Как получить доступ к клиентам за роутером?

Question

[Владимир Соловьёв]

Добрый день. Имеется сеть, необходимо получить доступ с 192.168.1.2 (ПК) к указанным клиентам, веб-морде находящимся за роутером (nat/dhcp). Каким наиболее оптимальным способом можно это сделать?

Answer 1

[Slava Kryvel]

Или настроить роутинг на микротике
Чтобы сети знали где их соседи, адрессные пространства не пересекаются, так что все должно работать

Comments

[Владимир Соловьёв]

А можно меня направить куда копать о "сети знали о соседях"?

[Иван]

Cttr: сначала прочтите вообще как роутинг работает. Например чтоб в винде правильно понимать вывод команды route print. Ну а дальше собственно по аналогии вбиваете конфиги в микрот.
Ну или раз у вас линух: xgu.ru/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D...

[Slava Kryvel]

Cttr: wiki.mikrotik.com/wiki/Manual:Simple_Static_Routing
wiki.mikrotik.com/wiki/Simple_Static_Routes_Example
wiki.mikrotik.com/wiki/Testwiki/IP_routing

Думаю этого должно хватить

[Владимир Соловьёв]

Slava Kryvel: Иван: Спасибо вам!

[АртемЪ]

Slava Kryvel Каким образом маршрутизация поможет обойти NAT????

[АртемЪ]

Либо NAT либо маршрутизация, это вещи несовместимые.

[Slava Kryvel]

АртемЪ: а где я здесь написал хоть что-то про НАТ ?
и почему они не совместимы?) просто одно трансляция а второе маршрутизация

[Slava Kryvel]

Cttr: Кстати как еще один вариант по уходу от НАТ
Я так понимаю что адреса на eth1 и mikrotik статические? можно попробовать настроить dhcp на раздачу адресов из сети 192.168.2.0 со стартом с 192.168.2.3 , тогда и маршрутизацию не нужно будет настраивать, микротик все сделает сам

[Владимир Соловьёв]

Slava Kryvel: Да, вы правы. Что-то вот такое крутилось в голове с самого начала зарисовки, настроить dhcp сервер на mikrotik с такими параметрами?

address 192.168.2.3/24
gateaway 192.168.2.0

[АртемЪ]

Slava Kryvel: Ну вроде как судя по рисунку надо получить доступ к компьютеру за натом, а с помощью маршрутизации за нат не пробиться.

[Владимир Соловьёв]

АртемЪ: думаю нат тут лишний, его стоит отключить

[АртемЪ]

Cttr: Понятно, тогда конечно, если нет явной необходимости в нате, лучше настроить маршрутизацию.

[Влад Животнев]

АртемЪ:
> Каким образом маршрутизация поможет обойти NAT????
Если сами микротики будут не за натом - то их клиентов можно собрать в одну vpn сеть. Вообще хватит даже одного микротика не за натом, чтобы такое сделать.

[Slava Kryvel]

Cttr: Получилось ли у Вас что-то? Очень интересен результат после столь оживленной дискуссии))

Answer 2

[Spetros]

Пробросить порты.

Comments

[Владимир Соловьёв]

Т.е., например, порт 1111 будет соответствовать 192.168.88.247:22, а 1112 порт - 192.168.88.244:22?

[Fixid]

Cttr: Да, ибо это NAT
Либо можно использовать VPN

[Spetros]

Cttr: Да, например.

[res2001]

На Убунте то же нужно обеспечить маршрутизацию и доступ к подсети 192.168.88.0

[Владимир Соловьёв]

res2001: можно подробно о "доступ к подсети 192.168.88.0"?

[Slava Kryvel]

res2001: не нужно, нат будет транслировать сеть 192.168.88 на 192.168.2.2 а убунта уже знает где эта сеть

[res2001]

Нет про доступ к 192.168.88 - это я загнул.
Но после того как на микротике пробросишь порты, надо удостоверится, что убунта разрешает доступ к этим выделенным на микротике портам. На убунте ведь то же шлюз, возможно и фаервол и что-нить еще (типа НАТа), поэтому на этом этапе то же вполне может резаться.
И еще важный фактор - что стоит шлюзом по умолчанию на микротике, на компах в сети 192.168.88? Возможно потребуется прописывание маршрутов на микротике и на компах в этой сети.

