmin установлен на IP-адрес 192.168.16.150 - LAN сети и имеет открытый порт 30000. lan_ip_150 - наш компьютер назначения в локальной сети.

Задача 1. Настроить DMZ на роутере МТС и подготовить DFL-860 к следующим основным задачам: перенаправление портов с МТС DMZ на WAN1 далее в LAN сеть, открыть ping на WAN1, перенаправить трафик конкретного пользователя lan_ip_150 через WAN1.
Подготовка роутера МТС.
  • Отключаем NAT
  • Отключаем Брандмауэр
  • Включаем DMZ
  • DHCP не имеет значения (вкл/выкл)
  • DMZ садим на 192.168.17.10
Подготовка DFL-860E
  • Работаем с Object -> Adress Book -> InterfaceAddresses и изменяем wan1_ip, wan1_net, wan1_gw
  • PPPoE настроен и работает через WAN2
  • Далее переходим в Network -> Interfaces ans VPN (первая вкладка сверху) -> Ethernet и проверяем, чтобы wan1 соответствовал wan1_ip, wan1_net, wan1_gw. В итоге получаем нашу сетку представленную выше. В настройках wan1 перейти на вкладку Advanced и убрать вторую галку с "Automatically add a default route for this interface using the given default gateway". Первая галка остаётся. И устанавливаем метрику (route metric) = 80.
    Для понимания: мы удалили маршрут со шлюзом (wan1 / all-nets / wan1_gw) из таблицы маршрутизации main (вторая галка), но оставили узел сети (wan1 / wan1_net) в этой таблице (первая галка). Скрытый маршрут core 192.168.17.10 остался в таблице main.
  • Перейдём в Network -> Routing и создадим новую таблицу Add -> Routing Table. Назовём mts_wan1, а параметру Ordering присвоим Only (при выборе данной опции все таблицы маршрутизации, за исключением альтернативной, игнорируются - виртуальная таблица). Оставшиеся флаговые кнопки должны быть выключены (галок нет).
    Создав новую таблицу, зайдём в неё и создадим маршрут, который мы удалили из main. Выберем Add -> Route IPv4. И заполним параметры значениями.
    Код:
    Interface - wan1 (физический интерфейс)
    Network - all-nets (вся сеть 0.0.0.0/0)
    Gateway - wan1_gw (шлюз для wan1 - 192.168.17.1 - шлюз МТС роутера)
    Local IP address: None (нам это не надо, у нас есть wan1_gw. Этот параметр обычно не определяют. Если этот параметр определён, то система NetDefendOS отвечает на ARP-запросы этого адреса.)
    Metric: 80
  • Основная подготовка завершена.

Задача 2. Перенаправление портов с МТС DMZ на WAN1 далее в LAN сеть.
  • Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
    Код:
    Name: MTS-3G
    Forward routing table: main - (таблица маршрутизации для исходящего трафика)
    Return routing table: mts_wan1 - (таблица маршрутизации для входящего трафика)
    Service: Radmin

    Source: wan1 - all-nets или net_home - (сеть источник - любая внешняя сеть за пределами нашей DFL-860E. net_home - конкретная сеть за пределами нашей DLF-860E)
    Destination: core - wan1_ip - (сеть назначения)

    Примечание: Мы создали правило маршрутизации, при котором весь входящий трафик с любых сетей (all-nets) или частный случай - только из домашней сети - конкретный адрес (net_home = 3.3.3.3) по порту 30000 (сервис Radmin) которые попадают на WAN1 (mts_wan1) далее будут обрабатывается основной таблицей маршрутизации main и направляться на IP-адрес WAN1. Далее трафик можно маршрутизировать по любым VLAN сетям, если есть скрытые маршруты core этих сетей в таблице main.
  • Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP политику (ADD -> IP Policy) и заполняем параметры значениями
    Код:
    Name: wan1_radmin
    Action: Allow

    Source: wan1 - all-nets или net_home
    Destination: core - wan_ip

    Service: Radmin

    Source Translation
    Address Translation: Auto

    Destination Translation
    Address Translation: SAT
    Address Action: Single IP
    New IP Address: lan_ip_150 - (192.168.16.150)
    Port: None - (если порт назначения равен входящему порту, то ничего не указываем)

    Для понимания: Разрешаем маршрутизацию трафика из любых сетей (all-nets - 0.0.0.0/0) или частный случай (net_home) из WAN1 через ядро (core) на IP адрес WAN1.
    Далее пакет через статическую адресную таблицу SAT попадает на один IP (Single IP), а конкретно на lan_ip с портом 30000.
  • Перенаправление порта завершено. Теперь мы можем попасть на lan_ip через PPPoE (3.3.3.3), который выходит через WAN2 (основной), а также через WAN1 (резервный) пройдя через DMZ нашего МТС роутера (1.1.1.1). Притом всё работает даже если зайти одновременно через 3.3.3.3 и через 1.1.1.1

