Bekijk de volledige versie : И все-таки, как организовать доступ из внешней сети ?
Сорри за повтор, но проблема насущная.
PPPoE, static IP
Асус 500 Премиум
не могу достучаться до роутера из внешнего интернета (ни через Веб, не телнетом)
при этом до ftp достаю нормально.
Думаю, где-то в настройках галочки не хватает (или лишняя)
Если есть мысли - высказывайте, буду рад
black_128
15-01-2007, 11:08
Непонятен вопрос. Если Вы можете достучаться до FTP, то что значит "не могу достучаться до роутера ни через Веб, не телнетом"?
Если точно можете достучаться до включённого FTP, то запустите HTTP сервер - достучитесь до WWW , или попросите приятелей сделать tracert xxx.xxx.xxx.xxx - посмотрим.
Блокирован Ip. У провайдера уточняли, есть ли у Вас внешний Ip?
Виноват, ошибся в вводных данных.
правильнее читать - "PUBLIC IP" :)
так что с этой стороны все ОК
black_128
15-01-2007, 11:15
Попросите приятелей сделать tracert на ваш IP. Может стоит покопаться в настойках вашего файрволла а также прописать роутинг.
Попросите приятелей сделать tracert на ваш IP. Может стоит покопаться в настойках вашего файрволла а также прописать роутинг.
Пришел на работу.
Трассирую.
Картинка тут
(Пояснения - где замазано - там адрес моего public IP
Искрателеком - это мой провайдер)
До провайдера - все ОК
ФТП (с тем же адресом) тоже работает без проблем (закачка, скачка, раздграничение доступа)
Непонятен вопрос. Если Вы можете достучаться до FTP, то что значит "не могу достучаться до роутера ни через Веб, не телнетом"?
Я имею в виду, что не могу зайти на страницу настройки роутера снаружи. В Веб-морду.
Соответственно, не могу к нему подключиться телнетом. Ну, скажем, для того, чтобы wget запустить.
Я имею в виду, что не могу зайти на страницу настройки роутера снаружи. В Веб-морду.
Соответственно, не могу к нему подключиться телнетом. Ну, скажем, для того, чтобы wget запустить.
снаружи что бы достучаться как я понял граммотные люди рекомендую поднять ssh. делается это правкой файлов post-boot и post-firewall :), в качстве клиента можно использовать putty. ответ на ping по дефдту со стороны wan отключён, также отключён веб интерфейс и телнет. веб интерфейс и пинг включаются через веб интерфейс роутера парой галочек, ssh как я написал правкой файла на роутере.
веб интерфейс ... включаются ... парой галочек
пытался
Ставил галку "Enable WAN Acsess чего то там"... Это она? Но результата не дало :)
black_128
16-01-2007, 13:23
Пингуешься:
http://www.notebook-sales.ru/images/zx.jpg
Пингуешься:
не все так просто
82.199.96.20 - эт не мой адрес. А провайдерский (видимо, гейт)
мой тож начинается на 82.199.
и не пингуется :(
black_128
16-01-2007, 15:24
Значит он просто block
Кстати у меня тоже заблокирован извне. Вот на днях покупаю внешний.
Значит он просто block
Кстати у меня тоже заблокирован извне. Вот на днях покупаю внешний.
вся ирония в том, что у меня внешний IP (т.е. public) уже куплен. и денежки за него берут...
black_128
17-01-2007, 20:36
Посмотри мою ветку, у меня такая же проблема :)
http://wl500g.info/showthread.php?t=7986
starmajor
25-04-2007, 10:35
Проясните, что надо сделать, чтобы я мог иметь доступ из инета (с работы) к рабочему столу своего домашнего компа...
Роутер WL500gP с последней прошивкой от Олега.
Подключаюсь к инету по PPTP.
Маршруты для работы с сеткой провайдера прописаны и работают...
Обязательно ли брать у провайдера реальный IP?
Какие маршруты надо прописывать?
Заранее спасибо!
Реальный IP - обязательно.
Если он динамический - то зарегистрироваться на www.dyndns.org - и прописать в роутер параметры своей учетной записи - в разделе IP Config - Miscellaneous. Пункт DDNS settings.
Это чтобы не задумываться, какой IP именно сейчас присвоен провайдером.
Для доступа к рабочему столу - один из вариантов - поставить на компьютер программу типа RealVNC и в роутере в разделе NAT Setting - Virtual Server - прописать проброс портов (по умолчанию для RealVNC - 5800) на адрес компьютера в локальной сети.
На работе так же поставить RealVNC - и использовать для доступа VNC Viewer из этого пакета.
Если на работе IP адрес постоянный (чаще всего это именно так) - то для пущей безопасности в роутере в Firewall лучше всего добавить запись, разрешающую заход по указанному порту только с одного IP адреса - рабочего.
starmajor
25-04-2007, 14:52
Ок, спасибо, сегодня проверю...
В dyndns.org уже зарегистрировался, только настройки Virtual Server не делал...
а если речь идет о доступе к файлам этого компутера, то достаточно поставить ssh сервер, или ftp сервер, коих есть много разных.
starmajor
07-05-2007, 17:35
Все сделал по написанному, спасибо за советы, теперь почти все работает.
Кроме VNC :)
В Virtual Server прописал 20:21 порты для ftp, 80 для http, есть реальный айпи, с работы лехко захожу на ФТП роутера, http на компе, а вот VNC не работает... порт TCP 5800 прописал на локальный комп - не коннектится вьювер...
Что не так делаю?
VNC не работает... порт TCP 5800 прописал на локальный комп - не коннектится вьювер...
Что не так делаю?
Извиняюсь, перепутал порты :(
5900 - для вьювера
А 5800 - это можно к нему браузером подсоединяться.
starmajor
08-05-2007, 06:35
Извиняюсь, перепутал порты :(
5900 - для вьювера
А 5800 - это можно к нему браузером подсоединяться.
Прошу прощения, и я перепутал :)
Именно 5900 проброшен и не работает...
starmajor
10-05-2007, 12:26
Короче, не работает проброс порта 5900 для RealVNC
В разделе "виртуальный сервер" прописан проброс портов 20:21 на роутер, т.е. 192.168.1.1 - FTP и это работает, я вижу хард, подключенный к роутеру и кидаю туда-сюда файлики.
Есть проброс 80 порта на домашний комп - 192.168.1.98, на компе работает Apache и к нему я могу подключиться, т.е. набираю в броузере свой внешний айпи и вижу страничку, лежащую на Apache на компе.
Делаю тоже самое для порта 5900 - не работает, ViewerVNC не может подключиться к компу. В чем дело?
Делаю тоже самое для порта 5900 - не работает, ViewerVNC не может подключиться к компу. В чем дело?
Очень странно. Я много раз использовал эту программу, правда в основном либо через SSH туннель, либо напрямую.
Через роутер ASUS - пока не пробовал, отпала необходимость, так как теперь нужные программы запущены на самом роутере. :D
Но проброс портов он и в Африке проброс портов.
Вот нашел инструкцию конкретно для нашего случая
http://www.portforward.com/english/routers/port_forwarding/Asus/WL-500G/RealVNC.htm
Мможет быть у вас проброшен только 5900 TCP, и ему не хватает UDP ?
Сегодня специально оставил домашний компьютер включенным с запущенным RealVNC.
Сейчас проверил с работы - все прекрасно работает - и через VNCViewer и через браузер.
Сделал только проброс портов 5800 и 5900 по протоколу TCP.
5800 нужен только для коннекта браузером, при пользовании viewer'ом он не используется.
Так же все работает через SSH туннель (демон на роутере - dropbear, клиент - SecureCRT).
starmajor
12-05-2007, 04:34
Сегодня специально оставил домашний компьютер включенным с запущенным RealVNC.
Сейчас проверил с работы - все прекрасно работает - и через VNCViewer и через браузер.
Сделал только проброс портов 5800 и 5900 по протоколу TCP.
5800 нужен только для коннекта браузером, при пользовании viewer'ом он не используется.
Так же все работает через SSH туннель (демон на роутере - dropbear, клиент - SecureCRT).
Короче, чайник - он и в африке чайник :) Стоял виндовый файрвол. Открыл на нем порт 5900 и все сразу заработало.
Ну вот почему я сразу не проверил...
Половина форума ведь в таких вопросах - если бы чуток самому подумать, все прекрасно можно сделать и не вводить в заблуждение уважаемое сообщество! :)
Поэтому прошу прощения и спасибо большое за помощь и потраченное время!
usmailer™
16-07-2007, 12:56
Подскажите решение маленькой проблемки...
Надо с работы использовать VNC для доступа к компам за роутером.
IP внешний у роутера.
НО, моя рабочая сеть закрыта полностью, кроме порта 3ХХХ для http
Открыть порт 5900, который как я понял по умолчанию используется клиентом, проблематично... очень...
Что можно придумать в данной ситуации
И есть ли еще подобные клиенты для удаленного доступа через наш роутер к компам...
на рутере сделать портфорвардинг с порта 3xxx на нужный для VNC
usmailer™
17-07-2007, 20:11
на рутере сделать портфорвардинг с порта 3xxx на нужный для VNC
Попробую еще раз... мож неточно что ранее написал...
На работе ВСЕ порты закрыты ISA Server-ом
В том числе и 5900, который по моим соображениям использует КЛИЕНТ (Viewer)
Когда я запускаю клиента на работе и пытаюсь куда нибудь высунуться - мне ошибка выскакивает.. Увы ща не на работе, поэтому точно не могу воспроизвезти ее... но суть - нет коннекта на указанный IP, потому что нет выхода в инет (ISA все закрыла)
Вот такая пестня... А поменять на клиенте порты я не могу, т.к. там нет таких настроек...
Это только на серверной части можно сделать....
Вот так вроде расширенно описал...
И еще, порт 3ххх используется для браузеров и всего остального, кому нужен http протокол
Как мне кажется- у VNC не этот протокол... хотя я тут не компетентен...
Вот такая пестня... А поменять на клиенте порты я не могу, т.к. там нет таких настроек...
Это только на серверной части можно сделать....
В клиенте должны быть настройки, ибо тогда теряется смысл настройки порта на серверной части. Как вариант вводить в виде ip-адрес:порт
usmailer™
18-07-2007, 09:09
В клиенте должны быть настройки, ибо тогда теряется смысл настройки порта на серверной части. Как вариант вводить в виде ip-адрес:порт
В том то и дело, что нет в клиенте никаких настроек... Это и есть проблема...
а писать через ":" порт - нет смысла, т.к. таким образом указывается порт точки назначения... т.е. х.х.х.х:3ххх это не адрес выхода... это адрес входа
В таком виде у меня отлично все работает дома...
VNC не юзал, не знаю, но судя по документации http://www.realvnc.com/products/free/4.1/winvncviewer.html порт можно указать, использовав два двоеточия (сервер::порт), хотя на скринах одно нарисовано почему то.
usmailer™
18-07-2007, 10:28
VNC не юзал, не знаю, но судя по документации http://www.realvnc.com/products/free/4.1/winvncviewer.html порт можно указать, использовав два двоеточия (сервер::порт), хотя на скринах одно нарисовано почему то.
странно, но в доках я не нашел вообще упоминания о выборе порта для выхода клиента в сеть...
двойное двоеточие не помогает это точно...
Может кто еще какие программы пользует для доступа к локальным компам через роутер из инета???
странно, но в доках я не нашел вообще упоминания о выборе порта для выхода клиента в сеть...
If the VNC server is using a non-standard port number to accept connections then this is specified by adding two colons to the server's address or name, followed by the port number
Также в http://www.realvnc.com/products/personal/4.2/winvncviewer.pdf на 20 странице тоже самое описано и с правильными скриншотами.
Когда соединяешься через http то адрес прописывается с портом:
http://192.168.1.1:5800/
Попробывать пробросить http, если получиться, то и клиент пойдет.
А точно 3ххх порт на иса открыт для исходящих?
Стандартное правило там
HTTP - 80
HTTPS - 443
usmailer™
18-07-2007, 11:51
Когда соединяешься через http то адрес прописывается с портом:
http://192.168.1.1:5800/
Попробывать пробросить http, если получиться, то и клиент пойдет.
А точно 3ххх порт на иса открыт для исходящих?
