Добрый день, уважаемые системные администраторы, модераторы.
Столкнулся с проблемой и недопониманием, прошу помочь разобраться или указать где я допустил ошибку и на что обратить внимание.
Исходные данные:
1. WAN2 - основной интернет (статический IP)
Через WAN2 на LAN проброшен порт 30000 на IP 192.168.16.150
2. WAN1 - резервный MTS-3G роутер (статический IP)
MTS-3G имеет подсеть 192.168.17.0/24, шлюз 192.168.17.1 и проброшен порт 30000 на 192.168.17.10
WAN1 имеет IP 192.168.17.10, шлюз 192.168.17.1
3. LAN - имеет подсеть 192.168.16.0/24 шлюз 192.168.16.1.
Задача:
Пробросить порт 30000 MTS-3G на WAN1, далее на LAN IP - 192.168.16.150. Получается, ткнувшись на два разных статических IP-адреса я могу попасть на один и тот же компьютер.
Результат:
+ Захожу через WAN2 без проблем.
+ Захожу находясь в подсети MTS-3G роутера 192.168.17.0/24 через WAN1 на LAN IP - 192.168.16.150 без проблем (правило DFL отрабатывает)
- Не могу попасть на 192.168.16.150 тыкаясь извне на MTS-3G. MTS-3G порт 30000 проброшен, проверял.
Проблема:
Похоже я что-то не учёл: напутал с маршрутизацией, правилом или не дописал его.
1. Policies -> Firewalling -> Rules -> Main IP Rules -> MTS_to_LAN_30000 (IP Policy - Allow)
Source: WAN1 - 192.168.17.0/24 или 0.0.0.0/0
Destination: core - 192.168.17.10
Service: 30000
Source translation: Auto
Destination Translation: SAT -> Single IP -> 192.168.16.150
Решения от 11.11.2017 нескольких задач в одной теме, описание частного случая:Оборудование:1. ZTE MF283+ (МТС 834F) - роутер МТС в режиме DMZ
2. DFL-860E (прошивка 2.27.30.03) - обновлённый интерфейс
Сети:1. МТС 834F - DMZ.
- WAN IP (условно) - 1.1.1.1
- IP: 192.168.17.10 - IP адрес, на который мы "повесим" DMZ
- Маска: 255.255.255.0
- Шлюз: 192.168.17.1
2. DFL-860E - WAN1 (резервный) и WAN2 (основной - PPPoE).
- wan1_ip: 192.168.17.10 - IP адрес WAN1
- wan1_net: 192.168.17.0/24
- wan1_gw: 192.168.17.1
- wan1_metric: 80
- wan2_ip: 0.0.0.0
- wan2_net: 0.0.0.0
- wan2_gw: 0.0.0.0
- wan2_metric: не имеет значения. wan2 не будет использоваться напрямую.
- PPPoE IP (условно): 2.2.2.2
- PPPoE_metric: 90
- Сервис Radmin = 30000 (порт)
Примечание: Все пакеты, которые попадают на WAN IP - МТС 834F будут отправлены на IP 192.168.17.10 для нашей DFL-860E. Перед использованием MTS роутера, рекомендую проверить отработку DMZ на ПК. Некоторые модели, особенно старые, даже с последними прошивками - работают некорректно. Характеристики WAN2 при PPPoE не имеют значения, поэтому 0.0.0.0
3. Radmin установлен на IP-адрес 192.168.16.150 - LAN сети и имеет открытый порт 30000. lan_ip_150 - наш компьютер назначения в локальной сети.
Задача 1. Настроить DMZ на роутере МТС и подготовить DFL-860 к следующим основным задачам: перенаправление портов с МТС DMZ на WAN1 далее в LAN сеть, открыть ping на WAN1, перенаправить трафик конкретного пользователя lan_ip_150 через WAN1.
