AT-AR750S пробросс

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

AT-AR750S пробросс

Сообщение ultrix » 05 мар 2015, 10:19

Всем доброго времени суток.

Устроился недавно в контору и еще не полностью разобрался со всеми сетевыми нюансами.

Есть AT-AR750S через него идет интернет на внутреннюю сеть.

Зашел на него через веб интерфейс и никаких настроек толком там не заметил. Обратил внимание что включен фаервол и если его отключать, то падает интернет.

Нужно сделать перенаправление с интернета 212.49.124.ххх на комп внутренней сети с 10.0.0.34

Во вкладке rout добавляю перенаправление. Но оно не работает. Думаю из-за фаервола, но не могу понять что нужно туда добавить.

Подскажите в каких вкладках вебинтерфейса, что нужно изменить чтобы сделать требуемое перенаправление.
ultrix
 
Сообщения: 9
Зарегистрирован: 05 мар 2015, 10:07

Re: AT-AR750S пробросс

Сообщение Ginodman Mikhail » 05 мар 2015, 10:40

Ginodman Mikhail
Site Admin
 
Сообщения: 2519
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT-AR750S пробросс

Сообщение ultrix » 05 мар 2015, 10:46

Такие же мануалы только на русском существуют ?
ultrix
 
Сообщения: 9
Зарегистрирован: 05 мар 2015, 10:07

Re: AT-AR750S пробросс

Сообщение ultrix » 05 мар 2015, 11:04

Извиняюсь за свою не грамотность, но я так и не понял что мне нужно сделать. Английский у меня далек от совершенства, а технический уж и подавно. Пролистал мануалы, попытался вникнуть, но это очень сложно если из 10 слов ты узнаешь максимум 5.


У меня включен фаервол. Непонятно как он сконфигурирован. Почему падает интернет когда отключаю фаервол ? В настройках фаервола можно посмотреть "рисунок со стрелочками" на котором изображено, что изнутри сети всё разрешено, а внутрь красная стрелка (ничего не разрешено). Но где находиться это правило, чтобы его отредактировать, я не разобрался.

Уверен решение проблемы очень простое, но к сожалению у меня совершенно нету в этом опыта. Прошу откликнитесь и не тыкайте меня в иноязычные мануалы :(
ultrix
 
Сообщения: 9
Зарегистрирован: 05 мар 2015, 10:07

Re: AT-AR750S пробросс

Сообщение ultrix » 25 май 2015, 11:07

Подскажите, какой командой командной строки можно сделать перенаправление из внешней сети для подключения к компьютеру внутри по RDP протоколу ?
ultrix
 
Сообщения: 9
Зарегистрирован: 05 мар 2015, 10:07

Re: AT-AR750S пробросс

Сообщение Snorlax » 02 июл 2015, 23:44

например такой
add firewall poli="guilan" ru=20 ac=allo int=eth0 prot=tcp po=3389 ip=192.168.0.1 gblip=0.0.0.0 gblp=3389
Snorlax
 
Сообщения: 22
Зарегистрирован: 25 июл 2008, 08:33

Re: AT-AR750S пробросс

Сообщение dmitry_tarakanov » 26 дек 2015, 15:20

Еще вопрос.
А что, если у внутреннего сервера дефолтный гейтвей настроен не на маршрутизатор? Т.е. мне надо, чтобы пакет, который идет из интернета вида
source=200.200.200.200
dest=100.100.100.100 или dest=150.150.150.150
tcp port=85

превращался маршрутизатором в
source=192.168.100.254
dest=192.168.100.211
tcp port=80

Настройки маршрутизатора
eth0=100.100.100.100/28
eth1=150.150.150.150/28
VLAN1=192.168.100.254
firewall включен.

настройки сервера
eth0=192.168.100.211
mask=255.255.255.0
dg= пусто

В принципе менять 85 на 80 нужно, но не очень срочно, что-нибудь придумаю на время, есть свободный IP-шник в 100.100.100.0 .


http://alliedtelesis.com/media/fount/ho ... s_RevB.pdf - это я читал. Про Double NAT. Не осилил, как применить к моему случаю.

