Помогите, пожалуйста, начинающему сисадмину. Поясните на пальцах как работают порты.
Суть такая:
Есть локалка с компами, сервером с БД Firebird и Mikrotik, который получает инет и распределяет по сетке, а так же пробрасывает порты БД на сервер.
Есть компы и ноуты с клиентской программой, которая коннектится к БД. С компами всё ок, проблема с ноутами из-за их мобильности.
Если ноут во внешней сети - он успешно коннектится например по 14.88.13.666.
Если ноут в локалке - он успешно коннектится по 192.168.1.2.
Если ноут в локалке и пытается коннектиться по 14.88.13.666 - получается fail, непонятно почему.
Каждый раз перенастраивать в свойствах программы IP-адрес когда сотрудник приходит в офис и менять на внешний, когда уходит с офиса - очень геморойно.
На том же сервере стоит веб-сервер и к нему вполне себе получается приконектиться из локалки по внешнему IP 14.88.13.666, почему то же не работает с БД Firebird? Может, что-то нужно донастроить в микротике? Я не очень понимаю как работают порты: или они как дырка в стене, или они как клапан - отдельно нужно настраивать на вход, отдельно - на выход. Типа ноуты извне проходят, а ноуты из локалки не могут выйти в и-нет, чтобы вернуться назад по IP?
Может, как-то можно настроить на микротике кусочек DNS, чтобы при обращении из локалки на 14.88.13.666 эти запросы не покидали локалку и редиректились сразу на сервер?
Вот порты в микротике:
Подробнее
admin@08:55:31:2E:FF:E0 (MikroTik) - WinBox (64bit) V6.48.1 on hEX (mmips) Session Settings Dashboard *0 o Safe Mode Session: 08:55:31:2E:FF:E0 #Si J* / ES <f> « Quick Set CAPsMAN Interfaces Wireless Bridge PPP Switch Mesh IP MPLS Routing System Queues Files Log RADIUS Tools New Terminal Dot1X Partition Make Supout.r Manual J Filter Rules NAT Mangle Raw Service Ports Connections Address Usts La>'er7 Protocols + = H O Y Reset Counters 'w Reset AJI Counters # Action Chain Src. Address Dst. Address Protocol Src. Port Dst. Port In. Inter... Out. Int... In. Inter... Out. Int... Src. Ad... Dst. Ad... Bytes Packets 0 i masquerade srcnat etherl 419.8 KiB 5 064 1 ► " dst-nat dstnat Step) 8080 etherl 0B I 0| 2 ► " dst-nat dstnat 6{tcp) 3050 etherl 2412 B 19 3 ► ' dst-nat dstnat 6ftcp) 3052 etherl 312 B 6 4 ► " dst-nat dstnat 17 (udp) 3050 etherl 0B 0 5 ► P dst-nat dstnat 17 (udp) 3052 etherl 0B I 0 6 * ' dst-nat dstnat 6ftcp) 20 etherl 0B 0 7 »'"dst-nat dstnat G^cp) 21 etherl 0B 0 NAT Rule <305Q> Advanced Extra Action Statistics Action: 0 Log Log Prefix: To Addresses: ¡192.168.1.2 To Ports: 3050 OK Cancel Apply Disable Comment Copy Remove
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,it,порты,mikrotik,сисадмин
ничего не смущает?
серьёзно?
Не спец по микротам, так что гугл в помощь, read the fucking manual.
все что у тебя приходит по цепочке destnat из любого адреса в любой адрес по протоколу tcp из любого порта в порт 3050 по интерфейсу ethernet1 перенаправляется туда-то туда-то, собственно загвоздка в том что только по 1 порту ловит перенаправление
а вообще используй вместо dst-nat - netmap то же самое но работает эффективнее
То, что все используют частный случай netmap, так это заблуждение и кривое использование инструментария.