Подготовка роутера МТС.- Отключаем NAT
- Отключаем Брандмауэр
- Включаем DMZ
- DHCP не имеет значения (вкл/выкл)
- DMZ садим на 192.168.17.10
Подготовка DFL-860E- Работаем с Object -> Adress Book -> InterfaceAddresses и изменяем wan1_ip, wan1_net, wan1_gw
- PPPoE настроен и работает через WAN2
- Далее переходим в Network -> Interfaces ans VPN (первая вкладка сверху) -> Ethernet и проверяем, чтобы wan1 соответствовал wan1_ip, wan1_net, wan1_gw. В итоге получаем нашу сетку представленную выше. В настройках wan1 перейти на вкладку Advanced и убрать вторую галку с "Automatically add a default route for this interface using the given default gateway". Первая галка остаётся. И устанавливаем метрику (route metric) = 80.
Для понимания: мы удалили маршрут со шлюзом (wan1 / all-nets / wan1_gw) из таблицы маршрутизации main (вторая галка), но оставили узел сети (wan1 / wan1_net) в этой таблице (первая галка). Скрытый маршрут core 192.168.17.10 остался в таблице main. - Перейдём в Network -> Routing и создадим новую таблицу Add -> Routing Table. Назовём mts_wan1, а параметру Ordering присвоим Only (при выборе данной опции все таблицы маршрутизации, за исключением альтернативной, игнорируются - виртуальная таблица). Оставшиеся флаговые кнопки должны быть выключены (галок нет).
Создав новую таблицу, зайдём в неё и создадим маршрут, который мы удалили из main. Выберем Add -> Route IPv4. И заполним параметры значениями.
Код:
Interface - wan1 (физический интерфейс)
Network - all-nets (вся сеть 0.0.0.0/0)
Gateway - wan1_gw (шлюз для wan1 - 192.168.17.1 - шлюз МТС роутера)
Local IP address: None (нам это не надо, у нас есть wan1_gw. Этот параметр обычно не определяют. Если этот параметр определён, то система NetDefendOS отвечает на ARP-запросы этого адреса.)
Metric: 80
- Основная подготовка завершена.
Задача 2. Перенаправление портов с МТС DMZ на WAN1 далее в LAN сеть.
- Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
Код:
Name: MTS-3G
Forward routing table: main - (таблица маршрутизации для исходящего трафика)
Return routing table: mts_wan1 - (таблица маршрутизации для входящего трафика)
Service: Radmin
Source: wan1 - all-nets или net_home - (сеть источник - любая внешняя сеть за пределами нашей DFL-860E. net_home - конкретная сеть за пределами нашей DLF-860E)
Destination: core - wan1_ip - (сеть назначения)
Примечание: Мы создали правило маршрутизации, при котором весь входящий трафик с любых сетей (all-nets) или частный случай - только из домашней сети - конкретный адрес (net_home = 3.3.3.3) по порту 30000 (сервис Radmin) которые попадают на WAN1 (mts_wan1) далее будут обрабатывается основной таблицей маршрутизации main и направляться на IP-адрес WAN1. Далее трафик можно маршрутизировать по любым VLAN сетям, если есть скрытые маршруты core этих сетей в таблице main. - Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP политику (ADD -> IP Policy) и заполняем параметры значениями
Код:
Name: wan1_radmin
Action: Allow
Source: wan1 - all-nets или net_home
Destination: core - wan_ip
Service: Radmin
Source Translation
Address Translation: Auto
Destination Translation
Address Translation: SAT
Address Action: Single IP
New IP Address: lan_ip_150 - (192.168.16.150)
Port: None - (если порт назначения равен входящему порту, то ничего не указываем)
Для понимания: Разрешаем маршрутизацию трафика из любых сетей (all-nets - 0.0.0.0/0) или частный случай (net_home) из WAN1 через ядро (core) на IP адрес WAN1.