пробовал для примера на телнете добавить, кроме "guilan" вторую политику fw, в которой наоборот, eth0 - это private.
enable firewall policy="dmz" icmp_f=all
add firewall policy="dmz" int=eth0 type=private
add firewall policy="dmz" int=vlan1 type=public
add firewall poli="dmz" ru=1 ac=nat int=eth0 prot=tcp po=80 ip=195.211.80.238 gblip=192.168.100.254 natt=do gblr=192.168.100.125
set firewall poli="dmz" ru=1 rem=91.103.209.195

где
ip=195.211.80.238 - хост, с которого телнечусь на 80 порт
gblip=192.168.100.254 - IP-шник маршрутизатора во внутренней сети
gblr=192.168.100.125 - типа тестовый www сервер на 80 порту.
rem=91.103.209.195 - ip маршрутизатора на eth0


не стработало. На хост, с которого телнечусь приходит ответ, типа reset

Убрал второго провайдера- то же самое.

Весь конфиг:
Код: Выделить всё

# IP configuration
enable ip
enable ip remote
ena ip dnsrelay
add ip int=eth0 ip=91.103.209.195 mask=255.255.255.0
add ip int=eth1 ip=78.25.112.188 mask=255.255.255.0
add ip int=vlan1 ip=192.168.100.254
add ip loc=1 ip=192.168.48.1
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=91.103.209.193

# IPv6 configuration

# Domain Name System configuration
add ip dns prim=8.8.8.8
set ip dns cache si=1000


# Firewall configuration
enable firewall
create firewall policy="dmz"
create firewall policy="guilan"
set firewall policy="guilan" tcpt=5
set firewall policy="guilan" udpt=5
set firewall policy="guilan" othert=0
add firewall policy="guilan" udpport=5060 timeout=25
enable firewall policy="dmz" icmp_f=all
add firewall policy="dmz" int=eth0 type=private
add firewall policy="dmz" int=vlan1 type=public
add firewall poli="dmz" ru=1 ac=nat int=eth0 prot=tcp po=24 ip=195.211.80.238 gblip=192.168.100.254 natt=do gblr=192.168.100.80
set firewall poli="dmz" ru=1 rem=91.103.209.195
add firewall poli="dmz" ru=2 ac=nat int=eth0 prot=tcp po=80 ip=195.211.80.238 gblip=192.168.100.254 natt=do gblr=192.168.100.113
enable firewall policy="guilan" icmp_f=all
add firewall policy="guilan" int=vlan1 type=private
add firewall policy="guilan" int=eth0 type=public
add firewall policy="guilan" int=eth1 type=public
add firewall poli="guilan" nat=enhanced int=vlan1 gblin=eth0
add firewall poli="guilan" ru=1 ac=allo int=eth0 prot=tcp po=23 ip=192.168.100.254 gblip=91.103.209.195 gblp=23
add firewall poli="guilan" ru=221 ac=allo int=vlan1 prot=ALL
set firewall poli="guilan" attack=dosflood int=160 outt=320
set firewall poli="guilan" attack=hostscan int=128 outt=256
set firewall poli="guilan" attack=portscan int=256 outt=512 ti=1
add firewall poli="guilan" lim=1 srci=2000
set firewall sipalg mode=automatic

disable http server

У вас нет необходимых прав для просмотра вложений в этом сообщении.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AT-AR750S пробросс

Сообщение Bootmen » 27 дек 2015, 18:14

Вот рабочее правило для вас:
add firewall poli="main" ru=56 ac=nat int=eth0 prot=tcp po=21 ip=10.12.11.21 gblip=195.72.229.56 natt=do gblr=82.200.110.104 gblp=21
set firewall poli="main" ru=56 rem=10.12.0.14

ip=10.12.11.21 адрес сервера в локалке
gblip=195.72.229.56 адрес маршрутизатора в Инете
rem=10.12.0.14 адрес маршрутизатора в локалке
gblr=82.200.110.104 адрес аппарата в инете откуда идет подключение.

Имена полисов, IP, порты ставтье по своему вкусу. :)
Некоторые параметры натов (например rem = ) имеют разные значения в зависимости от вида ната.
Извините за корявость.
Чем толще наши морды, тем теснее наши ряды.
Bootmen
 