но разные да, так связывают подсети, и я не спорю что это частный случай, но конкретно в данном случае нетмап позволит обойтись без дополнительного маскарада и хака Hairpin_NAT
Можете использовать частный случай netmap'а, но знающему человеку все сразу становится понятно.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
chain=dstnat action=dst-nat to-addresses=внутренний_айпи_сервака to-ports=порт
protocol=tcp dst-address=внешний_айпи dst-port=порт
chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/16
dst-address=внутренний_айпи_сервака dst-port=порт
И удали старое правило для проброса порта, и где 192.168 ясно что.
Chain - dstnat
Dst. Address - внешний адрес роутера 14.88.13.666
In. Interface или Src. Address - либо внутренний интерфейс локалки либо внутренний пул адресов в локалке.
Protocol и Dst. Port - tcp/udp 3050/3052
Action:
dstnat
To Address, To Port - внутренние адрес и порт сервера.
И для пакетов в обратную сторону:
Chain: srcnat
Src. Address или In. Interface, Protocol, Dst. Port - то же самое
Action:
masqurade
2) Старайся использовать адресные листы, экономит время и нервы.
3) RB обновлена?
Про адресные листы можно на вики почитать. Суть в том, что не нужно правила файервола менять, можно просто добавить 1 интерфейс в лист, к нему применятся те же правила. В твоем случае - eth1.
System - RouterBoard - Current и Upgrade одинаковые?
Wiki для слабаков
про адресные листы - почитаю, спасибо.
"System - RouterBoard - Current и Upgrade одинаковые?"
разные, спасибо, завтра апгрейднусь.
Микротик умеет быть VPN сервером, пусть лучше клиенты из внешних сетей поднимают VPN соединение и подключаются по внутреннему IP к серверу. А все прокинутые наружу порты закрыть, тем более с таким уровнем знаний.
Ниже вероятно уже писали, но если микрот днсит, ip - dns - static name: "14.88.13.666" adress: 192.168.1.2. Таким образом пусть клиенты постоянно тыркаются на внешку, но во внутренней сети они по этому адресу будут переадресовываться на локалку.
А если у тебя штат пней, для которых ctrl+c ctrl+v это что-то программистское и руководство с этим ничего не делает, то мой совет - меняй работу.
а так, как у меня ставка чуть выше минималки - я не имею желания работать больше пары часов в день, не хочу каждого обучать всем этим ctrl+c, ctrl+v, установкой и настройкой VPN...
В случае с настроенным ВПН, просто скажи, что надо нажать вот этот ярлык, если Вы не в офисе и все. Так должно быть.
Как говорится, это классика, блядь, это знать надо.
Для винды, кстати, CMAK есть.
В случае, если у тебя там ситуация "я - начальник, ты - дурак" и прикрытия своей жопы в этой писульке ты не видишь, то тебе остается только надеяться, что проблемы ты не отхватишь и ничего страшного не случится, так сказать, на авось.
Можно, делай(с)
С такими вопросами лучше на https://forum.ixbt.com/
На микротике с местной локалки нет выхода в инет?
Вариант 1: Попробовать добавить на сетевуху доп IP адрес локалки. Но тут не понятно, ты пишешь что ип вбивается в прогу, неясно какой ей нужен тогда ИП карты или ей вообще фиолетово.
Вариант 2: добавить статический путь руками в командной строке типа: route -p add 14.88.13.666 mask 255.255.255.0(тут маска согласна настройкам твоей локалки) 192.168.1.1(тут адрес узла через который идет связь в локалке). Подводный камень в том, что есть большая вероятность разнообразия локальных настроек юзера дома и будут глюки. Можно прихуярить 2 батника, 1 будет добавлять статический путь когда юзер в локалке, 2 будет удалять когда юзер работает из дома.
ИМХО В микротике локалка и внешний сервак изолированы друг от друга, а общение внешки с БД идет через демилитаризованную зону, что есть православно, поэтому если не знаешь конректики лучше не трогай микротик.