Стандартное правило там
HTTP - 80
HTTPS - 443
вот то дает ISA при попытке коннекта браузером на 5800
Network Access Message: The page cannot be displayed
Explanation: The request timed out before the page could be retrieved.
Try the following:
* Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
* Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
* Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.
* Contact website: You may want to contact the website administrator to make sure the Web page still exists. You can do this by using the e-mail address or phone number listed on the website home page.
If you are still unable to view the requested page, try contacting your administrator or Helpdesk.
Technical Information (for support personnel)
* Error Code 64: Host not available
* Background: The gateway or proxy server lost connection to the Web server.
* Date: 18.07.2007 10:47:21
* Server: ISA_proxi.com
* Source: Remote server
Настройки на удаленной машине стандартные, все по умолчанию...
Дык главное, что из внутренней сети все работает...
На всякий случай... на удаленной машине крутится Windows Server 2003
Сделай на роутере проброс порта 443, в настройках VNC сервера на домашнем компьютере на закладке Connections поставить галочку "Serve Java viewer via HTTP on port" и указать порт 443
Все должно работать.
Можешь попробывать зайти локально 127.0.0.1:443 должен запуститься вьювер, джава должна быть установлена.
Собственно сабж
Интересует как вы добились этого.
Правильно ли я открыл порт на роутере?
Роутер WL-520gu
Port Range 3389
Local IP 192.168.1.2
Local Port 3389
Protocol BOTH
На форуме искал ответ, но не нашел, если есть такая тема просьба дайте ссылку, очень нужен доступ.
а какой именно доступ нужен?
например, рАдмину нужен (по дефолту конечно) 4899 ТСР
для mstsc - 3389 TCP
для ssh можно зайти на рутер, а с него скакнуть дальше :) для телнета тоже
обычный старый виндовый доступ - mstsc :)
проблема несколько сузилась :)
порты открыл правильно, но доступ имею только к основному компу.
создаю такое же правило для ноутбука и не могу приконектиться.
Ноутбук подключен по wi fi, комп в lan. Это единственное отличие в настройках.
проблема решается путем организации ssh туннеля через роутер.
Для этого нужна путти (желательно свежая) на удаленном компе и ssh сервер на роутере с портом открытым в iptables наружу.
В путти настраиваем тунель следующим образом:
Создаем соединение на роутер
В закладке connection->ssh->tunnels
add new forwarded port:
source port: 3333
destination: 192.168.1.10:3389
local
auto
(здесь 3333 --- любой незанятый порт, а 192.168.1.10 --- LAN IP PC во внутренней сети)
не забываем нажать кнопку add и после этого сохранить изменения в данной сессии.
Все, теперь для соединения необходимо сначала зайти на роутер putty. Далее соединяемся с localhost:3333 и подключаемся к remote desktop (к которому естественно должен быть разрешен доступ).
Таких правил может быть много на разные сервисы и разные адреса, например легко можно иметь доступ к веб-интерфейсу роутера не открывая его WAN.
Конечно можно сделать форвард портов, однако, ssh туннель имеет преимущество в том, что соединение по ssh считается относительно безопасным, весь траффик, включая, имена и пароли шифруется и лишние порты не открываются во внешний мир на которых сидят такие сомнительные в смысле безопасности сервисы.
al37919, я так понимаю что ты предлагаешь воспользоваться другим свободным портом. но это для для возможности доступа к обоим компам на разных портах. мне не нужен доступ к компу, я на него зашел только для того чтобы убедиться что правило работает. спасибо, я попробую воспользоваться твоим советом, интересно что получится.
но одно все таки непонятно:
создавая правило для порта 3389 на ip 192.168.1.3 (основной комп) имею к нему доступ.
далее удаляю правило и создаю точно такое же для ip 192.168.1.2 (ноут)
почему нет доступа к ноутбуку по порту 3389? дело точно не в его настройке, через обычный свич remote desktop работает.
можно проверить как выглядит iptables -t nat -L
почему нет доступа к ноутбуку по порту 3389?
глупый вопрос - а на буке-то все нормально? т.е. с других девайсов можно зайти? А то люди часто забывают или файрвол гасануть или галочку для удаленного рабочего стола поставить...
1.Что на ноуте стоит? XP prof или home
На проф зайти удаленно проблем нет mstsc /console и вперед, только галку поставь
на Хом так не выйдет, надо изголяться, либо радмин поставить.
2. Основной компьютер, там что за ОС?
значит так, на и на компе и на ноуте xp prof, в брандмауэре все разрешено (других файерволов нет), мало того ради чистоты эксперимента он вобще отключался.
что было проделано:
с бука удаленно вошел на комп (в локалке за роутером), с компа на бук не смог. отключил wi fi, подключил ноут кабелем через роутер - та же история, на ноут доступа нет.
на буке снесена система, с чистого листа зайти на бук нет возможности ни из вне, ни с компа по локалке.
далее этот же эксперимент проведен с таким же буком (ACER 4720Z на win xp prof) и компом за таким же роутером (520GU) Ситуация ровно такая же - на комп доступ есть и с ноута и из вне. На ноут зайти нет возможности.
Скорее всего правда дело в портах, проверить еще не успел.
мой компьютер - свойства - удаленное использование - Разрешить удаленный доступ к этому компьютеру
(или как-то так, говорил по памяти, так как виста стоит)
с фряхи на remote desktop винды --- по моему никак. Только с винды на винду.
А, вообще, по поводу туннелей есть такая тема: http://wl500g.info/showthread.php?t=12833
с фряхи на remote desktop винды --- по моему никак. Только с винды на винду.
Да?! А VNC? Rdesktop?
да я не настаиваю. А что VNC и RDP совместимы? Чес слово просто ни разу не доводилось... [ просто, имхо, трудно ожидать, что m$ имплементирует уже существующий протокол, а не создаст новый несовместимый ни с чем... ]
да я не настаиваю. А что VNC и RDP совместимы? Чес слово просто ни разу не доводилось... [ просто, имхо, трудно ожидать, что m$ имплементирует уже существующий протокол, а не создаст новый несовместимый ни с чем... ]
Когда у меня дома некоторое время назад подох писюк с виндой, я перетащил на его место домашний сервер с FreeBSD и имел рабочее место на нём в полном объёме - и OpenOffice, и привычный FireFox для тырнета, и подключение по RDP куда следует... тамошний клиент умеет и по VNC, и по RDP. Даже видео на нём смотрел, хотя проц там дохлый-дохлый :) А потом починил винду и поставил сервак на место - жена всё-таки более к винде привычна...
Я использую такое решение - для того чтобы не колупаться с меняющимися динамическими айпишниками, да и для большей безопасности ( :D надеюсь не перебарщиваю, ато может хуже делаю), поставил такую систему. На двух компах - с которого хочу контролировать и который хочу контролировать поставил hamachi, органиховал впн. (с хорошим бооольшим паролем) и уже тогда настроил VNC ... все прекрасно заработало. И никаких портов открывать не надо. (кроме файрвольных правил для хомячка и для внц)...
ps... Однако вот несколько дней назад странная штука произошла, после соединения экран вьювера внц черный. Где-то режется трафик но не пойму где. (грешу на свой роутер, он как то сделал мне злую шутку, когда я на свой сайт зайти не мог, техподдержку затерроризировал, однако нашел причину такого - перегрузил роутер!) .. однако сегодня перегужал но ничего не изменилось :( не знаю что делать. Внутри локальной сети на работе все прекрасно коннектиться и работает а здесь нет.
а я так не парюсь:
- зарегился на dyndns.org, получил свой домен
- на роутере поднят sshd, вход только по ключу, root заблокирован
и хожу спокойно сколько мне надо
а если ли возможность перебиндить роутеровский ssh вместо дурацкого 22 на более высокий порт, что-нибудь типа 5000+ или 10000+ ? :cool:
Sagitarius
17-06-2008, 22:58
а если ли возможность перебиндить роутеровский ssh вместо дурацкого 22 на более высокий порт, что-нибудь типа 5000+ или 10000+ ? :cool:
Есть "Trigger Port"
т.е. если я перекину 10000 тсп на 22, то смогу на роутер заползти из вне (с работы например) по 10000, правильно я понимаю?
Sagitarius
18-06-2008, 07:58
т.е. если я перекину 10000 тсп на 22, то смогу на роутер заползти из вне (с работы например) по 10000, правильно я понимаю?
Вторая строка
ЗЫ. Это не верно
Практически все о тунеле и об открытии SSH наружу здесь (http://wl500g.info/showthread.php?t=12833)
Vitalson
18-06-2008, 20:13
Подскажите пожалуйста, как настроить роутер WL500W для корректной работы RAdmin из внешней сети? Во внутренней сети все просто и довольно банально, вообщем работает. А вот с локалки и с нета никак… Если не затруднит по пунктам действий и на понятных выражениях, а то я конечно могу понять но на форуме есть слова и выражения, которые встречаю впервые и вообще непонятно порой о чем речь, хотя интуитивно по названию ветки понимаешь о чем диалог. Помогите, если кто сталкивался. Спасибо!!!
Sagitarius
19-06-2008, 08:42
Подскажите пожалуйста, как настроить роутер WL500W для корректной работы RAdmin из внешней сети? Во внутренней сети все просто и довольно банально, вообщем работает. А вот с локалки и с нета никак… Если не затруднит по пунктам действий и на понятных выражениях, а то я конечно могу понять но на форуме есть слова и выражения, которые встречаю впервые и вообще непонятно порой о чем речь, хотя интуитивно по названию ветки понимаешь о чем диалог. Помогите, если кто сталкивался. Спасибо!!!
Например так (http://www.portforward.com/english/routers/port_forwarding/Asus/WL-500GP/radmin_-_Remote_Administrator.htm)
FilimoniC
19-06-2008, 13:14
Варианта, собсно, два:
1 - не открывать радмин (или че там у вас -неважно) наружу и ходить через ssh-туннель.
2 - открыть это наружу, убрав 1 рубеж безопасности и, в общем-то, поставить под опасность всю систему (лично я преверженец того, что защита ssh намного надежнее RDPv5, VNC и radmin)
Вариант 1 реализуется так: вешаете sshd на другой порт (если проблемы на выходном или входном компьютерах, то думать надо - я использую 443, он же https, никто пока не ломился), если IP менется, прописываете DDNS. Затем с помощью putty, либо plink делаете 'Local' (-L) проброс порта до компьютера. выглядит примерно так: для путти на вкладке ssh-tunnels добавляете local, 2020, 192.168.0.55:3899. Таким образом при коннекте на 127.0.0.1:2020 вы через туннель попадете на 192.168.0.55:3899. Без туннеля никак попасть нельзя.
Вариант 2 реализуется через вкладку VirtualServer
Vitalson
19-06-2008, 16:59
Например так (http://www.portforward.com/english/routers/port_forwarding/Asus/WL-500GP/radmin_-_Remote_Administrator.htm)
Спасибо за помощь! Порт какой указывать 4899 или его номер нужно гдето в моём комрьютере смотреть?
Vitalson
19-06-2008, 17:03
Вариант 1 реализуется так: вешаете sshd на другой порт (если проблемы на выходном или входном компьютерах, то думать надо - я использую 443, он же https, никто пока не ломился), если IP менется, прописываете DDNS. Затем с помощью putty, либо plink делаете 'Local' (-L) проброс порта до компьютера. выглядит примерно так: для путти на вкладке ssh-tunnels добавляете local, 2020, 192.168.0.55:3899. Таким образом при коннекте на 127.0.0.1:2020 вы через туннель попадете на 192.168.0.55:3899. Без туннеля никак попасть нельзя.
FilimoniC Спасибо!
Вариант первый наверное лучше и безопасней чем второй, но не совсем понятно куда, что нужно пробросить и где прописать. Я только купил роутер и еще не совсем вьехал, что и как. Вот по картинкам я вкурил как, только с цифрой нужно решить. Если не сложно поподробнее, на пальцах так сказать...
FilimoniC, о вот а может подскажите, как реализовать такую схему
есть домашний комп (на самом деле роутер конечно :D), с выставленным наружу ssh на 10001 порту.
Есть удалённое место (работа), где по 10001 порту можно через тот же путти управлять домашней системой. Это работает отлично.
А вот теперь хочется использовать scp клиент для доступа с той же машины, что и путти, но напрямую соединиться нельзя. Хочется с помощью путти завернуть траффик в ssh туннель, а на scp клиенте коннектиться как-то наподобие localhost:22, но неясно какое правило ssh редиректа надо использовать...