[Владимир Соловьёв]

res2001: Как я понял на сервере я не прописал шлюза, там конфиг такой

auto eth2
iface eth2 inet static
address 192.168.2.1
netmask 255.255.255.0

На микротике есть, подключается так:

address 192.168.2.2
netmask 255.255.255.0(/24)
gateway 192.168.2.1

[res2001]

Убунту имеет адреса в обеих подсетях (192.168.2 и 192.168.1) , поэтому там маршруты уже есть, а шлюз по умолчанию в убунте в данном случае не принципиален.
Микротик маршрут к 192.168.1 то же найдет с такими настройками.
А что на хостах в подсети 192.168.88 в качестве шлюза по умолчанию?

Но маршрутизация это только пол дела, нужно удостоверится что на убунте трафик не блокируется фаерволом или НАТом.
Кстати и на микротике, возможно включен фаервол, который может блокировать нужные порты.
Для проверки можно воспользоваться тем же телнетом, например, с хоста 192.168.1.2:
telnet 192.168.2.2 <проброшенный порт>

И кстати, зачем на микротике НАТ? Он еще в интернет смотрит?

[Slava Kryvel]

res2001: не путайте человека. зачем бубунта будет фильтровать по умолчанию трафик между двумя приватными сетями?
если сеть 88 за натом, то логично предположить что шлюз это интерфейс микротика

[Владимир Соловьёв]

> А что на хостах в подсети 192.168.88 в качестве шлюза по умолчанию?
gateway 192.168.88.1

> И кстати, зачем на микротике НАТ? Он еще в интернет смотрит?
нет, был включен по умолчанию, думаю отключить. Что изменится?

[res2001]

Cttr: изменится - не нужно будет пробрасывать порты. Маршрутизаторы по умолчанию у вас везде нормально выставлены, поэтому все сети друг друга будут видеть без дополнительных настроек. Без НАТа сможете ходить на прямую, по IP или по имени хоста (если ДНС есть).
Slava Kryvel: убунта с двумя сетевыми интерфейсами, логично предположить что она, кроме того что выступает шлюзом, может и фильтровать трафик, благо возможность эта есть. Мы же не знаем в деталях конфигурацию сети.

[Владимир Соловьёв]

res2001: отключил нат, осталось разобраться как "ходить" с 192.168.1.1 (сервер с убунтой) на 192.168.88.1 (сеть микротика), думаю не хватает магического gateway

[res2001]

Cttr: Нет, не хватает на убунте магического route add. Синтаксис не скажу, надо гуглить или смотреть ман на убунте. Что-то вроде:
route add 192.168.88.0\24 192.168.2.2

[Slava Kryvel]

Cttr:
Путь туда:
Ubuntu:
# ip route add 192.168.88.0/24 dev eth2
Путь обратно:
Mikrotik:
/ip route add dst-address=192.168.1.0/24 gateway=192.168.2.1

не на чем проверить, но вроде должно работать

[Slava Kryvel]

Cttr: я так ктстати ниже еще писал по поводу dhcp. есть ли у Вас острая необходимость в отдельной подсети 192.168.88.0 ? если нет, то можно сделать гораздо проще без статических маршрутов

[Владимир Соловьёв]

Slava Kryvel: я вам отвечал. Необходимости в подсети нет, просто так сложилось исторически, можно оптизировать

[res2001]

Slava Kryvel: Cttr: На микротике маршрут можно не прописывать, т.к. маршрутизатор по умолчанию на нем и так убунта.
На счет отказа от 88 сети: можно в микротике и убунту и все компы 88 сети воткнуть в ЛАН порты (не уверен есть ли в микротике разделение на LAN/WAN, никогда их не щупал живьем) и раздать всем адреса из одной подсети (192.168.2.0), тогда и маршрут не потребуется.

[Владимир Соловьёв]

res2001: Разделения нет, любой вход может быть lan/wan. Попробую что-то сделать

Answer 3

[Maksim]

Сделайте НАТ (скорее всего он там и есть) на ubuntu остальное оставить на статической маршрутизации (т.е. убрать нат на микротике)