Сообщения: 55
Зарегистрирован: 12 авг 2008, 14:14

Re: AT-AR750S пробросс

Сообщение dmitry_tarakanov » 29 дек 2015, 00:10

1) А у вас политика "main", она как повернута? eth0 приватный или публичный?
Просто у меня заработала такая строка
add firewall poli="dmz" ru=1 ac=nat int=eth0 prot=tcp po=24 ip=195.211.80.238 gblip=192.168.100.254 natt=do gblr=192.168.100.80 rem=91.103.209.195
и если смотреть на эту строку в перевернутом виде, то все равно не сходится. Я отметил "V" то, что сошлось с учетом того, что политика перевернута:
Код: Выделить всё
add firewall poli="dmz1" ru=16 ac=nat int=eth0 prot=tcp po=80 ip=195.211.80.238 gblip=192.168.100.254 natt=do gblr=192.168.100.125 rem=91.103.209.195

add firewall poli="main" ru=56 ac=nat int=eth0 prot=tcp po=21 ip=10.12.11.21    gblip=195.72.229.56   natt=do gblr=82.200.110.104  rem=10.12.0.14


ip=10.12.11.21 адрес сервера в локалке
V gblip=195.72.229.56 адрес маршрутизатора в Инете
V rem=10.12.0.14 адрес маршрутизатора в локалке
gblr=82.200.110.104 адрес аппарата в инете откуда идет подключение.




2) Не смотря на то, что аппарат перепрошивал год назад по ссылке уважаемого модератора, после безуспешных попыток, таки попробовал применить старый вроде документ http://www.alliedtelesis.ru/media/datas ... e_v261.pdf
В нем написано, что
PCR: 31271 Module: FIREWALL Level: 2
Double NAT did not work with dual firewall policies. This issue has been
resolved

Выключил первую политику, которая суть обычный нат из локалки в интернет. Оставил политику, в которой наоборот eth0 с интернетом приватный интерфейс, а vlan1 с локалкой наоборот публичный. И о, чудо, все заработало. Сижу перевариваю, как теперь быть с остальными правилами....

И где быстренько в Балашихе достать usb2rs232 .... :)
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AT-AR750S пробросс

Сообщение Bootmen » 29 дек 2015, 05:39

####
Вот простой работающий конфиг (начало) и парочка правил еще к нему:
# VLAN general configuration
create vlan="local" vid=4
# VLAN port configuration
add vlan="4" port=1-5
# IP configuration
enable ip
ena ip dnsrelay
add ip int=eth0 ip=188.233.233.7 mask=255.255.255.240
set ip int=eth0 dir=no mul=no pro=off
add ip int=vlan4 ip=10.12.0.14
set ip int=vlan4 pro=off
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=188.233.233.1
add ip rou=10.12.0.0 mask=255.255.0.0 int=vlan4 next=10.12.0.254
###
#### ДНС пропишем для локалки
add ip dns prim=8.8.8.8 seco=188.168.64.254

# Firewall configuration
enable firewall
create firewall policy="main"
enable firewall policy="main" icmp_f=ping
#####
#Добавить листы с разрешенными IP для прохода внутрь на email и HTTP и
add firewall policy="main" list="ufax" type=IP file=ufax.txt
add firewall policy="main" list="umail" type=IP file=umail.txt
############
# делаем политику с 2-мя интерфейсами
add firewall policy="main" int=vlan4 type=private
add firewall policy="main" int=eth0 type=public
#########
########## Далее пошли правила пробросов #
##для серверов для которых данный роутер является шлюзом по умолчанию##########
#>Проброс на вн утрении сервера
add firewall poli="main" ru=120 ac=nat int=eth0 prot=tcp po=25 ip=10.12.0.31 gblip=188.233.233.7 natt=na gblp=25
add firewall poli="main" ru=120 lis="umail"
add firewall poli="main" ru=121 ac=nat int=eth0 prot=tcp po=110 ip=10.12.0.31 gblip=188.233.233.7 natt=na gblp=110
add firewall poli="main" ru=121 lis="umail"
add firewall poli="main" ru=122 ac=nat int=eth0 prot=tcp po=80 ip=10.12.0.210 gblip=188.233.233.7 natt=na gblp=80
add firewall poli="main" ru=122 lis="ufax"
#####
#### Проброс внутрь на сервер для которого этот роутер не является шлюзом по умолчанию или
##### находится в др сегменте локальный сети. Все входящие с Инета для него будут светится
##### под IP роутера (10.12.0.14)
add firewall poli="main" ru=56 ac=nat int=eth0 prot=tcp po=21 ip=10.12.11.201 gblip=188.233.233.7 natt=do gblr=82.200.110.104 gblp=21
set firewall poli="main" ru=56 rem=10.12.0.14
#####
#### Разрешить выход из локалки узеру 10.12.0.177 только на на один IP в Инете 195.219.111.136
add firewall poli="main" ru=126 ac=nat int=vlan4 prot=ALL ip=10.12.0.177 gblip=188.233.233.7 remoteip=195.219.111.136 natt=enap