Собственно вот и вопрос. :rolleyes:
Vitalson
19-06-2008, 20:05
есть домашний комп (на самом деле роутер конечно :D), с выставленным наружу ssh на 10001 порту.
Есть удалённое место (работа), где по 10001 порту можно через тот же путти управлять домашней системой. Это работает отлично.
skelet, как это работает? И что такое путти?
Sagitarius
19-06-2008, 20:35
Путти (http://www.putty.org/)
1 Ставим
2 Настраиваем
2.1 Не первом рис, вместо прямоугольника ваш DDNS адрес роутера
2.2 На втором рис, Source port - порт к которому вы собираетесь подключаться клиентом, Destination - IP вашей машины в локальной сети (за роутером) и порт сервера (для RDC WINXP 3389). Третий рис - после нажатия Add.
3 На четвертом рис, запускаем RDC и направляем его на 127.0.0.1:2020
Удачи
ЗЫ. Да, как настроили путти, сохраните сессию как на первом рис.
FilimoniC
20-06-2008, 11:46
skelet, мне вас трудно понять. scp - "secured cp" - "secured copy". То есть в данном случае мы можем скопировать вайл с машины, на которую есть ssh-доступ. Смысла заворачивать scp в ssh туннель нет, так как это одна защита в другой, причем защиты аналогичны.
А вот теперь хочется использовать scp клиент для доступа с той же машины, что и путти, но напрямую соединиться нельзя.
Почему нельзя? Можно!
Соединение с роутером и копирование файла c роутера на свой диск(напрямую):
Задача: скопировать файл /etc/passwd в c:\passwd.txt
pscp -P 10001 -scp -l admin_login xxx.homedns.org:/etc/passwd c:\passwd.txt
Хочется с помощью путти завернуть траффик в ssh туннель, а на scp клиенте коннектиться как-то наподобие localhost:22, но неясно какое правило ssh редиректа надо использовать...
Собственно вот и вопрос. :rolleyes:
Если уж очень хочется запустить туннель и завернуть в него scp, то так:
Задача: поднять нуннель до роутера и по туннелю пустить scp до того же роутера.
Примечания:
- sshd висит на роутере на порту 22.
- sshd проброшен наружу и доступен по порту 10001 (то есть снаружи он доступен по 10001, а с роутера на самого себя - 22)
- Внутренний ip роутера 172.20.1.1
- На локальной машине открываем туннель: с порта 10002 до роутера на поорт 22
- Скопировать файл /etc/passwd с роутера на комп в c:\passwd2.txt
plink -v -ssh -P 10001 -l admin_login -L 127.0.0.1:10002:172.20.1.1:22 -x -a -T -noagent -N xxx.homedns.org
в другом окне cmd:
pscp.exe -P 10002 -scp -l admin_login 127.0.0.1:/etc/passwd c:\passwd2.txt
Однако предупрежу, что "голый scp" использовать не сильно опаснее чем scp завернутый в ssh-туннель. Шифрование одно и то же, логипасс наверное тоже одинаковый, так что вы получаете минимальный прирост безопасности при изрядном приросте геморроя.
* plink - это "консольный putty", качается с того же сайта что и putty
* pscp - это scp по ssh, от создателей putty, качается с того же сайта что и putty
* cайт PuTTY - http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
* Если хоитите встроить это в bat-файл, используйте флаг -pw admin_password и -batch, действуют как для plink, так и для pscp
FilimoniC
20-06-2008, 12:16
FilimoniC Спасибо!
Вариант первый наверное лучше и безопасней чем второй, но не совсем понятно куда, что нужно пробросить и где прописать. Я только купил роутер и еще не совсем вьехал, что и как. Вот по картинкам я вкурил как, только с цифрой нужно решить. Если не сложно поподробнее, на пальцах так сказать...
Сразу замечу, что для соединения с роутером, у него должен быть реальный IP. Это узнайте у провайдера.
Что такое ssh:
SSH (англ. Secure Shell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и передачу файлов. Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства операционных систем. Подробнее > (http://ru.wikipedia.org/wiki/SSH)
Знаете что такое "Командная строка Windows"? Если не знаете - сделайте Пуск -> Выполнить -> cmd -> ok. То есть, это управление системой в стиле MS-DOS, командами. Оболочка (то черное окно) - это SHELL. SSH дает возможность запустить такую оболочку у себя на машине, но все что вы в ней напишите будет выполняться не у вас на машине, а на роутере (или дрогом компьютере). То есть, по сути, вы запустили командную строку на роутере, а отображается она у вас тут. Плюс ко всему, через SSH достаточно безопасно передавать пароли, так как соединение между компьютером и роутером шифруется.
Что такое Putty (или его брат plink):
PuTTY — свободно распространяемый клиент для протоколов SSH, Telnet, rlogin и чистого TCP (помимо интернет‐протоколов PuTTY также поддерживает последовательные порты). Изначально разрабатывался для Microsoft Windows, однако позднее портирован на Unix. В разработке находятся порты для Mac OS и Mac OS X. Сторонние разработчики выпустили неофициальные порты на другие платформы, такие как мобильные телефоны под управлением Symbian OS и коммуникаторы с Windows Mobile. Программа выпускается под лицензией MIT. Подробнее > (http://ru.wikipedia.org/wiki/PuTTY)
То есть PuTTY, это та программа, с помощью которой можно создать "SSH-Туннель" (об этом ниже) и\или запустить "командную строку" на роутере так, чтобы она отображалась на компьютере.
Однако SSH также позволяет делать "туннели". То есть, предположим, у вас есть роутер с установленным ssh-сервером. За роутером стоит домашний компьютер, на котором установлен, скажем, radmin (средство контроля удаленного рабочего стола). Есть два способа подсоединиться:
Первый: (к теме мало относится) Пробросить radmin "наружу", на роутер, то есть это VirtualServer когда вы соединяетесь с роутером по определенному порту, он автоматом перенаправляет все данные на компьютер во внутренней сети на заранее назначеный порт (порт radmin). Это самое простое, но самое небезопасное, что можно сделать - в этом случае любой пользователь, в том числе хакер, может попробовать туда сунуться и сломать пароль. Система безопасности radmin, по слухам, далеко не самая надежная, поэтому так лучше не делать. В дополнение - попытка взлома немного загружает компьютер, если таких попыток много, то он может отказаться работать. Зато при этом не нужно использоывать никаких ssh и putty.
Что такое туннели (с википедии)
Большинство программ для установления соединения используют TCP, который можно передавать через безопасный туннель используя OpenSSH. Так можно устанавливать множество дополнительных TCP соединений внутри одного ssh соединения. Это удобно для сокрытия соединений и шифрования протоколов, которые являются небезопасными и для обхода фаерволла
Второй вариант - использовать туннель. Это гораздо более безопасный вариант, при таком раскладе все данные и пароли шифруются хорошо зарекомендовавшим себя алгоритмом, вы можете считать себя в почти полной безопасности (остаются вирусы, которые украдут пароль от SSH прямо у вас с компьютера). Работает следующим образом: Сначала устанавливается так называемый SSH-Туннель. Это работает так: После того как вы зашли на роутер по ssh с помощью putty или plink, вы делаете небольшие настройки туннеля. Например: порт 2020 пробросить до 172.20.1.10:4899. Здесь 172.20.1.10 - внутренний IP вашего домашнего компьютера. Он существует и актуален только для вашей домашней сети (тех машин что подключены к роутеру). 4899 - стандартный порт radmin. Теперь вы можете соединитьс с адресом 127.0.0.1 (этот адрес всегда приналежит машине, с которого он запрошен, то есть соединяетесь сами с собой), на порт 2020. PuTTY и SSHD сработают, и незаметно прокинут все данные на ваш домашний компьютер (172.20.1.10), на порт 4899. То есть ваше соединение к самому себе (127.0.0.1) перенаправится через Putty, пройдет тунель, затем sshd на роутере, затем придет на ваш домашний компьютер. Обратите внимание, что без установки туннеля на домашний компьютер никто по-другому попасть не сможет, а значит что никто не сможет сломать пароль radmin (для этого ему сначала придется сломать пароль SSHD роутера, что нелегко). Плюсы такого способа - вы не оставляете ничего открытым наружу в интернет, кроме довольно защищенного sshd, и все данные на пути их следования некисло зашифрованы, так что перехватить их тоже трудно. Минусы - возня с sshd, необходимость запускать putty перед тем как вы захотите зайти на свой домашний компьютер. Однако смею заверить, sshd настраивается один раз и на всю жизнь (до перепрошивки), причем довольно легко.
Для того, чтобы поставить SSH на роутер, необходимо прошить роутер прошивкой Олега. Настройка и установка SSH-сервера (он называется dropbear в данном случае), то есть программы на роутере, куда вы будете коннектиться с помощью PuTTY или чего-то другого, описана достаточно подробно в ветке "Настройка с нуля".
FilimoniC
20-06-2008, 12:51
ps... Однако вот несколько дней назад странная штука произошла, после соединения экран вьювера внц черный. Где-то режется трафик но не пойму где. (грешу на свой роутер, он как то сделал мне злую шутку, когда я на свой сайт зайти не мог, техподдержку затерроризировал, однако нашел причину такого - перегрузил роутер!) .. однако сегодня перегужал но ничего не изменилось :( не знаю что делать. Внутри локальной сети на работе все прекрасно коннектиться и работает а здесь нет.
Шифрование играйте, отрубите второй монитор, если есть, но не используется. Проблема 99% VNC. Рекомендую RealVNC.
FilimoniC
20-06-2008, 15:24
Вторая строка
Вы не правы, нужно не в порт-триггер, а в виртуал-сервер. Порт-триггер немного для других целей.
Вот почитайте (http://portforward.com/help/porttriggering.htm).
Вкратце:
Когда компьютер (неизвестно какой, главное что из внутренней сети роутера) обращается через роутер в интернет по заранее приписаному порту (например порт 50) (Trigger port), и устанавливает соединение, то роутер решает пробросить (аналог Virtual Server) какой-то другой порт (порт 80) (Incoming port) до того компа, который обращался. Теперь весь входящий траффик на порт 80 роутера уходит этому компу. Порт 80 (Incoming port) держится проброшеным пока по порту 50 (Trigger port) ходят данные. Как только по порту 50 (Trigger port) прекращают ходить данные (плюс небольшая задержка), порт 80 (Incoming port) перестает быть проброшеным до данного компьютера и данные до того компа перестают ходить.
Так как описали вы, делать нельзя, ибо это совсем из другой оперы.
Пробрасывать порт надо так:
в Virtual Server:
Port Range = 10000 (внешний порт, по которому хотите попасть в ссш)
Local IP: 172.20.1.1 (IP роутера во внутренней сети)
Local Port: 22 (порт, на котором висит ссш на роутере)
Protocol: TCP (UDP не нужен для SSH)
Плюс, _вероятно_ придется на роутере дергать iptables
FilimoniC
20-06-2008, 15:51
Katran: держу пари, либо сохранить, либо ребутнуть забыли. Либо что-то где-то неправильно указано, возможно ноут получает не тот IP на который вы рассчитываете. Не забывайте что IP раздается динамически, а значит что после ребута роутера у любой машины вполне себе пожет стать другой IP. Чтобы этого не случилось, сделайте привязку mac-ip в настройках DHCP. Еще проверьте, в случаен с DHCP, стоит ли у вас автоматическое получение IP на ноутах, не забито ли вручную.
FilimoniC, понимаю я всё это, но там дело было такое... в путти в закладке прокси указывался тип none, потом ip:порт фаера.
А в winscp банально нельзя так сделать в графической среде, когда указываешь тип проски none поля ip и порта неактивны... :mad:
Вот и пришлось с туннелями хитрить, впрочем сейчс всё отлично завернулось.
Честно говоря мне очень понравился механизм ссш-туннелей, прямо-таки протаскивание верблюда через игольное ушко!
Но теперь стоит следующая задача: мне не нравится, что слишком много портов торчит наружу, в т.ч. опасные, типа р-админа, хотелось бы оставить один ssh (ну или на крайняк ещё веб-морду роутера), и что-бы туннель приводил пакеты прямо в мою домашнюю локалку, за роутер. Жто вообще хотя бы теоретически возможно?