Далее пакет через статическую адресную таблицу SAT попадает на один IP (Single IP), а конкретно на lan_ip с портом 30000. - Перенаправление порта завершено. Теперь мы можем попасть на lan_ip через PPPoE (3.3.3.3), который выходит через WAN2 (основной), а также через WAN1 (резервный) пройдя через DMZ нашего МТС роутера (1.1.1.1). Притом всё работает даже если зайти одновременно через 3.3.3.3 и через 1.1.1.1
Задача 3. Открыть ping на WAN1.
- Делается всё по аналогии задачи 2. Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
Код:
Name: wan1_ping
Forward routing table: main - (таблица маршрутизации для исходящего трафика)
Return routing table: mts_wan1 - (таблица маршрутизации для входящего трафика)
Service: ping-inbound
Source: wan1 - all-nets или net_home - (сеть источник - любая внешняя сеть за пределами нашей DFL-860E. net_home - конкретная сеть за пределами нашей DLF-860E)
Destination: core - wan1_ip - (сеть назначения - наш IP WAN интерфейса)
Примечание: Мы создали правило маршрутизации, при котором весь входящий трафик с любых сетей (all-nets) или частный случай - только из домашней сети - конкретный адрес (net_home = 3.3.3.3) по сервису ping который попадает на WAN1 (mts_wan1) далее будут обрабатывается основной таблицей маршрутизации main и направляться на IP-адрес WAN1 (192.168.17.10). - Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP правило (ADD -> IP Rules) и заполняем параметры значениями
Код:
Name: wan1_ping
Action: NAT
Source: wan1 - all-nets или net_home
Destination: core - wan_ip
Service: ping-inbound
NAT action: Use interface address
Для понимания: Разрешаем маршрутизацию трафика сервиса ping через NAT из любых сетей (all-nets - 0.0.0.0/0) или частный случай (net_home) из WAN1 через ядро (core) на IP адрес WAN1. - Мы разрешили пинговать наш резервный канал WAN1 конкретному IP адресу из внешней сети (net_home) или любым сетям (all-nets)
- Важно! Чтобы не делать несколько записей в PBR, объедините в группу сервисы radmin и ping-inbound.
Задача 4. Перенаправить трафик конкретного пользователя lan_ip_150 из LAN через WAN1
- Заходим в Network -> Routing -> Policy-based Routing Rules (PBR) и создаём правило маршрутизации (Add -> Routing Rule) и заполняем параметры значениями
Код:
Name: lan_ip_to_wan1
Forward routing table: mts_wan1 - (таблица маршрутизации для исходящего трафика)
Return routing table: main - (таблица маршрутизации для входящего трафика)
Service: all_tcpudp
Source: lan - lan_ip_150 - (сеть источник - только наш компьютер)
Destination: PPPoE - all-nets - (сеть назначения - PPPoE - все сети)
Для понимания: Мы создали правило маршрутизации, при котором весь исходящий трафик от пользователя с IP адресом 192.168.16.150 (lan_ip_150), который идёт на PPPoE во все сети (all-nets) будет обрабатываться таблицей маршрутизации mts_wan1, а там шлюз 192.168.17.1 с метрикой 80 и все пакеты пойдут через этот шлюз. Трафик завернёт на WAN1. - Переходим в Policies -> Firewalling -> Main IP Rules и создаём IP политику (ADD -> IP Policy) и заполняем параметры значениями
Код:
Name: lan_ip_to_wan1
Action: Allow
Source: lan - lan_ip
Destination: wan1 - all-nets
Service: all_tcpudp
Source Translation
Address Translation: Auto
Destination Translation
Address Translation: None
- Перенаправление трафика конкретного пользователя lan_ip_150 из LAN через WAN1 завершено.
Важно: Если ничего не заработало, то вы совершили ту же ошибку, которую совершил я. Все разрешающие правила необходимо поднимать выше остальных правил, иначе они не сработают.
Написал в одной теме решение трёх задач, которые необходимо было сделать через МТС-3G роутер. Если есть какие-то неточности с моим пониманием, просьба поправить меня.
Спасибо всем, кто наставлял меня в этой теме на путь истинный.