Ситуация следующая: мой провайдер предоставляет мне публичную статику. Однако мой роутер тем не менее стоит за NAT провайдера, то бишь этот публичный IP на себя не получает. В результате этого я могу обращаться к ресурсам своей сети по внешнему IP снаружи, но не могу делать это внутри сети. Хотелось бы иметь возможность доступа к ресурсам изнутри по внешнему IP. С провайдером вёл диалог по поводу выдачи сразу публичного IP на мой роутер - получен отказ.
По опыту работы с MikroTik стал искать, как назначить на интерфейс вручную второй IP-адрес. Нашёл, что есть ip alias и назначил свой публичный адрес на WAN. В конфигурации это стало выглядеть следующим образом:
interface FastEthernet0/Vlan2
rename ISP
description "Home Net Telecom"
mac address factory wan
security-level public
ip address dhcp
ip alias XXX.XX.XX.XX 255.255.255.255
ip dhcp client hostname Keenetic-XXXX
ip dhcp client dns-routes
ip dhcp client name-servers
ip mtu 1500
ip access-group _WEBADMIN_ISP in
ip global 700
up
!
От провайдера роутер получает на этот интерфейс по DHCP адрес 192.168.12.XXX.
Загвоздка у меня возникла с правилами перенаправления портов. Изначально в моих правилах в качестве input'а был указан интерфейс, как в 1-м правиле ниже. Однако с таким правилом внутри сети перенаправления не происходит. Зато оно происходит, если указать вместо интерфейса мой внешний IP, как во 2-м правиле. Но это правило, разумеется, не работает снаружи, поскольку роутер из интернета получает пакеты на IP, который выдал провайдер.
ip static tcpudp FastEthernet0/Vlan2 3389 xx:xx:xx:xx:xx:xx
ip static tcpudp XXX.XX.XX.XX 255.255.255.255 3389 xx:xx:xx:xx:xx:xx
Если держать оба правила активными, то работает и снаружи, и изнутри.
Вопрос: это ожидаемое поведение? Если я поставил XXX.XX.XX.XX как второй IP-адрес интерфейса, разве 1-е правило не должно корректно исполняться отовсюду? Я могу, конечно, делать для каждого перенаправления два правила, но вроде бы как оба IP являются частью интерфейса, потому 1-го правила должно по логике хватать (если я, конечно, ничего не путаю).
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Question
Vadim Makhtarov
Ситуация следующая: мой провайдер предоставляет мне публичную статику. Однако мой роутер тем не менее стоит за NAT провайдера, то бишь этот публичный IP на себя не получает. В результате этого я могу обращаться к ресурсам своей сети по внешнему IP снаружи, но не могу делать это внутри сети. Хотелось бы иметь возможность доступа к ресурсам изнутри по внешнему IP. С провайдером вёл диалог по поводу выдачи сразу публичного IP на мой роутер - получен отказ.
По опыту работы с MikroTik стал искать, как назначить на интерфейс вручную второй IP-адрес. Нашёл, что есть ip alias и назначил свой публичный адрес на WAN. В конфигурации это стало выглядеть следующим образом:
От провайдера роутер получает на этот интерфейс по DHCP адрес 192.168.12.XXX.
Загвоздка у меня возникла с правилами перенаправления портов. Изначально в моих правилах в качестве input'а был указан интерфейс, как в 1-м правиле ниже. Однако с таким правилом внутри сети перенаправления не происходит. Зато оно происходит, если указать вместо интерфейса мой внешний IP, как во 2-м правиле. Но это правило, разумеется, не работает снаружи, поскольку роутер из интернета получает пакеты на IP, который выдал провайдер.
Если держать оба правила активными, то работает и снаружи, и изнутри.
Вопрос: это ожидаемое поведение? Если я поставил XXX.XX.XX.XX как второй IP-адрес интерфейса, разве 1-е правило не должно корректно исполняться отовсюду? Я могу, конечно, делать для каждого перенаправления два правила, но вроде бы как оба IP являются частью интерфейса, потому 1-го правила должно по логике хватать (если я, конечно, ничего не путаю).
Link to comment
Share on other sites
1 answer to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.