FilimoniC
20-06-2008, 20:21
Но теперь стоит следующая задача: мне не нравится, что слишком много портов торчит наружу, в т.ч. опасные, типа р-админа, хотелось бы оставить один ssh (ну или на крайняк ещё веб-морду роутера), и что-бы туннель приводил пакеты прямо в мою домашнюю локалку, за роутер. Жто вообще хотя бы теоретически возможно?
В одном SSH-соединении делайте несколько туннелей. Еще обратите внимание сюда:
-D [listen-IP:]listen-port
Dynamic SOCKS-based port forwarding
-L [listen-IP:]listen-port:host:port
Forward local port to remote address
-R [listen-IP:]listen-port:host:port
Forward remote port to local address
Sagitarius
20-06-2008, 20:31
Вы не правы
Да, каюсь обшибся :)
Практически все о тунеле и об открытии SSH наружу здесь (http://wl500g.info/showthread.php?t=12833)
Удачи
FilimoniC, спасибо! т.е. туннель ведёт УЖЕ внутрь моей локалки, так я понял?
ну ежели так, то мне достаточно перекинуть какой-нибудь
port: 12345 Local, destination 192.168.1.4:4899 (ну 192.168.1.4. адрес компа в локалке дома) для р-админа и
port: 12346 Local, destination 192.168.1.1:80 для соединения с веб-интерфейсом роутера
Сейчас проверить не могу, бо выходные, но в целом у меня правильное понимание ситуации или не очень? :rolleyes:
Sagitarius, да ладно, все эти роутеровские фичи с перекидкой портов и виртуальным сервером в принципе не очень-то и нужны, есть ведь механизм туннелей, да и скорее всего безопаснее он.
Sagitarius
21-06-2008, 12:58
Sagitarius, да ладно, все эти роутеровские фичи с перекидкой портов и виртуальным сервером в принципе не очень-то и нужны, есть ведь механизм туннелей, да и скорее всего безопаснее он.
Я так понял Вы по ссылке не ходили, ну тада ладно.
я имел ввиду эту http://www.portforward.com/english/routers/port_forwarding/Asus/WL-500GP/radmin_-_Remote_Administrator.htm
впрочем действительно ладно, поэкспериментурую чуток благо выходные ;)
FilimoniC
22-06-2008, 05:47
FilimoniC, спасибо! т.е. туннель ведёт УЖЕ внутрь моей локалки, так я понял?
ну ежели так, то мне достаточно перекинуть какой-нибудь
port: 12345 Local, destination 192.168.1.4:4899 (ну 192.168.1.4. адрес компа в локалке дома) для р-админа и
port: 12346 Local, destination 192.168.1.1:80 для соединения с веб-интерфейсом роутера
Сейчас проверить не могу, бо выходные, но в целом у меня правильное понимание ситуации или не очень?
В вашей ситуации верно, но не совсем корректно - конект в данном случае идет на ЛЮБОЙ адрес, указанный вместо 192.168.1.4, в том числе и внешний. Таким образом, например, если у вас локальная сеть и вы хотите посмотреть свой баланс у провайдера (сервер, ясное дело, находится вне роутера, но недоступен из инета - только из локалки провайдера), то можно указать IP-адрес внешнего сервера. Но учтите что в случае с HTTP могут быть проблемы - некоторым серверам требуется знать, что вы обращаетесь именно к stat.provider.ru а не к 127.0.0.1:1203. Один из вариантов лечения - прописывать в hosts на машине клиента сервер на 127.0.0.1.
Sagitarius, да ладно, все эти роутеровские фичи с перекидкой портов и виртуальным сервером в принципе не очень-то и нужны, есть ведь механизм туннелей, да и скорее всего безопаснее он.
Туннелинг и проброс (он же VirtualServer) - разные вещи. Отличаются они в первую очердь тем, что с помощью VirtualServer вы даете доступ к ресурсу всему внешнему миру, что необходимо для нормальной работы BitTorrent, DirectConnect, а также, например, домашенго веб-сервера. Я не рассматриваю проброс с фильтрацией IP-адреса на входе и прочего. Туннель же служит в основном для администрирования, либо для защиты передаваемых данных.
Туннелинг и проброс (он же VirtualServer) - разные вещи. Отличаются они в первую очердь тем, что с помощью VirtualServer вы даете доступ к ресурсу всему внешнему миру, что необходимо для нормальной работы BitTorrent, DirectConnect, а также, например, домашенго веб-сервера.
Да это-то понятно, просто для внешнего мира мне пока кроме торренов ничего и не надо вообщем...
вообщем осталось заставить этот странный dropbear слушать запросы из внешнего мира, т.е. по ppp0. :rolleyes:
упд: интересно, а какой там source ip нарисуется, 127.0.0.1 что-ли?.. это для айпи-фильтрации р-админа к примеру♦
Vitalson
22-06-2008, 09:15
:confused: Кто знает как безопасно настроить удаленный доступ через роутер на два или три компа внутренней домашней сети из нета или локалки? (Например с работы на домушную сеть) При использовании программы RAdmin. Другие программы можно как вариант, но админа нужно мне настроить 100%. Кто знает? Буду оЧЧень признателен!
:confused: Кто знает как безопасно настроить удаленный доступ через роутер на два или три компа внутренней домашней сети из нета или локалки? (Например с работы на домушную сеть) При использовании программы RAdmin. Другие программы можно как вариант, но админа нужно мне настроить 100%. Кто знает? Буду оЧЧень признателен!
А почитать чуть ниже (http://wl500g.info/showthread.php?t=11896) религия не позволяет? Это что касается БЕЗОПАСНО.
Что касается просто проброса портов - в Virtual Server сделать проброс входящих РАЗНЫХ портов на 4899 нужного кол-ва компов.
Vitalson
22-06-2008, 11:17
А почитать чуть ниже (http://wl500g.info/showthread.php?t=11896) религия не позволяет? Это что касается БЕЗОПАСНО.
Что касается просто проброса портов - в Virtual Server сделать проброс входящих РАЗНЫХ портов на 4899 нужного кол-ва компов.
Можно дать пошаговую настройку в Virtual Server? Надеюсь, что найдутся люди, которых это не затруднит.
Можно дать пошаговую настройку в Virtual Server? Надеюсь, что найдутся люди, которых это не затруднит.
А что там сложного?
В нужной клетке указать нужную цифру
Enable Virtual Server? - Yes
Virtual Server List:
Port Range - порт, на который снаружи стучаться.
Local IP - на какой комп уйдут данные (разные для разных компов).
Local Port - порт, куда пойдут данные внутри (в данном случае 4899 для Радмина).
Protocol - TCP.
Description - описание.
Потом Add после заполнения каждой строчки.
Apply, Finish, Save & Reboot.
Vitalson
22-06-2008, 12:19
А что там сложного?
В нужной клетке указать нужную цифру
Enable Virtual Server? - Yes
Virtual Server List:
Port Range - порт, на который снаружи стучаться.
Local IP - на какой комп уйдут данные (разные для разных компов).
Local Port - порт, куда пойдут данные внутри (в данном случае 4899 для Радмина).
Protocol - TCP.
Description - описание.
Потом Add после заполнения каждой строчки.
Apply, Finish, Save & Reboot.
vectorm, огромное тебе спасибо!
Скажи, а во внутренней сети IP должны быть прописаны? Или раздаются в автоматическом режиме? Думаю, что это нужно тоже прописывать??? Где-то?...:(
Vitalson, ай-пи компов в домашней сети должны быть прописаны (зафиксированы) в настройках DHCP сервера на роутере и должны учитываться при создании туннелей в Putty.
Я, конечно, прошу прощения, но Вы уверены, что вам нужен Radmin?
Подключась к RAdmin на машине внутри сети через создание SSH туннеля. Но странная вещь происходит. Соединение живет не больше 3 минут. Т.е. после подключения через 20-180 сек соединение отваливается. Кто использет такую схему? Такой же глюк? Можно как-то поправить?
Подключась к RAdmin на машине внутри сети через создание SSH туннеля. Но странная вещь происходит. Соединение живет не больше 3 минут. Т.е. после подключения через 20-180 сек соединение отваливается. Кто использет такую схему? Такой же глюк? Можно как-то поправить?
Может канал нестабильный?
Рвется при любом коннекте Радмином, даже файловом и cmd?
Я использую такую схему.
Соединение действительно отваливается у 3-й версии Вьювера.
Сервер стоит 2-й версии.
С вьювером-двойкой все было в порядке.
Но обычно мне хватало этих двух-трех минут, так что не напрягало, посему корень зла не искал :)
FilimoniC
24-06-2008, 07:09
упд: интересно, а какой там source ip нарисуется, 127.0.0.1 что-ли?.. это для айпи-фильтрации р-админа к примеру♦
Внутренний IP роутера, я полагаю (то есть IP, на котором стоит sshd)
FilimoniC
24-06-2008, 12:04
Да это-то понятно, просто для внешнего мира мне пока кроме торренов ничего и не надо вообщем...
вообщем осталось заставить этот странный dropbear слушать запросы из внешнего мира, т.е. по ppp0. :rolleyes:
Прочитайте про post-boot и post-mount в "инструкции с нуля"
Это запускает dropbear на 443-м порту (не уверен в -а флаге, для вас он не нужен)
[xxx@router sbin]$ cat post-boot
#!/bin/sh
dropbear -m -a -p 443
А это открывает фаерволл на входящее подключение
[xxx@router sbin]$ cat post-firewall
#!/bin/sh
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
Канал очень даже стабильный. Потоковое видео с камеры льется без проблем. Файловым менеджером не пробовал. С версиями RAdmin-а попробую.
Спасибо что откликнулись, но к счастью уже сработало, просто dropbear -p в пост-буте хватило и успешно слушает во вне! (просто надо было flashfs не забывать делать почаще)
Хотелось вот решить обратную задачку - т.е. используя это же соединение поиметь доступ в ресурсам на удалённом месте.
Но простые правила а-ля
Remote
port = 5555
ip : port в локалке удалённого места не работают
из дома пытаюсь вызвать 192.168.1.1:5555 а там ничего ((
Видимо ещё что-то надо придумывать
:(
FilimoniC
24-06-2008, 22:32
Спасибо что откликнулись, но к счастью уже сработало, просто dropbear -p в пост-буте хватило и успешно слушает во вне! (просто надо было flashfs не забывать делать почаще)
Если дропбеар просто так пустил вас извне, то что-то тут не так.
Хотелось вот решить обратную задачку - т.е. используя это же соединение поиметь доступ в ресурсам на удалённом месте.
Но простые правила а-ля
Remote
port = 5555
ip : port в локалке удалённого места не работают
из дома пытаюсь вызвать 192.168.1.1:5555 а там ничего ((
Видимо ещё что-то надо придумывать
:(
Во-первых, попробуйте у dropbear флаг -a
Во-вторых, попробуйте пробросить через plink (скачать на страничке putty, это, по сути, putty, но из командной строки):
plink -P 443 -v -ssh -l loginXXX -pw passwordXXX -T -N -noagent -R 172.20.1.1:8087:127.0.0.1:8088 hostanmeXXX.homedns.org
172.20.1.1:8087 - откуда (если память не изменяет, то IP в данном случае можно не указывать)
127.0.0.1:8088 - куда (то есть это может быть не та машина, на которой стоит plink)
-v - для отладки
В-третьих: у putty,plink (ну или у всего ssh) я обнаружил такое свойство: если ничего не передавать, то хоть кабель выдирай - он останется висеть "вроде как подключен", но достаточно передать несколько символов - и мозги встают на место, он понимает что соединение мертво. Однако на удаленной машине не так-то все просто, не попишешь в консоль и т.д. Я для себя сделал набор батников, которые делают реконект и пробивают соединение, НО! Для корректной работы придется донастроить роутер: поднять на роутере httpd (просто внести его в post-boot, создать файл индекса и занести его в .files), затем, если боитесь юзать рутовый пароль, придется создать еще пользователей, прописать им шеллы, добавить шеллы в shells итд. Темку можете посмотреть тут, там в последнем посте - файл приложен рабочий (для клиента) (http://wl500g.info/showthread.php?t=14779)
Если непонятно - ICQ 422 626 373
Если дропбеар просто так пустил вас извне, то что-то тут не так.
