Доброго времени суток! RB951Ui-2nd, модем Huawei E171 с прошивкой hilink, подключение к роутеру по EQIP over L2TP. Задача удаленное подключение к web интерфейсу модема для передачи USSD команд и СМС Последняя конфигурация: локальная сеть 192.168.10.1/24 web интерфейс модема 192.168.1.1 L2TP сервер 172.16.6.18, клиент 172.16.6.17 /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.10.0/24 add action=netmap chain=dstnat disabled=yes dst-address=172.16.6.17 dst-port=6811 \ in-interface=l2tp-out1 protocol=tcp to-addresses=192.168.1.1 to-ports=80 add action=netmap chain=srcnat disabled=yes dst-address=192.168.1.1 out-interface=lte1 \ protocol=tcp to-addresses=192.168.1.2 add action=netmap chain=dstnat disabled=yes dst-address=192.168.1.2 in-interface=lte1 \ protocol=tcp src-address=192.168.1.1 to-addresses=172.16.6.17 add action=netmap chain=dstnat dst-address=172.16.6.17 dst-port=6811 protocol=tcp \ to-addresses=192.168.1.1 to-ports=80 Сначала просто пробросил 80 порт, по трассировке видно, что на модем уходит, а ответа нет, подставил адрес источника 192.168.1.2, тоже ответа нет. Пробовал менять адреса L2TP на 192.168.6.17 и 192.168.6.18, тоже не работает. В сети 192.168.10.0/24 к интерфейсу подключаюсь без проблем. Подскажите пожалуйста, реально ли вообще решить мою задачу?
Изменил правила: /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.10.0/24 add action=netmap chain=dstnat dst-address=172.16.6.17 dst-port=80 protocol=tcp to-addresses=192.168.1.1 to-ports=80 add action=masquerade chain=srcnat out-interface=lte1 Прогресс есть, но ответ с модема по прежнему не приходит: где-то еще надо поменять адреса, пока не могу разобраться
Пока нашел с интерфейса Lte нет пинга на 172.16.6.17 и 172.16.6.18, я думаю должен быть пинг на эти адреса с Tools Ping и Src.Address 192.168.1.100 правильно? Как добавить такой маршрут?
Для выхода из локалки в интернет проброс 80 порта через L2TP на модем При подключении к web интерфейсу по L2TP маршрут будет 172.16.6.17-->192.168.1.100-->192.168.1.1 и обратно, следовательно если обратный маршрут то Src.Address=192.168.1.1 Маршрут прописал: add distance=1 dst-address=172.16.6.18/32 gateway=192.168.1.1 pref-src=192.168.1.100 все работает, осталось разрешить Src.Address=192.168.1.0/24
в смысле пинг есть, но если Src.Address=192.168.1.1 то пинга нет, соответственно подключиться к модему не могу
Для выхода в интернет out-interface нужно задать, а не src-address не надо там ничего пробрасывать, всё должно работать и так Я у себя никаких доп маршрутов не прописывал. Нужен только НАТ на интерфейсе lte и всё. один маршрут микротик добавляет сам, и если стоит галка "add default route" в свойства dhcp клиента, то добавится машрут 0.0.0.0
У меня и то и другое есть. Было бы неплохо, если бы вы нарисовали схему сети и показали конфиг микротика
Такая конфигурация выбрана для подключения интернета и видерегистратора в сельском доме. Пользователи сами не смогут управлять услугами мобильной сети и настройками видеорегистратора, поэтому используется модем с прошивкой hilink и веб интерфейсом. Так как облако в сетях мобильных операторов не работает для удаленного управления видеорегистратором и сетью выбран канал VPN L2TP, EQIP используется для функционирования ROMON. Маршрутизаторы клиент RB951Ui-2nd, сервер RB951G-2HnD Спойлер: Конфигурация # /interface lte set [ find ] mac-address=0C:58:FF:47:99:A4 name=lte1 /interface bridge add name=bridge_lan_wlan /interface ethernet set [ find default-name=ether2 ] master-port=ether1 set [ find default-name=ether3 ] master-port=ether1 set [ find default-name=ether4 ] master-port=ether1 set [ find default-name=ether5 ] master-port=ether1 /interface l2tp-client add allow=mschap2 connect-to=xxxxxx.sn.mynetname.net disabled=no ipsec-secret=xxxsecretxxx name=l2tp-out1 password=xxxpasswordxxx user=xxxuserxxx /interface eoip add !keepalive loop-protect-disable-time=0s mac-address=02:97:98:4D:83:03 name=eoip-tunne1 remote-address=172.16.6.18 tunnel-id=1 /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys wpa-pre-shared-key=12341234 wpa2-pre-shared-key=12341234 add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=Krasn supplicant-identity="" wpa-pre-shared-key=xxxkey wpa2-pre-shared-key=xxxkey /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no frequency=auto mode=ap-bridge security-profile=Krasn ssid=EQ113576 wireless-protocol=802.11 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.10.100-192.168.10.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge_lan_wlan name=dhcp1 /port set 0 name=usb1 set 1 baud-rate=9600 data-bits=8 flow-control=none name=usb2 parity=none stop-bits=1 /interface ppp-client add apn=internet dial-on-demand=no disabled=no info-channel=2 name=ppp-out1 password=gdata port=usb1 user=gdata /interface bridge port add bridge=bridge_lan_wlan interface=wlan1 add bridge=bridge_lan_wlan interface=ether1 add interface=eoip-tunne1 /ip address add address=192.168.10.1/24 interface=bridge_lan_wlan network=192.168.10.0 add address=172.16.6.1/28 interface=eoip-tunne1 network=172.16.6.0 /ip cloud set update-time=no /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=lte1 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 netmask=24 /ip firewall filter add action=drop chain=forward connection-state=invalid add action=accept chain=forward add action=accept chain=output connection-state="" add action=drop chain=input comment=INPUT connection-state=invalid add action=accept chain=input connection-state="" add action=accept chain=input connection-state=new dst-port=8291,8292 protocol=tcp add action=accept chain=input connection-state=established,related add action=drop chain=output comment=OUTPUT connection-state=invalid /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=set:64 passthrough=yes /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.10.0/24 add action=netmap chain=dstnat dst-address=172.16.6.17 dst-port=80 protocol=tcp to-addresses=192.168.1.1 to-ports=80 add action=masquerade chain=srcnat log=yes log-prefix=SRC_NAT out-interface=lte1 to-addresses=192.168.1.1 /ip route add distance=1 dst-address=172.16.6.18/32 gateway=192.168.1.1 pref-src=192.168.1.100 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=8292 set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-autodetect=no time-zone-name=Asia/Krasnoyarsk /system ntp client set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194 /system routerboard settings set init-delay=0s /system watchdog set automatic-supout=no no-ping-delay=10m watch-address=8.8.8.8 /tool romon set enabled=yes secrets=xxxxxxxxxx /tool sniffer set file-limit=2000KiB file-name=lte filter-interface=lte1
один конфиг на оба микротика? Вы с 10.0.6.125 пытаетесь открыть 192.168.1.1, правильно? Покажите tracert 192.168.1.1 с него. Еще вопрос: сеть 192.168.10.0 с него пингуется?
Конфиг я не стал выкладывать чтоб не загромождать тему, там несколько подсетей и много ненужной информации. Для микротика 192.168.10.1 там только: > ip route ADC 172.16.6.17/32 172.16.6.18 <l2tp-Krasn 0 ну и еще конфигурация VPN для двух адресов 172.16.6.18 и remote-address=172.16.6.17, файрвол открыт для 10.0.6.0/24 и VPN. На модем я пытаюсь зайти по 172.168.1.17, соответственно на микротике 192.168.10.1 срабатывает правило проброса порта 80 на 192.168.1.1, а обратно так как на микротике 10.0.6.0/24 адреса 192.168.1.1 и 192.168.10.1 не прописаны ничего нет правильно? Т.е. мне надо сделать: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=<l2tp-Krasn> pref-src=172.16.6.18 add distance=1 dst-address=192.168.10.0/24 gateway=<l2tp-Krasn> pref-src=172.16.6.18
Вот я о чем и говорил вам - не надо там ничего пробрасывать! Просто нужно было заходить на IP-адрес модема
