Здравствуйте! Есть mikrotik включённый в сеть предприятия. В LAN-порты его включено несколько устройств которым розданы адреса из диапазона 192.168.98.0/24. На этих устройствах есть вебсерверы. Сами устройства выходят во внешнюю сеть (SNTP, DNS) нормально. Входящие соединения на TCP-порты WEB-серверов этих устройств тоже проброшены и веб-сервера нормально открываются из внешней сети. Но никак не могу пробросить PING из внешней сети на эти устройства. Не знаю как это сделать. Сам микротик пингуется (он имеет адрес во внешней сети 10.0.3.4), но ICMP-кадры внутрь в подсеть 192.168.98.0/24 не пропускает. Я создал дополнительный адрес 192.168.99.6: /ip address add address=192.168.99.6 interface=ether1 network=192.168.99.6 микротик стал отвечать на ARP-запросы по этому адресу из внешней сети. Но что я только не делал чтобы он пробросил пакеты с WAN с адресом 192.168.99.6 внутрь на устройство 192.168.98.6 (с подменой IP) - не получается. Либо как засветить на внешнем WAN адреса устройств из диапазона 192.168.98.0/24, но только чтобы туда проходили только ICMP-пакеты?
Всё равно по какому. Либо по их внутренним IP, либо каким другим. Главное - чтобы можно было независимо пинговать все устройства. А что значит по имени? Кроме указанных протоколов (входящий ICMP, входящий HTTP, исходящие DNS и SNTP) устройства больше ничего из IP не поддерживают. DHCP тоже скорее всего в будущем не будет - они будут все иметь статические IP.
ICMP вы сожмите "пробросить" только для одного IP, т.к. NAT. Можно использовать вариант настройки IPv6, там нет NAT можно будет пинговать по адресам IPv6.
ИМХО, логичнее было бы сделать скрипт на микротике, который будет пинговать внутренние устройства и отправлять емаил в случае чего
Это не удобно, так как устройства часто отключаются и включаются. Пинговать нужно только тогда, когда нужно. Да и пинговать нужно с разных компьютеров в сети. И у устройств может часто меняться сетевые параметры (статический IP-адрес, даже MAC может поменяться и т.п.).
Можно так: Подключаетесь к микротику по SSH, запускаете скрипт пинга всех устройств с микротика, либо пингуете поочередно каждое устройство.
Это значит надо SSH-подключение настраивать? Хотелось бы простой вариант. Неужели нельзя никак внутрь пробросить ICMP? PS: Сейчас, если я втыкаю комп во внутреннюю сеть, запускаю NetView и жму "скан диапазона IP", то через секунду получаю список всех устройств. Сканирую либо ICMP-запросами либо ARP-запросами - одинаково работает.
Да можно! Можно пробросить! Так же как и 80-й порт. НО! Если устройств более одного, то куда же мы будем пробрасывать пинг? Только на одно устройство. Простейший способ - winbox - new terminal - ping
Устройств несколько. В этом всё и дело.... Пока обхожусь сканированием в том же NetView по номеру TCP-порта WEB-сервера. Только вот в конфиге устройства их можно сделать разными, тогда не найдётся....
Можно отключить NAT на вашем роутере, и настроить маршрутизацию без NAT. Тогда возможно будет пинговать.
Если так сделать, то у устройств во внутренней сети будет свое пространство IP 192.168.98.0/24 ? Не будет ли конфликтов с устройствами во внешней сети? Доступа к роутеру, на котором сидит внешняя сеть у меня нет. Мой микротик и комп просто воткнуты в него. PS: Я не занимаюсь профессионально администрированием сетей, так что возможно не понимаю каких-то простых вещей - извините!
Если нет доступа на основной роутер, то инет вы на них не сможете дать. С сети 10.0.3.0\24 адреса будут доступны, если в таблицу маршрутизации компов, с которых необходимо пинговать добавить запись об этой сети вида - 192.168.98.0/24 отправлять на 10.0.3.4
Такие ограничения меня не устраивают. Ладно, раз так: тогда буду пинговать устройства из внешней сети открытием/закрытием их HTTP-портов. Это по-крайней мере нормально работает извне.