Эээ, а что именно например, разве не обязан он вешаться на все имеющиеся адаптеры ( в т.ч. ррр0) ? ;) даже без -а ведь всё работает...
В виртуал-сервере правила только для торрента.
А обратное подключение (через правило remote) таки сработало, просто оказалось, что соединения принимаются ТОЛЬКО с локалхоста (т.е. с роутера то бишь).
Перебросив мостик с компутера на роутер соединения пошли!
Это конечно не особо хорошо так, но надеюсь, что с галочкой в путти
"Local ports accept connections from other hosts" всё заработает без дополнительного мостика.
И останется только проблема реконнекта :cool:
НО! Для корректной работы придется донастроить роутер: поднять на роутере httpd (просто внести его в post-boot, создать файл индекса и занести его в .files)
...
Если непонятно -
Да нет, какие действия-то сделать понятно, а вот что непонятно, так это зачем нужен httpd :rolleyes:
Эээ, а что именно например, разве не обязан он вешаться на все имеющиеся адаптеры ( в т.ч. ррр0) ? ;) даже без -а ведь всё работает...
В виртуал-сервере правила только для торрента.
А обратное подключение (через правило remote) таки сработало, просто оказалось, что соединения принимаются ТОЛЬКО с локалхоста (т.е. с роутера то бишь).
Перебросив мостик с компутера на роутер соединения пошли!
Это конечно не особо хорошо так, но надеюсь, что с галочкой в путти
"Local ports accept connections from other hosts" всё заработает без дополнительного мостика.
И останется только проблема реконнекта :cool:
Да нет, какие действия-то сделать понятно, а вот что непонятно, так это зачем нужен httpd :rolleyes:
Он уже писал - проверяет наличие файла на http сервере. Если нет файла - реконнект сессии.
FilimoniC
25-06-2008, 08:04
Эээ, а что именно например, разве не обязан он вешаться на все имеющиеся адаптеры ( в т.ч. ррр0) ? ;) даже без -а ведь всё работает...
В виртуал-сервере правила только для торрента.
Ну по идее (в дефолтной конфигурации), там стоит фаерволл, который запрещает коннект к роутеру на любой порт. Это, в общем-то, хорошо. А по http тоже пускает? если, да, то это у вас как-то неправильно настроено, он по-умолчанию запрещает все что не разрешено.
А обратное подключение (через правило remote) таки сработало, просто оказалось, что соединения принимаются ТОЛЬКО с локалхоста (т.е. с роутера то бишь).
Перебросив мостик с компутера на роутер соединения пошли!
Это конечно не особо хорошо так, но надеюсь, что с галочкой в путти
"Local ports accept connections from other hosts" всё заработает без дополнительного мостика.
Если не ошибаюсь, то именно это делает флаг -а (ну я еще не заботанил эту тему).
И останется только проблема реконнекта :cool:
Да нет, какие действия-то сделать понятно, а вот что непонятно, так это зачем нужен httpd :rolleyes:
Поясняю. На машине клиента настраивается putty. Идет проброс ДВУХ каналов: один обратный (Ваш Back-tunnel), второй - от компа к роутеру на httpd. Нужно это вот для чего: если вы, к примеру, перезагрузили роутер (жестко убив sshd, что как правило и бывает), то sshd не отошлет команду окончания сессии. Протокол ssh, как я понял из опыта, не имеет поддержки keep-alive, то есть он ничего не шлет без надобности. Таким образом, раз putty ничего не шлет, то он и не сможет догаться что связи-то уже нет. А значит он будет просто висеть, дожидаясь непонятно чего. (Кстати, вроде разные версии putty ведут себя по-разному, я говорю про последнюю с оффсайта). Для того чтобы суметь таки определить, что связи уже нет, периодически по прямому (тому который до httpd) туннелю запрашивается web-страничка. Если не получилось взть web-страничку, то нужно делать реконнект.
У меня (ссылка выше) сделано так:
в скрытом режиме (с помощью hidec - программа, скрывающая дос-окно), запускаестя два потока с bat-файлами. Подразумевается что на машине запущен только 1 экземляр plink и не может быть запущено несколько! Выглядят так (я убрал символы @ для простоты и сократил моменты, которые делал под себя):
запускаем процесс, следящий за состоянием соединения. он начнет работать через 200 секунд после запуска (прописано в http_checker.bat)
hidec http_checker.bat
:begin_connect
соединяемся, пробрасываем туннель прямой (до httpd) и обратный.Процесс plink висит до тех пор, пока его не убьют или до тех пор, пока сервер не даст отлуп. bat-файл не будет работать дальше пока plink не завершится
plink -v -P 443 -ssh -l login -pw password -N -T -a -x -2 -noagent -batch -R 172.20.1.1:2020:127.0.0.1:4899 -L 127.0.0.1:28200:172.20.1.1:28200 xxx.homedns.org
Это задержка между закрытием plink и попыткой коннекта. 60 пингов примерно равно 60 секундам, может чуть больше.
ping -n 60 -w 1000 127.0.0.1 > nul
после задержки программа переходит к началу цикла begin_connect (лейбл начала расположен перед вызовом plink)
goto begin_connect
Здесь:
443 - порт, на котрром снаружи доступен sshd
login - логин на sshd
password - пароль на sshd
172.20.1.1 - внутренний IP роутера
2020 - порт, открываемый на роутере для Back-tunneling
127.0.0.1 - ip машины, до которой plink пробросит порт (в данном случае - на себя). Тут обратите внимание что есть подчеркнутые, есть неподчеркнутые. Неподчеркнутые трогать не нужно.
4899 - порт, на который plink пробросит порт
28200 - порт, на котором висит httpd (используются одинаковые порт с обеих сторон)
xxx.homedns.org - внешний адрес или ip вашего роутера
:begin_test
ставим задержку - 200 пингов (примерно 200 секунд). Минус 60 секунд (в предыдушем батнике) - задержка между реконнектами. Остается 140 секунд. За это время putty успеет приконнектиться.
ping -n 200 -w 1000 127.0.0.1 > nul
Пробуем через проброшеный по ssh порт (не ваш), запросить web-страничку
wget -q -O nul --read-timeout 10 --no-dns-cache http://127.0.0.1:28200 > nul
проверяем значение, которое вернул wget (0 - значит все ок). Если не 0, проскакиваем несколько команд и прыгаем на лейбл :kill_plink. Если 0, то переходим к началу батника, к задержке (в данном случае putty остается работать, слудующая проверка через 200 секунд)
if NOT %ERRORLEVEL% == 0 goto kill_plink
goto begin_test
:kill_plink
Значит все-таки зависли или что-то не так. Убиваем plink и переходим в начало батника (при этом, следуя предыдущему батнику, через 60 сеекунд начнется реконнект)
taskkill /F /IM plink.exe > nul
goto begin_test
Собственно, файл, который надо запускать. Сделан чтобы перед глазами не маячило окошко cmd и больше не для чего.
hidec backTunnel.bat
Для нормальной работы вам потребуются программы:
hidec.exe
wget.exe
plink.exe
Ну по идее (в дефолтной конфигурации), там стоит фаерволл, который запрещает коннект к роутеру на любой порт. Это, в общем-то, хорошо. А по http тоже пускает? если, да, то это у вас как-то неправильно настроено, он по-умолчанию запрещает все что не разрешено.
Да вроде всё нормально в общем и целом, по крайней мере на уровне веб-морды.
http://ipicture.ru/uploads/080625/thumbs/W0d6WYWhdy.jpg (http://ipicture.ru/Gallery/Viewfull/2775978.html)
А как узнать какие правила реально применяются для входящих пакетов?
Если не ошибаюсь, то именно это делает флаг -а (ну я еще не заботанил эту тему). Даа, не сработала моя теория, наверное действительно придётся -а пробовать :(
Vitalson
25-06-2008, 18:32
Vitalson, ай-пи компов в домашней сети должны быть прописаны (зафиксированы) в настройках DHCP сервера на роутере и должны учитываться при создании туннелей в Putty.
Я, конечно, прошу прощения, но Вы уверены, что вам нужен Radmin?
Других вариантов просто не пробовал. Может есть лучше альтернатива? Обязательно с русским интерфейсом! Подскажите.
WL700ge. Kfurge 1078
Отключил встроенный фаервол. Не помогло.
После перепрошивки заметил проблемы.
1. Вообще не получается залогиниться по SSH из WAN
nvram get kc_ssh_wan_access
Уes
[root@WL700gE /]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:6882
ACCEPT tcp -- anywhere 192.168.1.1 tcp dpt:tproxy
ACCEPT tcp -- anywhere 77.88.21.11 tcp dpt:ftp
ACCEPT icmp -- anywhere 77.88.21.11
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:1027
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:63731
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere limit: avg 1/sec burst 5 icmp echo-request
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:4093
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:4434
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:4533
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:5459
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:4530
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:1028
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:63731
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:3389
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:12596
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:20414
ACCEPT udp -- anywhere anywhere udp dpt:6112
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `<4>ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `<4>DROP'
DROP all -- anywhere anywhere
[root@WL700gE /]$
2. Что ping что wget очень долго резольвят имена. На компе в локалке - все нормально.
Что делать?
lokypilot
11-08-2008, 20:14
Про удаленный доступ по SSH была тема: Remote ssh access (http://wl500g.info/showthread.php?t=11436)
Вроде все нормально написано, завтра с работы проверю как работает ;)
Merlin68
02-04-2009, 11:23
Коллеги !
Удолось победить данную проблему ?
Ато я тоже достучаться не могу. Трэйс заканчивается на интерфейсе провайдера, который перед роутером.
Есть подозрение, что нужно донастроить роутер. Подскажите, плиз, как ?
И от меня вопросик :) Нужен доступ к домашнему роутеру по SSH, удаленный рабочий стол не нужен. Что есть: дома - модем D-Link 2500u, ASUS WL-500GPv2, динамический IP, на DynDns зарегился, связь с рабочим компом по OpenVPN, т.е. как бы получается, что мой домашний в рабочей локалке, но нифига даже не пингуется, ни д-линк, ни асус, прошу подсказать, может проброс где-то сделать?:)
cherneen
15-06-2010, 09:15
Подскажите, сделал проброс портов на роутере через веб морду для веб сервера из вне. И всё ок.
А сейчас хочу сделать проброс для RDP для работы с удаленным рабочим столом. прописал порт 3386 туда - сюда, указал все протоколы, а он не соединяется. При этом внутри коннект проходит без вопросов.
Где можно посмотреть какие порты куда пробрасываются кроме как на веб морде?
theMIROn
15-06-2010, 17:40
А сейчас хочу сделать проброс для RDP для работы с удаленным рабочим столом. прописал порт 3386 туда - сюда, указал все протоколы, а он не соединяется.
RDP port: TCP 3389
Здравствуйте поставил себе на роутер программы по этой схеме http://www.wl500g.info/showthread.php?p=167420&langid=3#post167420
и теперь к роутеру можно не из локалки подключаться. Скажите помогите как можно закрыть доступ к нему?????????:(
Если стоят штатные настройки роутера то зайдите в веб интерфейс http://192.168.1.1:8080 и там есть понятие как доступ из WAN.
Здравствуйте поставил себе на роутер программы по этой схеме http://www.wl500g.info/showthread.php?p=167420&langid=3#post167420
и теперь к роутеру можно не из локалки подключаться. Скажите помогите как можно закрыть доступ к нему?????????:(
В Internet Firewall - Basic Config и Advanced Services Configuration у вас как раз эти настройки задаются- собственно отрубить все доступы из вне
user8098
21-12-2010, 08:53
Знатоки, привет Вам! Я облазил весь форум, но применительно к своему случаю найти подсказок не могу.
Мне нужно подключаться к устройству(это voip-gsm шлюз - оно управляется через веб интерфейс в браузере - называется goip) , которое подключено к одному из lan портов моего wl500gpv2? подключаться нужно удаленно из интернет.
При этом ай пи у меня динамический, но я установил dyndns и уже могу управлять настройками машрутизатора через интернет.
:confused:
Pablo Escobar
21-12-2010, 09:13
Знатоки, привет Вам! Я облазил весь форум, но применительно к своему случаю найти подсказок не могу.
Мне нужно подключаться к устройству(это voip-gsm шлюз - оно управляется через веб интерфейс в браузере - называется goip) , которое подключено к одному из lan портов моего wl500gpv2? подключаться нужно удаленно из интернет.
