Проброс ICMP с WAN во внутреннюю сеть.

Тема в разделе "Вопросы начинающих", создана пользователем rst, 1 ноя 2017.

  1. rst

    rst Новый участник

    Здравствуйте!
    Есть mikrotik включённый в сеть предприятия. В LAN-порты его включено несколько устройств которым розданы адреса из диапазона 192.168.98.0/24. На этих устройствах есть вебсерверы.
    Сами устройства выходят во внешнюю сеть (SNTP, DNS) нормально. Входящие соединения на TCP-порты WEB-серверов этих устройств тоже проброшены и веб-сервера нормально открываются из внешней сети.
    Но никак не могу пробросить PING из внешней сети на эти устройства. Не знаю как это сделать.
    Сам микротик пингуется (он имеет адрес во внешней сети 10.0.3.4), но ICMP-кадры внутрь в подсеть 192.168.98.0/24 не пропускает.
    Я создал дополнительный адрес 192.168.99.6:
    /ip address
    add address=192.168.99.6 interface=ether1 network=192.168.99.6
    микротик стал отвечать на ARP-запросы по этому адресу из внешней сети.
    Но что я только не делал чтобы он пробросил пакеты с WAN с адресом 192.168.99.6 внутрь на устройство 192.168.98.6 (с подменой IP) - не получается.
    Либо как засветить на внешнем WAN адреса устройств из диапазона 192.168.98.0/24, но только чтобы туда проходили только ICMP-пакеты?
     
  2. Мышаня

    Мышаня Участник

    Пинговать надо несколько локальных адресов?
     
  3. rst

    rst Новый участник

    да.
    Из внутренней сети 192.168.98.0/24 все устройства нормально пингуются.
     
  4. Мышаня

    Мышаня Участник

    А по какому ip адресу надо пинговать сервисы? Или предполагается их пинговать по имени?
     
  5. rst

    rst Новый участник

    Всё равно по какому. Либо по их внутренним IP, либо каким другим. Главное - чтобы можно было независимо пинговать все устройства.
    А что значит по имени?
    Кроме указанных протоколов (входящий ICMP, входящий HTTP, исходящие DNS и SNTP) устройства больше ничего из IP не поддерживают. DHCP тоже скорее всего в будущем не будет - они будут все иметь статические IP.
     
  6. ICMP вы сожмите "пробросить" только для одного IP, т.к. NAT. Можно использовать вариант настройки IPv6, там нет NAT можно будет пинговать по адресам IPv6.
     
  7. rst

    rst Новый участник

    Устройство поддерживает только IPv4.
     
  8. А вам для чего так принципиален пинг ?
     
  9. rst

    rst Новый участник

    Чтобы узнавать, что устройства включены. Можно конечно по HTTP подключаться, но ping - удобнее.
     
  10. Dmitry_S

    Dmitry_S Участник

    ИМХО, логичнее было бы сделать скрипт на микротике, который будет пинговать внутренние устройства и отправлять емаил в случае чего
     
    Денис Друженков нравится это.
  11. rst

    rst Новый участник

    Это не удобно, так как устройства часто отключаются и включаются. Пинговать нужно только тогда, когда нужно. Да и пинговать нужно с разных компьютеров в сети.
    И у устройств может часто меняться сетевые параметры (статический IP-адрес, даже MAC может поменяться и т.п.).
     
  12. Можно так:
    Подключаетесь к микротику по SSH, запускаете скрипт пинга всех устройств с микротика, либо пингуете поочередно каждое устройство.
     
  13. rst

    rst Новый участник

    Это значит надо SSH-подключение настраивать?
    Хотелось бы простой вариант. Неужели нельзя никак внутрь пробросить ICMP?

    PS: Сейчас, если я втыкаю комп во внутреннюю сеть, запускаю NetView и жму "скан диапазона IP", то через секунду получаю список всех устройств. Сканирую либо ICMP-запросами либо ARP-запросами - одинаково работает.
     
    Последнее редактирование: 1 ноя 2017
  14. Мышаня

    Мышаня Участник

    Да можно! Можно пробросить! Так же как и 80-й порт. НО! Если устройств более одного, то куда же мы будем пробрасывать пинг? Только на одно устройство.

    Простейший способ - winbox - new terminal - ping
     
  15. rst

    rst Новый участник

    Устройств несколько. В этом всё и дело....
    Пока обхожусь сканированием в том же NetView по номеру TCP-порта WEB-сервера. Только вот в конфиге устройства их можно сделать разными, тогда не найдётся....
     
  16. Можно отключить NAT на вашем роутере, и настроить маршрутизацию без NAT. Тогда возможно будет пинговать.
     
  17. Мышаня

    Мышаня Участник

    Если отключить NAT, то зачем там микротик?
     
  18. rst

    rst Новый участник

    Если так сделать, то у устройств во внутренней сети будет свое пространство IP 192.168.98.0/24 ? Не будет ли конфликтов с устройствами во внешней сети?
    Доступа к роутеру, на котором сидит внешняя сеть у меня нет. Мой микротик и комп просто воткнуты в него.
    PS: Я не занимаюсь профессионально администрированием сетей, так что возможно не понимаю каких-то простых вещей - извините! :)
     
  19. Если нет доступа на основной роутер, то инет вы на них не сможете дать. С сети 10.0.3.0\24 адреса будут доступны, если в таблицу маршрутизации компов, с которых необходимо пинговать добавить запись об этой сети вида - 192.168.98.0/24 отправлять на 10.0.3.4
     
  20. rst

    rst Новый участник

    Такие ограничения меня не устраивают. Ладно, раз так: тогда буду пинговать устройства из внешней сети открытием/закрытием их HTTP-портов. Это по-крайней мере нормально работает извне.