Jump to content

Переадресация порта Интернет -> Интернет через роутер Keenetic Extra


Recommended Posts

Добрый день!

Есть не совсем стандартная задача: надо пробросить внешний IP (публичный IP 185.0.0.1) через домашний роутер (публичный IP 200.0.0.1). Роутер Keenetic Extra, версия прошивки последняя 3.5.*, обновляется автоматически. Успешно удается пробросить порт в локальную сеть – работает и перенаправляет внутри LAN, например:

200.0.0.1:443 (интернет) -> 192.168.1.99:8000 (LAN)     -   работает

WAN2LAN.jpg.ffb2e39609895753cfb6b351cf987963.jpg

Но никак не получается пробросить порт на внешний IP адрес:

200.0.0.1:443 (интернет) -> 185.0.0.1:443 (интернет) - не работает

Для примера решал подобную задачу на другом домашнем роутере Mikrotik, там работает и правило выглядит следующим образом (привожу пример исключительно для наглядности своего вопроса)

Microtic.jpg.979ca2d392b237039bee0c960baf439f.jpg

Надеюсь понятен мой вопрос, прошу помочь.

Link to comment
Share on other sites

Спасибо, уже догадался, что web-интерфейсом не обойтись и придется через CLI, а можете чуть подробнее намекнуть, в какую сторону копать? Может быть пример где-нибудь разобран подобный или мануал для чайников, хотелось бы хотя примерное направление действий (т.к. доступ меня ограничен по времени, к сожалению, сам подключаюсь удаленно к этому роутеру) ?

Link to comment
Share on other sites

3 часа назад, Andrey Arj сказал:

Спасибо, уже догадался, что web-интерфейсом не обойтись и придется через CLI, а можете чуть подробнее намекнуть, в какую сторону копать? Может быть пример где-нибудь разобран подобный или мануал для чайников, хотелось бы хотя примерное направление действий (т.к. доступ меня ограничен по времени, к сожалению, сам подключаюсь удаленно к этому роутеру) ?

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 ,  ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

Edited by werldmgn
Link to comment
Share on other sites

7 hours ago, werldmgn said:

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 ,  ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

К сожалению, ip static не помог. Получается, что ip static в CLI абсолютная копия опции «переадресация портов» в веб интернет-центре. Как только я создаю новое правило с помощью ip static, оно тут же отображается в интернет-центре, как только удаляю все правила командой «no ip static» - все правила сразу же удаляются и в интерфейсе интернет-центра. Другими словами, ip static в моем случае не дает нового качества, получается абсолютно аналогичный результат, который был получен ранее с помощью интернет-центра.

Более подробно, например, нужные мне правила не работают:

1.) ip static tcp ISP 200.0.0.1 443 185.0.0.1 443    - НЕ работает

      ip static tcp 200.0.0.1/32 443 185.0.0.1 443    - НЕ работает (аналог 1)

Но при этом следующие правила работают:

2.) ip static tcp ISP 200.0.0.1 443 191.168.1.1 80   - работает  (отображает интернет-центр по публичному IP роутера 200.0.0.1:443)

     ip static tcp 200.0.0.1/32 443 191.168.1.1 80     -  работает (аналог 2)

Это правило тоже работает:

3.) ip static tcp 192.168.1.1/32 1000 185.0.0.1 443 – работает (из локальной сети работает перенаправление на нужный порт нужного сервера, откликается telnet 192.168.1.1 1000)

Используя логику (возможно неверную), пытался использовать правила 2+3, чтобы добиться своей цели с помощью промежуточного порта, но результата нет:

4) ip static tcp 200.0.0.1/32 443 192.168.1.1 1000 + ip static tcp 192.168.1.1/32 1000 185.0.0.1 443 – НЕ работает

Конечно, я не большой спец в сетевых делах, но хочу довольно простую вещь: просто перенаправить порт с роутера на внешний адрес («глобальная сеть» -> «глобальная сеть»). Может быть, надо смотреть в сторону Opkg ?

 

Link to comment
Share on other sites

 ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается:

src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443   

Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?

Link to comment
Share on other sites

46 minutes ago, werldmgn said:

 ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается:

src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443   

Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?

Это медицинский факт: микротик перенаправляет трафик с помощью dstnat как надо, а вот конкретно наша модель Keenetik Extra не умеет стандартными средствами такую маршрутизацию отрабатывать ("натить внешку"). По ip static и стандартным средствам вопрос закрыт, ни в коем случае не пытаюсь разжигать холивары по поводу разных моделей и производителей, просто решаю свою конкретную задачу и решение в принципе есть.

Вот что ответила тех.поддержка, если мне не верите:

""""""""""""""

2040124488_keenetichelp.PNG.b093f78e19428a7d29f5ad05df0911e1.PNG""""""""""""""

Так что направление для дальнейшего копания - OPKG + ebtables. К сожалению, на роутере уже занят один USB, поэтому придется добавлять хаб, а это еще одно дополнительное устройство с постоянным питанием.

Link to comment
Share on other sites

Модели все же soho, такой функционал на моей памяти просят впервые. Потому и не сделано.

Мы не пытаемся целиком копировать netfilter или энерпрайз решения других вендоров.

Если будет достаточно запросов - реализуем.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...