При этом ай пи у меня динамический, но я установил dyndns и уже могу управлять настройками машрутизатора через интернет.
:confused:
пробросить порт извне на устройство
Как ограничить доступ к порту 8080 на ВАН интерфейсе? Оставив доступ для определенных ИП.
Не много уточню: как через веб интерфейс добавить правило в virtual srver с параметром source в котором перечислены пара тройка белых ип?
А по моему вопросу есть варианты?
не знаю уж куда писать, проблема вот с чем.
в Advanced Services Configuration, Enable SSH access: Yes и Yes, LAN only по ходу дела выполняют одно и то же. после установки YES я немону пробиться к роутеру извне. сначала корячился, потом увидел, что в Port Forwarding не прописан 22-й порт, соответственно ничего и не произошло. это ошибка интерфейса, или так задумано? из LAN заходит совершенно спокойно. из WAN не могу достучатсься, даже если отключаю Firewall, post-firewall пустой. IPtables пытался баломутить (поиском "wl500 ssh доступ извне" перечитал все что можно на сайте), сейчас убрал все изменения, все по дефолту.
между тем подобная настройка "Enable Web Access from WAN?" пробрасывает порт вполне успешно. Но я до него не могу достучаться извне. "Respond Ping Request from WAN?" тоже не дает пингануться извне.
Если 2 последние я могу еще как-то списать на провайдера, хотя и то врятли, то с SSH порт не пробрасывается точно.
Если кто может посмотреть и что-то сказать - скажите, пожалуйста. В поиск не посылать, уже писал что на "wl500 ssh доступ извне" перечитал все что можно на сайте и попробовал. не проходит никак. dropbear у меня на стандартном 22-м порте висит
FilimoniC
24-01-2011, 07:51
Неправда. Изюмительно работает. Проверяйте ip провайдера на "белость", а провайдера - на наличие firewall'а и NAT'а.
В WEB-интерфейсе ничего и не будет, всё верно.
По той же причине.
Кто провайдер? Какие порты используете?
Кто провайдер? Какие порты используете?
провайдер - HomeNetTelecom (http://hnt.ru)
на веб интерфейс 80 (если из домашней сети 192.168.1.ххх), работает отлично, 8080(WAN), не могу достучаться.
SSH , как и стоял порт 22. не менял его, опять же изнутри все работает, извне не могу достучаться.
ну если говорите что у остальных все пашет и так и должно быть (не показывать прокинутый порт 22), ну тогда значит косяк провайдера.
aeron_7_62
04-02-2011, 12:55
Добрый день всем. Имеется Asus wl500gpv2 прошивка последняя от энтузиастов(1.9.2.7-d-r2381), поднят ftp, настроил dyndns. Но есть вот такая проблема, из внешки пинг до my_host.dyndns.org есть, на ftp://my_host.dyndns.org пускает, но не получается зайти в web интерфейс роутера по адресу my_host.dyndns.org,хотя он пингуется, и так же не получается зайти в web интерфейс rtorrent по адресу my_host.dyndns.org:8081/rtorrent/. По telnet и по ssh, тоже не заходит на роутер. Сначало думал что у нас на фирме порты закрыты (инет через прокси идет), но попробовал через 3g модем мегафона достучаться таже самая проблема, заходит только на FTP и все. Можете подсказать в чем может быть проблема? Порт web морды роутера стандартный,его не менял.
Даже и незнаю в какую сторону капать. Погуглил покурил форум, но похожего не нашел, если у кого то есть проблемы, то у них роутер даже из внешки не пингуется, но у меня то пингуется. вообщем помогите разобраться.Буду очень признателен.
Так с web мордой разобрался,забыл указать порт 8080 при подключении, но к rtorrent так и не подключиться:(
FilimoniC
07-02-2011, 07:05
Так с web мордой разобрался,забыл указать порт 8080 при подключении, но к rtorrent так и не подключиться:(
По-умолчанию, все что на роутере закрыто на вход снаружи.
Для FTP и Web-интерфейса есть настройки-галочки в самом веб-интерфейсе. Для всего остального надо правила вручную прописывать.
aeron_7_62
07-02-2011, 09:12
По-умолчанию, все что на роутере закрыто на вход снаружи.
Для FTP и Web-интерфейса есть настройки-галочки в самом веб-интерфейсе. Для всего остального надо правила вручную прописывать.
А подскажите где и как можно включить,чтобы rtorrent снаружи работал,а то в линухе полный ноль:)
skaritom
07-02-2011, 12:02
Добрый день всем. Имеется Asus wl500gpv2 прошивка последняя от энтузиастов(1.9.2.7-d-r2381), поднят ftp, настроил dyndns. Но есть вот такая проблема, из внешки пинг до my_host.dyndns.org есть, на ftp://my_host.dyndns.org пускает, но не получается зайти в web интерфейс роутера по адресу my_host.dyndns.org,хотя он пингуется, и так же не получается зайти в web интерфейс rtorrent по адресу my_host.dyndns.org:8081/rtorrent/. По telnet и по ssh, тоже не заходит на роутер. Сначало думал что у нас на фирме порты закрыты (инет через прокси идет), но попробовал через 3g модем мегафона достучаться таже самая проблема, заходит только на FTP и все. Можете подсказать в чем может быть проблема? Порт web морды роутера стандартный,его не менял.
Даже и незнаю в какую сторону капать. Погуглил покурил форум, но похожего не нашел, если у кого то есть проблемы, то у них роутер даже из внешки не пингуется, но у меня то пингуется. вообщем помогите разобраться.Буду очень признателен.
Добрый день, та же проблема, что делать?
FilimoniC
07-02-2011, 12:11
Добрый день, та же проблема, что делать?
Вас интересует фаерволл IPTABLES
http://www.macsat.com/oldguides/pdf/Oleg_THTTPD.pdf
Там показано как установить и открыть наружу WEB-сервер. Вам по сути тоже самое надо.
skaritom
07-02-2011, 12:31
Вас интересует фаерволл IPTABLES
http://www.macsat.com/oldguides/pdf/Oleg_THTTPD.pdf
Там показано как установить и открыть наружу WEB-сервер. Вам по сути тоже самое надо.
К сожалению не помогает.
aeron_7_62
07-02-2011, 12:42
FTP работает, web морда роутера тоже работает, rtorrent работает если отключить фаервол вообще, но это не выход..будем дальше копать)
skaritom
07-02-2011, 13:38
Наоткрывал портов, стала работать веб-морда, ни торрент, ни всё остальное не пашет даже при отключённом файерволе.
FilimoniC
07-02-2011, 14:30
FTP работает, web морда роутера тоже работает, rtorrent работает если отключить фаервол вообще, но это не выход..будем дальше копать)Ну так копайте в сторону фаерволла..
Наоткрывал портов, стала работать веб-морда, ни торрент, ни всё остальное не пашет даже при отключённом файерволе."Все остальное"?
FTP работает, web морда роутера тоже работает, rtorrent работает если отключить фаервол вообще, но это не выход..будем дальше копать) http://wl500g.info/showthread.php?t=12209 пункт 6
skaritom
07-02-2011, 14:42
"Все остальное"?
Помимо торрента ещё запущен сайт с форумом и фотоальбом.
aeron_7_62
09-02-2011, 12:36
http://wl500g.info/showthread.php?t=12209 пункт 6
Спасибо большое, много раз читал эту тему про установку трансмишен,так как его думал вначале поставить, но этот пункт что то уходил от моих глаз:) Теперь буду разбираться как пароль на web интерфейс рторента ставить.
Я для себя проблему решил так:
наружу открыты только SSH и FTP на стандартных портах, по ним стоит ограничение на 5 неудачных попыток с таймаутом 10 минут.
С любого компа снаружи ssh, ftp напрямую, остальные все порты перенаправляю через туннель в putty типа:
порт 80 - > my.router.dynamic.ip:80
порт 8081 - > my.router.dynamic.ip:8081
порт 9000 - > my.router.dynamic.ip:9000
... и т.д. для всех нужных портов.
Чтобы подключиться к rutorrentу дома, нужно войти ssh-ем (ввести пароль), потом в браузере открывать localhost:8081 (или др.) и вуаля!
А наружу даже под паролем страницы открывать - брутфорсеров соблазнять имхо :-)
Megagloom
10-02-2011, 12:19
Как открыть конкретные порты при включенном фаерволе (на свой страх и риск):
в файле post-firewall в самом начале пишем
#!/bin/sh
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 23 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
и т.д., где 21, 23, 8080 - порты, которые хотим открыть
если нужен доступ только с определенного адреса, то в конце каждой строки команды iptables дописываем -s IP
Не забываем сохранить и ребутимся
flashfs save && flashfs commit && flashfs enable && reboot
DmitryZz
02-03-2011, 13:01
Простите чайника, но реально не понимаю:(
Имею 500 gpV2 с прошивкой от энтузиастов 1.9.2.7-d-r1087.
Нужен мне удаленный доступ снаружи по SSH.
регистрируюсь в dyndns - роутер извне пингуется нормально.
включаю в нем SSH на порту 443.
иду на nettols.ru, проверяю - говорит, что извне порт 443 закрыт.
включаю на роутере доступ к web морде по 8080.
пытаюсь извне в гуглхроме залезть на http:// мойдинднс:8080 - нет ответа от сервера.
что и где подкрутить чайнику?
спасибо.
terrabyte
02-03-2011, 16:43
Простите чайника, но реально не понимаю:(
Имею 500 gpV2 с прошивкой от энтузиастов 1.9.2.7-d-r1087.
Нужен мне удаленный доступ снаружи по SSH.
регистрируюсь в dyndns - роутер извне пингуется нормально.
включаю в нем SSH на порту 443.
иду на nettols.ru, проверяю - говорит, что извне порт 443 закрыт.
включаю на роутере доступ к web морде по 8080.
пытаюсь извне в гуглхроме залезть на http:// мойдинднс:8080 - нет ответа от сервера.
что и где подкрутить чайнику?
спасибо.
для начала посмотреть post-firewall
DmitryZz
02-03-2011, 19:59
для начала посмотреть post-firewall
как его посмотреть?
через web-interface он включен.
в телнете в какой папке его искать и как вывести содержимое на экран?
как его посмотреть?
через web-interface он включен.
в телнете в какой папке его искать и как вывести содержимое на экран?
А где он включен в web-interface???
посмотреть можно так:
cat /usr/local/sbin/post-firewall
может для начало почитать здесь??? http://wl500g.info/showthread.php?t=2391
DmitryZz
02-03-2011, 20:56
А где он включен в web-interface???
посмотреть можно так:
cat /usr/local/sbin/post-firewall
вы уж простите чайника, не было цели у меня изучить линукс в прошивке роутера:(
думал все само успешно заработает, как и должно быть. не заработало.
в фак смотрел - увидел в основном ремонты блоков питания.
про web-interface - возможно неверно выразился. включен пункт Internet Firewall - Basic Config - Enable Firewall. Без него веб-интерфейс вообще недоступен.
Команда вот что дает:
WL-002215619C7E login: admin
Password:
[admin@WL-002215619C7E root]$ cat /usr/local/sbin/post-firewall
cat: can't open '/usr/local/sbin/post-firewall': No such file or directory
[admin@WL-002215619C7E root]$
вы уж простите чайника, не было цели у меня изучить линукс в прошивке роутера:(
думал все само успешно заработает, как и должно быть. не заработало.
в фак смотрел - увидел в основном ремонты блоков питания.
про web-interface - возможно неверно выразился. включен пункт Internet Firewall - Basic Config - Enable Firewall. Без него веб-интерфейс вообще недоступен.
Команда вот что дает:
WL-002215619C7E login: admin
Password:
[admin@WL-002215619C7E root]$ cat /usr/local/sbin/post-firewall
cat: can't open '/usr/local/sbin/post-firewall': No such file or directory
[admin@WL-002215619C7E root]$
Ну что можно сказать ... Файла post-firewall у Вас нет ....
Пункт Internet Firewall - Basic Config - Enable Firewall всего лишь включает базовый функционал прошивки по защите сети за роутером от хаоса интернета...
Раз нет желания разобраться самому попробуем поискать причину ...