# Обязательные строки типа set user= и настройки ssh ntp я пропустил.
Чем толще наши морды, тем теснее наши ряды.
Bootmen
 
Сообщения: 55
Зарегистрирован: 12 авг 2008, 14:14

Re: AT-AR750S пробросс

Сообщение dmitry_tarakanov » 19 фев 2016, 19:25

Спасибо, сработало. Но теперь еще одна беда. У пользователя не известный заранее IP-шник. Пытаюсь открыть порт из интернета и не получается:
Код: Выделить всё
Manager ro-bal-01> add firewall poli="guilan" rule=56 ac=nat int=eth0 prot=tcp p
o=24 ip=192.168.100.80 gblip=91.103.209.195 natt=do gblp=24 rem=192.168.100.254

Error (3077059): Parameter GBLREMOTEIP was required in the command line but not
given.

Manager ro-bal-01> add firewall poli="guilan" rule=56 ac=nat int=eth0 prot=tcp p
o=24 ip=192.168.100.80 gblip=91.103.209.195 natt=do gblp=24 rem=192.168.100.254
gblr=

 required - an IP address, or an IP address range of 2 IP addresses separated by
 a '-'

Manager ro-bal-01> add firewall poli="guilan" rule=56 ac=nat int=eth0 prot=tcp p
o=24 ip=192.168.100.80 gblip=91.103.209.195 natt=do gblp=24 rem=192.168.100.254
gblr=0.0.0.0-255.255.255.255

Error (3077277): Parameter GBLREMOTEIP can not contain an ip range with this NAT
 type.

Manager ro-bal-01>

Как тут быть?

Еще нарыл одну замечательную доку. В ней говорится о том, что можно транслировать адреса дважды в рамках одной политики. Сначала на один интерфейс, а потом с него обратно на первый. Но там из приватной сети обратно в приватную. Вот думаю, как это применить к моему случаю. Доку прилагаю.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AT-AR750S пробросс

Сообщение dmitry_tarakanov » 27 фев 2016, 17:39

Коллеги, напрямки, как я понял, такая схема работать не будет. Вопрос. Если иметь еще одно устройство типа НАТ, может такая схема сработает? Я нарисовал...
У вас нет необходимых прав для просмотра вложений в этом сообщении.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AT-AR750S пробросс

Сообщение Bootmen » 03 мар 2016, 18:59

dmitry_tarakanov писал(а):Спасибо, сработало. Но теперь еще одна беда. У пользователя не известный заранее IP-шник.

Error (3077277): Parameter GBLREMOTEIP can not contain an ip range with this NAT
.

Я одно время тоже пробовал приручить natt=do
Он без GBLREMOTEIP не работает. В мануале по AR750S есть таблица параметров по каждому типу нат.
Простой выход использовать natt=na.
На конечном сервере прописать маршрутизатор как шлюз по умолчанию.
Или добавить маршруты. Если винда то примерно из CMD чтото типа :
route -p ADD 157.0.0.0 MASK 255.0.0.0 192.168.0.1
Чем толще наши морды, тем теснее наши ряды.
Bootmen
 
Сообщения: 55
Зарегистрирован: 12 авг 2008, 14:14

Re: AT-AR750S пробросс

Сообщение dmitry_tarakanov » 01 июл 2016, 20:07

Bootmen писал(а):
dmitry_tarakanov писал(а):Спасибо, сработало. Но теперь еще одна беда. У пользователя не известный заранее IP-шник.

Error (3077277): Parameter GBLREMOTEIP can not contain an ip range with this NAT
.

Я одно время тоже пробовал приручить natt=do
Он без GBLREMOTEIP не работает. В мануале по AR750S есть таблица параметров по каждому типу нат.
Простой выход использовать natt=na.
На конечном сервере прописать маршрутизатор как шлюз по умолчанию.
Или добавить маршруты. Если винда то примерно из CMD чтото типа :
route -p ADD 157.0.0.0 MASK 255.0.0.0 192.168.0.1

Так делают миллионы админов этого мира. Но я столкнулся с тем, что железяка, которую надо отправить во внешний мир имеет свое собственное представление об IP. А именно, оно не может маршрутизировать. Вообще никак. Ответить по IP тем, кто внутри 255.255.255.0 может, а в гейтвей - нет. Михаил посоветовал попробовать вообще ВСЕ пакеты от этого устройства отправлять, но не тут-то было. Устройство, если к нему пришел IP-пакет не из своего броадкаст-домена, совсем не отвечает. Вовсе.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4