есть. говорю же - 8080-й порт тоже проброшен, на сервере подымал xampp с настройками доступа извне, получал index.html как из и-нета, так и из локалки по внешнему IP. порты 3050/3052 для Firebird точно так же настраивал, но извне ноуты нормально коннектятся, а из локалки по внешнему IP - не хотят, только по внутреннему, и я заподозрил что микротик 3050/3052 пускает только на вход и не выпускает на выход, а ноутам немножко нужно выйти прогуляться до ближайшего DNS чтобы вернуться со своим запросом назад (это как я себе понимаю работу портов и сети, но, скорей всего, ошибаюсь).
> неясно какой ей нужен тогда ИП
провайдер даёт канал со статическим IP 14.88.13.666. Раньше кабель через ONU втыкался напрямую в сервак и абсолютно все компы, ноуты, телефоны коннектились через и-нет, локалки небыло. Потом между ONU и сервером появился микротик, который пробросил порты на сервер, у сервера IP стал локальным 192.168.1.2, а так же микротик с этого канала стал раздавать инет через свичи и wi-fi-роутеры по локалке. Все девайсы в локалке отвалились от БД, их пришлось перенастраивать из внешнего IP 14.88.13.666 на внутренний 192.168.1.2. С компами прокатило, работают. А вот мобильные девайсы кочуют постоянно, то внутрь локалки, то во внешнюю среду, и на них нет смысла прописывать локальный адрес сервака, должен быть внешний адрес 14.88.13.666, который должен быть доступным так же и внутри локалки (для других сервисов типа FTP или веб-сервера это так и происходит).
> Вариант 2:
ну, как раз вот этого я не знал, хотя подозревал что такое должно быть, перенаправить запросы. но как это нагуглить - не знал. спасибо, буду изучать и пробовать. знаю только что это должно быть на микротике настроено, а не на клиентах, так как клиенты периодически меняются и я не хочу пол-рабочего времени каждому новому это всё настраивать.
https://interface31.ru/tech_it/2019/07/probros-portov-i-hairpin-nat-v-routerah-mikrotik.html
У тебя ноуты скорее всего конектятся через wan (тобишь внешний инет), за него у тебя отвечает: 14.88.13.666
Соответственно находясь в локалке они пытаются выйти на внешний адрес и получается конфликт. Поскольку компы на работе которые стационарные уже заведены в локалку, они скорее всего юзают пул адресов уже настроенный. А вот ноуты при подключении в локалку получают ip от местного dchp сервиса.
Соответственно самый простой вариант, через hairpin сделать переброску портов, возможно еще потребуется настроить сам dchp, что бы ноуты при входе в локалку не долбились во внешний адрес.
Точнее я тебе не подскажу так как видеть надо своими глазами что за пиздец там понамешан)
а где они его взяли? я ничего не настраивал. адреса всем раздаёт динамически при подключении с 30 до 250 микротик, только на нём есть dhcp, статически прописаны с 10 до 29 wi-fi-роутеры, сервак на двойке висит и пару компов. DNS нету прописанных, автоматом у провайдера или где они там. Как я понимаю - девайсы локалки должны пробежаться до DNS, узнать маршрут до адреса и вернуться обратно в локалку к серверу. По идее им должно быть пофиг - вернутся запросы в родную сетку или в какую-то другую. И вот я думаю, что микротик извне по портам пускает, а наружу из локалки - не выпускает, и этот out нужно донастроить. мне уже накидали инфы, завтра буду читать, изучать тему, спасибо.
14.88.13.666:C:\app\db.gdb
как я понимаю, все эти обращения по порту 3050 перехватывает служба firebird и уже коннектит клиент с базой по юзернейму и паролю каждого пользователя.
спасибо.
А 14.88.13.666 это кажись запись в хосте клиентских машин или гвозядми прибито в софте, только сейчас догодался что это левый айпишник. В DNS его прописать можно в общем.
а так - это приходяще-уходящие люди со своими ноутами, многие только на 1-2 дня появляются, а у меня куча другой работы есть, чем пол-дня каждому новому настраивать клиентскую часть.
к клиентскому приложению у меня нет доступа, оно устанавливается с сайта третьей стороны и там от нас только одна строчка настройки - IP сервера с базой.
---THREAD CLOSED---