вывод команды
iptables-save
и для кучи
nvram show | grep ssh
DmitryZz
03-03-2011, 04:26
iptables-save
и для кучи
nvram show | grep ssh
[admin@WL-002215619C7E root]$ iptables-save
# Generated by iptables-save v1.3.8 on Thu Mar 3 07:22:32 2011
*nat
:PREROUTING ACCEPT [579571:31132751]
:POSTROUTING ACCEPT [90999:6202992]
:OUTPUT ACCEPT [1163:219666]
:VSERVER - [0:0]
-A PREROUTING -d 109.94.22.112 -j VSERVER
-A PREROUTING -d 10.114.17.122 -j VSERVER
-A PREROUTING -d 109.94.22.112 -p udp -m udp --sport 6112 -j NETMAP --to 192.168
.1.0/24
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 6112 -j NETMAP
--to 109.94.22.112/32
-A POSTROUTING -s ! 109.94.22.112 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.114.17.122 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0
-j SNAT --to-source 192.168.1.1
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:80
-A VSERVER -p tcp -m tcp --dport 31677 -j DNAT --to-destination 192.168.1.99:316
77
-A VSERVER -p udp -m udp --dport 56059 -j DNAT --to-destination 192.168.1.2:5605
9
-A VSERVER -p udp -m udp --dport 63495 -j DNAT --to-destination 192.168.1.86:634
95
-A VSERVER -p udp -m udp --dport 60342 -j DNAT --to-destination 192.168.1.2:6034
2
-A VSERVER -p tcp -m tcp --dport 31679 -j DNAT --to-destination 192.168.2.2:3167
7
-A VSERVER -p udp -m udp --dport 31679 -j DNAT --to-destination 192.168.2.2:3167
7
-A VSERVER -p udp -m udp --dport 31678 -j DNAT --to-destination 192.168.2.2:3167
7
-A VSERVER -p udp -m udp --dport 49982 -j DNAT --to-destination 192.168.1.2:4998
2
-A VSERVER -p tcp -m tcp --dport 22719 -j DNAT --to-destination 192.168.1.2:2271
9
-A VSERVER -p tcp -m tcp --dport 56492 -j DNAT --to-destination 192.168.1.2:5649
2
-A VSERVER -p tcp -m tcp --dport 31677 -j DNAT --to-destination 192.168.1.2:3167
7
-A VSERVER -p udp -m udp --dport 31677 -j DNAT --to-destination 192.168.1.2:3167
7
-A VSERVER -p tcp -m tcp --dport 2000 -j DNAT --to-destination 192.168.1.2:2000
-A VSERVER -p udp -m udp --dport 2000 -j DNAT --to-destination 192.168.1.2:2000
-A VSERVER -p tcp -m tcp --dport 31678 -j DNAT --to-destination 192.168.1.2:3167
7
-A VSERVER -p udp -m udp --dport 31680 -j DNAT --to-destination 192.168.1.2:3167
7
COMMIT
# Completed on Thu Mar 3 07:22:32 2011
# Generated by iptables-save v1.3.8 on Thu Mar 3 07:22:32 2011
*mangle
:PREROUTING ACCEPT [695720089:318634864160]
:INPUT ACCEPT [4133482:251881053]
:FORWARD ACCEPT [691516055:318373838508]
:OUTPUT ACCEPT [358716:46975719]
:POSTROUTING ACCEPT [689622167:318318880178]
COMMIT
# Completed on Thu Mar 3 07:22:32 2011
# Generated by iptables-save v1.3.8 on Thu Mar 3 07:22:32 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [575204:30923920]
:OUTPUT ACCEPT [36033:4027351]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -i vlan1 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -d 192.168.1.2 -p udp -m udp --dport 31677 -j ACCEPT
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 31677 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-t
o-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j
DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec
-j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec
-j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen
ce --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence -
-log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Mar 3 07:22:32 2011
[admin@WL-002215619C7E root]$
nvram show | grep ssh
[admin@WL-002215619C7E root]$ nvram show | grep ssh
recent_ssh_enable=1
ssh_port=443
ssh_enable=1
size: 16992 bytes (15776 left)
[admin@WL-002215619C7E root]$
Да вроде нормально все... Попробуй порт ssh сменить на что-нить 5544 может пров стандартные порты рубит...
DmitryZz
03-03-2011, 19:32
Да вроде нормально все... Попробуй порт ssh сменить на что-нить 5544 может пров стандартные порты рубит...
ok, попробую. но почему и по 8080 web морда не доступна?
ok, попробую. но почему и по 8080 web морда не доступна?
Ну провы часто режут "стандартные" порты, ИМХО к ним относятся и порты 8080, 3128 что часто используются для прокси....
Здрасьте. Так как я линуксовый чайник - поэтому поставил себе скрипт "для чайников" с этого форума http://wl500g.info/showthread.php?t=21889&page=401.
В итоге все работает - DLNA на нем поднят, фтп, торренты работают итд. все отлично. Вопрос у меня в следующем - в сетке роутера есть сервер WIN2003 - с айпи 192.168.1.90 - в вебморде роутера в настройках Virtual server прописан порт - 3389 192.168.1.90 3389 BOTH SERVER - вот как то так - внутри сети захожу на него без проблем - и по 192.168.1.90 и по 192.168.1.1:3389 - без разницы - работает и так и так - а вот из интернета никак. в файле usr/local/post-firewall прописаны порты для доступа к вебморде трансмишена (туда захожу без проблем из интернета с любого места). По аналогии добавил туда порт 3389 - поставил 2 строчки и TCP и UDP - смысла того что сделал не понял если честно. В итоге не работает к сожалению - тыкните чего не так делаю пожалуйста (может порт нельзя этот использовать или еще что).
В итоге все работает - DLNA на нем поднят, фтп, торренты работают итд. все отлично. Вопрос у меня в следующем - в сетке роутера есть сервер WIN2003 - с айпи 192.168.1.90 - в вебморде роутера в настройках Virtual server прописан порт - 3389 192.168.1.90 3389 BOTH SERVER - вот как то так - внутри сети захожу на него без проблем - и по 192.168.1.90 и по 192.168.1.1:3389 - без разницы - работает и так и так - а вот из интернета никак.
Что значит захожу??? Чем, для чего??? Экстрасенсы в отпуске ... Судя по порту это RDP, а там сильно влияют "политики домена и т.д.". Гораздо удобнее поднять на WIN2003 vpn-доступ и потом уже из локалки поднимать RDP...
Что значит захожу??? Чем, для чего???
извиняюсь может выразился неправильно. RDP уже поднят - захожу терминальным доступом на сервер из локальной сети роутера. Сервер работать будет не все время - так что удобнее именно так.
Снаружи - из интернета не получается (еще мне подсказали что IP у меня серый). Правильно решение вопроса в регистрации на dyndns.org?
Снаружи - из интернета не получается (еще мне подсказали что IP у меня серый). Правильно решение вопроса в регистрации на dyndns.org?
dyndns'у нужны только белые адреса. Если адрес серый, то есть NAT , на котором могут и порты резать и пустить все через прозрачную проксю. В последнем случае как раз на веб морду попадешь, а на RDP нет. Надо начинать с попытки попасть на роутер из этой серой сети по SSH.
извиняюсь может выразился неправильно. RDP уже поднят - захожу терминальным доступом на сервер из локальной сети роутера. Сервер работать будет не все время - так что удобнее именно так.
Снаружи - из интернета не получается (еще мне подсказали что IP у меня серый). Правильно решение вопроса в регистрации на dyndns.org?
Если есть возможность зайти из вне на роутер хоть по какому нибудь порту/протоколу по белому ЙП-адресу, то дальнейшее обсуждение проблемы имеет смысл .... Если нет, то как вариант поднятие роутером сессии VPN на сторонний сервак в инете куда у вас тоже есть доступ ...
Рутер работает нормально, но пинговаться извне не хочет, так что не могу поднять FTP и HTTP сервера на своем компе. Причем пинг не прохохит ни при отключенном на роутере файерволе, так и при включенном, с настройкой "Respond Ping Request from WAN":
http://i002.radikal.ru/1104/a6/241ceaa52bd3t.jpg (http://radikal.ru/F/i002.radikal.ru/1104/a6/241ceaa52bd3.jpg.html)
Причем trace снаружи выдает вот такое:
1 192.168.9.1
2 212.1.254.ххх msk-b12-s49.ti.ru
3 212.1.240.109
4 212.1.253.45
5 89.20.133.94
6 62.117.100.122
7 87.245.172.234
8 195.94.230.26 gorcom2.GW.west-call.com
9 81.200.12.218
10 5 0 95.143.ххх.ххх
11 Timed out
12 Timed out
13 Timed out
................
То есть, как понимаю, до рутера добирается, но пробиться не может? Или как?
Стояла прошивка 1.9.2.7-rtn-r2291 от энтузиастов, перепрошил на 1.9.2.7-d-r2901 - результат тот же (((
Если что, искал подобную темку, но не обнаружил...
Рутер работает нормально, но пинговаться извне не хочет.
Покажите вывод
ifconfig
Покажите вывод
ifconfig
Собссна вот:
br0 Link encap:Ethernet HWaddr 00:22:15:04:08:31
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:130927 errors:0 dropped:0 overruns:0 frame:0
TX packets:182590 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:9569635 (9.1 MiB) TX bytes:180217310 (171.8 MiB)
eth0 Link encap:Ethernet HWaddr 00:22:15:04:08:31
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:355046 errors:0 dropped:0 overruns:0 frame:0
TX packets:311787 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:253224607 (241.4 MiB) TX bytes:192159330 (183.2 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:22:15:04:08:31
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:158 errors:0 dropped:0 overruns:0 frame:12890
TX packets:1028 errors:497 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25293 (24.7 KiB) TX bytes:308658 (301.4 KiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:22:15:04:08:31
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:130765 errors:0 dropped:0 overruns:0 frame:0
TX packets:182510 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10069180 (9.6 MiB) TX bytes:180928987 (172.5 MiB)
vlan1 Link encap:Ethernet HWaddr 00:23:54:B1:75:6F
inet addr:95.143.xxx.yyy Bcast:95.143.215.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:224281 errors:0 dropped:0 overruns:0 frame:0
TX packets:129277 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:236764599 (225.7 MiB) TX bytes:11230343 (10.7 MiB)
Да, хочу добавить, что к Веб-морде самого рутера снаружи по "мой_IP:8080" доступ есть:
http://i064.radikal.ru/1104/2c/5744477b6832t.jpg (http://radikal.ru/F/i064.radikal.ru/1104/2c/5744477b6832.jpg.html)
FilimoniC
19-04-2011, 10:31
Собссна вот:
Да, хочу добавить, что к Веб-морде самого рутера снаружи по "мой_IP:8080" доступ есть:
Без роутера пингуется? Может, провайдер режет ICMP ? Или у вас проброс ICMP кривой есть где.
Уважаемые эксперты!
Помогите настроить доступ к веб-интерфейсу ip-камеры в локальной беспроводной сети из и-нета.
Конфигурация следующая:
3G-модем Мегафон Huawei E1550, cо статическим внешним айпишником,
подключен к роутеру D-link DIR-320 с прошивкой WL500gpv2-1.9.2.7-d-r2624.
Соединение с интернетом есть.
Никак не получается настроить доступ к веб-интерфейсу ip-камеры по обращению к внешнему айпишнику...
AndreyUA
14-07-2011, 11:51
Уважаемые эксперты!
Помогите настроить доступ к веб-интерфейсу ip-камеры в локальной беспроводной сети из и-нета.
Конфигурация следующая:
3G-модем Мегафон Huawei E1550, cо статическим внешним айпишником,
подключен к роутеру D-link DIR-320 с прошивкой WL500gpv2-1.9.2.7-d-r2624.
Соединение с интернетом есть.
Никак не получается настроить доступ к веб-интерфейсу ip-камеры по обращению к внешнему айпишнику...Пробросьте порт в настройках роутера.
Пробросьте порт в настройках роутера.
Пробросить порт пытался. Но наверное не там...:confused:
NAT Setting - Virtual Server - Восьмидесятый порт TCP на локалный IP камеры. Наверное что-то не то?
Уважаемые эксперты!
Помогите настроить доступ к веб-интерфейсу ip-камеры в локальной беспроводной сети из и-нета.
Никак не получается настроить доступ к веб-интерфейсу ip-камеры по обращению к внешнему айпишнику...
А я порекомендую приложить логи и последовательность действий.