Задача 3. Открыть ping на WAN1.
  • Делается всё по аналогии задачи 2. Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
    Код:
    Name: wan1_ping
    Forward routing table: main - (таблица маршрутизации для исходящего трафика)
    Return routing table: mts_wan1 - (таблица маршрутизации для входящего трафика)
    Service: ping-inbound

    Source: wan1 - all-nets или net_home - (сеть источник - любая внешняя сеть за пределами нашей DFL-860E. net_home - конкретная сеть за пределами нашей DLF-860E)
    Destination: core - wan1_ip - (сеть назначения - наш IP WAN интерфейса)

    Примечание: Мы создали правило маршрутизации, при котором весь входящий трафик с любых сетей (all-nets) или частный случай - только из домашней сети - конкретный адрес (net_home = 3.3.3.3) по сервису ping который попадает на WAN1 (mts_wan1) далее будут обрабатывается основной таблицей маршрутизации main и направляться на IP-адрес WAN1 (192.168.17.10).
  • Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP правило (ADD -> IP Rules) и заполняем параметры значениями
    Код:
    Name: wan1_ping
    Action: NAT

    Source: wan1 - all-nets или net_home
    Destination: core - wan_ip

    Service: ping-inbound

    NAT action: Use interface address

    Для понимания: Разрешаем маршрутизацию трафика сервиса ping через NAT из любых сетей (all-nets - 0.0.0.0/0) или частный случай (net_home) из WAN1 через ядро (core) на IP адрес WAN1.
  • Мы разрешили пинговать наш резервный канал WAN1 конкретному IP адресу из внешней сети (net_home) или любым сетям (all-nets)
  • Важно! Чтобы не делать несколько записей в PBR, объедините в группу сервисы radmin и ping-inbound.

Задача 4. Перенаправить трафик конкретного пользователя lan_ip_150 из LAN через WAN1
  • Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
    Код:
    Name: lan_ip_to_wan1
    Forward routing table: mts_wan1 - (таблица маршрутизации для исходящего трафика)
    Return routing table: main - (таблица маршрутизации для входящего трафика)
    Service: all_tcpudp

    Source: lan - lan_ip_150 - (сеть источник - только наш компьютер)
    Destination: PPPoE - all-nets - (сеть назначения - PPPoE - все сети)

    Для понимания: Мы создали правило маршрутизации, при котором весь исходящий трафик от пользователя с IP адресом 192.168.16.150 (lan_ip_150), который идёт на PPPoE во все сети (all-nets) будет обрабатываться таблицей маршрутизации mts_wan1, а там шлюз 192.168.17.1 с метрикой 80 и все пакеты пойдут через этот шлюз. Трафик завернёт на WAN1.
  • Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP политику (ADD -> IP Policy) и заполняем параметры значениями
    Код:
    Name: lan_ip_to_wan1
    Action: Allow

    Source: lan - lan_ip
    Destination: wan1 - all-nets

    Service: all_tcpudp

    Source Translation
    Address Translation: Auto

    Destination Translation
    Address Translation: None
  • Перенаправление трафика конкретного пользователя lan_ip_150 из LAN через WAN1 завершено.
Важно: Если ничего не заработало, то вы совершили ту же ошибку, которую совершил я. Все разрешающие правила необходимо поднимать выше остальных правил, иначе они не сработают.

Написал в одной теме решение трёх задач, которые необходимо было сделать через МТС-3G роутер. Если есть какие-то неточности с моим пониманием, просьба поправить меня.
Спасибо всем, кто наставлял меня в этой теме на путь истинный.


Последний раз редактировалось General4 Сб ноя 11, 2017 12:53, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Чт ноя 02, 2017 20:40 
Не в сети

Зарегистрирован: Чт июн 28, 2012 09:45
Сообщений: 5273
General4 писал(а):
- Не могу попасть на 192.168.16.150 тыкаясь извне на MTS-3G. MTS-3G порт 30000 проброшен, проверял.

Видимо, модем в режиме роутера. У него свой nat. И он не знает ничего о пробросе порта.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Чт ноя 02, 2017 23:04 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8440
Откуда: Москва
А что за мтс 3г? Это что такое?
Фото...
А так если есть возможность включите на нем dmz и на dfl, настройте pbr. И все получится.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Пт ноя 03, 2017 07:32 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 7987
Откуда: Москва
Вам в PBR надо прописать, что по порту 30000 -использовать маршрут через wan1. В остальных случаях использовать маршрут через wan2.
В мануалах подобный пример есть.

_________________
С уважением, Matrox.
CheckPoint, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Пт ноя 03, 2017 16:37 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
СергейП, Vladimir22, MTRX - огромное спасибо за наводки, ушёл читать, о результате отпишусь.