И не дублировать сообщение в разных темах - за это возможен бан.
Все телепаты в бессрочном отпуске, как обычно.
А я порекомендую приложить логи и последовательность действий.
И не дублировать сообщение в разных темах - за это возможен бан.
Все телепаты в бессрочном отпуске, как обычно.
Извините пожалуйста ламера! :o
Мне показалось мой вопрос в какую-то мёртвую ветку переместили. Два дня лазаю по форуму - толком ничего не вычитал. Наверное не там лазил... Подобные вещи делал на ADSL-интернете на роутерах ZyXel. А тут просто "застрял". Какая информация нужна? Как её для Вас извлечь?
А я порекомендую приложить логи и последовательность действий.
И не дублировать сообщение в разных темах - за это возможен бан.
Все телепаты в бессрочном отпуске, как обычно.
На роутере D-link DIR-320 построена локальная беспроводная сеть, в которой есть ip-камера. Выход в интернет - через USB-модем E1550 Мегафон, на который навешан фиксированный внешний IP. Необходимо по обращению к этому айпишнику попасть на веб-интерфейс камеры. Естественно попробовал пробросить HTTP-порт. Но что-то лыжи не едут...
Извините пожалуйста ламера! :o
Мне показалось мой вопрос в какую-то мёртвую ветку переместили. Два дня лазаю по форуму - толком ничего не вычитал. Наверное не там лазил... Подобные вещи делал на ADSL-интернете на роутерах ZyXel. А тут просто "застрял". Какая информация нужна? Как её для Вас извлечь?
В веб морде: Status and Log -> System Log - скопировать содержимое сюда.
И там-же: Status and Log -> Diagnostic info - аналогично, сюда приложить.
Вероятно провайдер блокирует стандартные порты (80, 25, etc), либо роутер роутит 80 порт через модем в себя.
Попробуйте указать другой, например 8888.
В веб морде: Status and Log -> System Log - скопировать содержимое сюда.
И там-же: Status and Log -> Diagnostic info - аналогично, сюда приложить.
Вероятно провайдер блокирует стандартные порты (80, 25, etc), либо роутер роутит 80 порт через модем в себя.
Попробуйте указать другой, например 8888.
Почему-то обращение к портам в адресной строке обрезается...
AndreyUA
14-07-2011, 13:12
Почему-то обращение к портам в адресной строке обрезается...Как вариант: Перенесите веб морду роутера на другой порт и попробуйте. Или пробросьте порт белый_айпи_роутера:8888 на айпи_камеры:80 Если есть возможность перенести морду камеры на другой порт - перенесите и пробросьте туда.
Как вариант: Перенесите веб морду роутера на другой порт и попробуйте. Или пробросьте порт белый_айпи_роутера:8888 на айпи_камеры:80 Если есть возможность перенести морду камеры на другой порт - перенесите и пробросьте туда.
Как пробросить порт белый_айпи_роутера:8888 на айпи_камеры:80 ? Я не уверен что я так как надо делаю...
Морда камеры на другой порт не переносится...
Я прописал следующее:
mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
chmod +x /usr/local/sbin/post-boot
echo "dropbear" >> /usr/local/sbin/post-boot
echo "#!/bin/sh" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -p tcp --syn --dport 22 -j ACCEPT" >> /usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post-firewall
flashfs save && flashfs commit && flashfs enable
reboot
AndreyUA
15-07-2011, 18:49
Я прописал следующее:
А разве dropbear не встроен в прошивку?
Привет. У меня дома установлен игровой сервер CS, сеть организована с помощью ASUS Wl500gP v2, входящие пакеты (BOTH) на порт 27017 с внешки перенаправляются на сервер (192.168.1.5:27017) через Virtual Server.
Люди играют, на сервер заходит с внешки, но тесты 27017 (на том же 2ip) показывают, что порт закрыт.
Можно ли как-то сделать, чтобы весь трафик отправлялся на 192.168.1.5 ?
И еще, как открыть порт на роутере, чтобы тест показывал, что порт открыт ?
Дело в том, что один платный скрипт для сервера при запуске пингует указаный при покупке IP, так как порт оказывается закрытым, скрипт завершается.
Вероятно провайдер блокирует стандартные порты...
Оказывается это действительно козни провайдера! Какие конкретно - не знаю. В службе поддержки сказали: чтобы был доступ снаружи - должен быть трафик! :) Ответил, что меня не волнуют ваши изобретения, дали айпишник - давайте нормальный доступ! Оформляйте заявку!
После этого всё заработало так, как завещали нам гуру этого форума! :) Спасибо Вам за отзывчивость!
Подскажите пожалуйста теперь: где искать науку о том, как сделать так, чтобы модемное соединение не обрывалось, а если оборвётся - то само подымалось бы?
Заранее благодарю!
(Прим. - Мегафон-Уральский ДжиЭсЭм)
AndreyUA
18-07-2011, 07:41
Оказывается это действительно козни провайдера! Какие конкретно - не знаю. В службе поддержки сказали: чтобы был доступ снаружи - должен быть трафик! :) Ответил, что меня не волнуют ваши изобретения, дали айпишник - давайте нормальный доступ! Оформляйте заявку!
После этого всё заработало так, как завещали нам гуру этого форума! :) Спасибо Вам за отзывчивость!
Подскажите пожалуйста теперь: где искать науку о том, как сделать так, чтобы модемное соединение не обрывалось, а если оборвётся - то само подымалось бы?
Заранее благодарю!
(Прим. - Мегафон-Уральский ДжиЭсЭм)
Прочитайте эту тему http://wl500g.info/showthread.php?t=22275
Привет. У меня дома установлен игровой сервер CS, сеть организована с помощью ASUS Wl500gP v2, входящие пакеты (BOTH) на порт 27017 с внешки перенаправляются на сервер (192.168.1.5:27017) через Virtual Server.
Люди играют, на сервер заходит с внешки, но тесты 27017 (на том же 2ip) показывают, что порт закрыт.
Можно ли как-то сделать, чтобы весь трафик отправлялся на 192.168.1.5 ?
И еще, как открыть порт на роутере, чтобы тест показывал, что порт открыт ?
Дело в том, что один платный скрипт для сервера при запуске пингует указаный при покупке IP, так как порт оказывается закрытым, скрипт завершается.
Если люди играют, на сервер заходят с внешки - значит, порт открыт.
Все претензии к авторам 2ip
Проверь другими сервисами. Возможно что только UDP форвардится
Уважаемые! Можно ли на данном роутере (альтернативная прошивка) пробросить порты на разные устройства, но на один порт? С одним устройством и разными портами всё просто, а вот наоборот незнаю. Есть несколько спутниковых ресиверов, управление которыми идёт по FTP. Если забить несколько адресов с одним портом, то роутер будет перебрасывать всегда на то устройство, которое стоит первым в таблице. Может кто сталкивался с такой проблемой?
Уважаемые! Можно ли на данном роутере (альтернативная прошивка) пробросить порты на разные устройства, но на один порт? С одним устройством и разными портами всё просто, а вот наоборот незнаю. Есть несколько спутниковых ресиверов, управление которыми идёт по FTP. Если забить несколько адресов с одним портом, то роутер будет перебрасывать всегда на то устройство, которое стоит первым в таблице. Может кто сталкивался с такой проблемой?
Это не проблема, именно так и должно все работать.
Вы пробовали на разные квартиры в доме вешать 1 и тот-же номер одновременно?
Открывайте снаружи разные порты.
Sergey-2005
09-02-2012, 18:03
Купил в подарок сестре ноут, настроил его, вместе с роутером WL-500gp (прошивка 1.9.2.7-10.7) и передал...за границу (в Латвию).
Его там подключили...Всё ОК. Подключился к веб-интерфейсу, работал Radmin. Меня попросили прописать ещё один ноут. (добавил MAC в список разрешённых). Перезагрузил и всё...
Теперь не зайти в веб. В редких случаях доходит до пароля, но до Веба не доходит.
К Radmin также редко проходят соединения.
Роутер пингуется.
Интернет у них работает.
На той стороне несколько раз перезагружали роутер. Меняли порт 8080 на 8182, отключали Firewall. Результата ноль.
Подскажите, пожалуйста в чём может быть причина.
PS. В Латвии интернет провайдер выдаёт статический IP по MAC адресу. В настройках роутера прописал "нужный MAC".
Купил в подарок сестре ноут, настроил его, вместе с роутером WL-500gp (прошивка 1.9.2.7-10.7) и передал...за границу (в Латвию).
Его там подключили...Всё ОК. Подключился к веб-интерфейсу, работал Radmin. Меня попросили прописать ещё один ноут. (добавил MAC в список разрешённых). Перезагрузил и всё...
Теперь не зайти в веб. В редких случаях доходит до пароля, но до Веба недоходит.
Роутер пингуется.
Интернет у них работает.
У меня также перестал подключаться radmin (хотя один раз каким-то чудом получилось).
На той стороне несколько раз перезагружали роутер. Меняли порт 8080 на 8182, отключали Firewall. Результата ноль.
Подскажите, пожалуйста в чём может быть причина.
PS. В Латвии интернет провайдер выдаёт статический IP по MAC адресу. В настройках роутера прописал "нужный MAC".
Есть доступ к роутеру по SSH или в вебморду???
Sergey-2005
09-02-2012, 19:11
Да доступ есть и к Web и SSH(но в этом я не силён пока).
Да доступ есть и к Web и SSH(но в этом я не силён пока).
Тогда лог и вывод
iptables-save
в студию ...
Sergey-2005
09-02-2012, 19:26
iptables-save
Объясните, это я должен по SSH подключиться? и куда это вставить?
Объясните, это я должен по SSH подключиться? и куда это вставить?
Это нужно вставить в командную строку в терминале (либо в SSH-сессии либо в вебморде в разделе "System command") ...
Sergey-2005
10-02-2012, 04:25
Утром без проблем захожу в Веб-интерфейс.
Днём и вечером на Веб уже не зайти.
Иногда может дойти до запроса пароля на Веб, но подключиться не удаётся.
Роутер пингуется, открытый порт сканируется.
Infernion
28-10-2013, 03:07
Всем привет!
Подскажите кто нибудь как открыть порт что бы он был виден с интернета? SSH на 22 видит, и пишет что открыт, но все мои чаяния открыть иной порт провалились.
MercuryV
28-10-2013, 09:50
как открыть порт что бы он был виден с интернета?
Примерно так (http://wl500g.info/showthread.php?15376-How-to-open-up-a-port&p=106151#post106151) - если речь идет именно об открытии порта на самом роутере.
Примерно так (http://wl500g.info/showthread.php?15376-How-to-open-up-a-port&p=106151#post106151) - если речь идет именно об открытии порта на самом роутере.
Это сложно для человека с 5 постами.
Давайте спросим у Infernion зачем ему на роутере, ещё один, открытый наружу порт?
FAQ на моём AC66 :
1.
"Переключаемый порт позволяет временно открыть порты для соединений из Интернета, когда сетевым устройствам требуются неограниченный доступ в Интернет. Имеется два способа для открытия входящих портов: переадресация портов и переключение портов. Переадресация портов открывает определенные порты на все время и устройства должны использовать статические IP адреса. Переключение портов открывает входящий порт, только когда сетевое устройство запрашивает доступ к переключаемому порту. В отличие от переадресации портов, переключение портов не требует статического IP адреса для сетевых устройств. Переключение портовпозволяет нескольким устройствам совместно использовать один открытый порт, а переадресация портов разрешает доступ к открытому порту только одному клиенту"
2.
"Переадресация портов позволяет удаленным компьютерам подключаться к конкретному компьютеру локальной сети (LAN). Для полноценной работы, некоторые P2P-приложения (например BitTorrent), может также потребовать настройки переадресации портов. Подробную информацию смотрите в руководстве приложения P2P.
Если нужно задать диапазон портов для переадресации портов для сетевых клиентов, введите имя службы, диапазон портов (например, 10200:10300), IP-адрес и оставьте поле локальный порт пустым.
Когда в Вашей сети отключен брандмауэр и Вы установили 80 порт для использования веб-сервером в локальной сети, этот веб-сервер будет конфликтовать с веб-интерфейсом RT-AC66U.
Если Вы назначили порты 20:21 для Вашего FTP сервера в локальной сети, этот FTP сервер будет конфликтовать с FTP сервером RT-AC66U."