Vladimir22, У меня МТС 3G роутер 2012 года в роли WAN выступает SIM-карта МТС. LAN на 4 порта. Функционал урезан, даже до DIR-100 не дотягивает. Поэтому я решил его прикрутить в роли резервного входа, заодно углубиться в новую для себя главу PBR более тонко. Фото можно посмотреть в картинках google.ru.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Пт ноя 03, 2017 17:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8440
Откуда: Москва
схема , стандартная .. но с некоторыми оговорками . которые надо учитывать ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 09:38 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
Спустя два дня добился следующих результатов: Перевёл МТС-3G роутер в режим DMZ. И для самопознания решил отправить одного пользователя из LAN на WAN1 (DMZ МТС-3G) используя PBR. Трафик от пользователя LAN завернулся и пошёл через WAN1, но дропнулся по Default. Разрешающее прохождение трафика на WAN1 создал.
В общем:
1. Создал новую таблицу MTS - Only.
2. Создал новый маршрут в этой таблице: Route WAN1 all-nets wan1_gw 80 No
3. Создал правило маршрутизации: mts_rule LAN lan_user_ip WAN2 all-nets all-services
4. Создал разрешающее правило: user_rule NAT LAN lan_user_ip WAN1 all-nets all-services
С перенаправлением порта делал по аналогии, теперь подключение извне сразу же дропается, раньше ожидание было до 30 секунд. Значит иду правильным путём.
Пока разбираюсь дальше, что я ещё не учёл.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 10:37 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8440
Откуда: Москва
viewtopic.php?f=3&t=29666
Почитайте тут

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 19:05 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
Да, Владимир, я почитал там, и по аналогии сделал у себя. А не заработало потому что DMZ МТС-3G роутер не правильно отрабатывает. Ещё буду разбираться. Сегодня подключился нетбуком напрямую к роутеру МТС-3G через LAN и настроил DMZ на этот нетбук.
+ Шлюз пингуется
+ Статический адрес присвоенный этой SIM - пингуется.
- Дальше пинги не проходят: не найден узел, а также не открываются сайты. DNS отрабатывает.
- Извне на этот компьютер также нет доступа по портам. Но если включить NAT на MTS-3G роутере, то перенаправление портов на нетбук проходит удачно.
Для выявления причин возьму современный роутер от МТС.


Последний раз редактировалось General4 Вс ноя 05, 2017 20:42, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 19:39 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 7987
Откуда: Москва
А у вас на компе за что отвечает порт 30000? Или Вы его маскарадите во что-то другое?

_________________
С уважением, Matrox.
CheckPoint, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 20:40 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
Порт 30000 для входа Radmin. У меня PPPoE зависает раз в 15-45 дней по WAN2. Сессия поднята, echo идут, а пакеты что снаружи, что изнутри дропаются. Почитав на просторах интернета про зависание PPPoE пришёл к выводу, что это судя по всему проблема на стороне провайдера. Чтобы не выезжать ночью на объект хочу подцепить к WAN1 - беспроводной 3G роутер и перезапускать модули на DFL-860E. Раньше беспрерывной PPPoE сессии хватало на 6 месяцев. Сейчас всё чаще зависания начались.
Мне всего лишь надо чтобы порт 30000 был открыт как на WAN1, так и на WAN2 и я смог через Radmin зайти или по WAN1 или по WAN2, но попадал на один и тот же компьютер.
В логах также наблюдаю, что из США по телнету (22, 23 порты) тыкаются с разных адресов, возможно атаки, но пока это не прикручиваю к этому всему. DFL-860E их дропает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 20:55 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 7987
Откуда: Москва
Я бы на ваше месте взял (у меня стоит на одном из объектов) вот такую хрень:
http://www.netping.ru/products/netping-pwr-220-v3-eth

Мониторит по пингу какой-либо хост (например, 8.8.8.8 ), и при недоступности перегружает по питанию выбранный power-port, на котором висит DFL.

_________________
С уважением, Matrox.
CheckPoint, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пн ноя 06, 2017 07:21, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Вс ноя 05, 2017 21:27 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8440
Откуда: Москва
А я бы логи посмотрел, и мониторинг на аршрут повесил.. Логи на с слог вылил или по SNMP, а затем пришло к провайдеру с э ой портной

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Пн ноя 06, 2017 07:21 
Не в сети

Зарегистрирован: Чт ноя 02, 2017 18:16
Сообщений: 8
Всё верно, Владимир, я поставил запись логов по PPPoE, далее если провайдер ничего с этим не предпримет, то поставлю мониторинг на маршрут с дальнейшей перезагрузкой после зависания. В логах от провайдера идут ARP запросы, у меня их DFL дропает. А резервный канал мне всё равно надо прикрутить, даже для самопознания, и потестировать перенаправление портов, трафика, в будущем всё равно пригодится. Тему пока прошу не закрывать. Окончательное решение всей этой истории опубликую.

MTRX, попробую уладить всё с провайдером по хорошему, надо найти причины зависания. Потому что у меня дома творится тоже самое. Два разных оборудования. Найдём ошибку, решим глобальное дело.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и MTS-3G Router на WAN1
СообщениеДобавлено: Пн ноя 06, 2017 10:13 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 7987
Откуда: Москва
Дома и на работе один и тот же провайдер?

_________________
С уважением, Matrox.
CheckPoint, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 22


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB