Jump to content
Асен Нейков

Услуги зад Technicolor tc7200.20

Recommended Posts

Асен Нейков

Здравейте,  в началото на седмицата техници на блА1 смениха кабелния модем на един обект. Зад него имам микротик, който се опитвам да достъпя през публичния адрес, но за съжаление безуспешно. Firewall-ът ми е изключен, в /ip services са махнати всички правила. Като се зачетох в упътването на модема, по default 3-ти и 4-ти порт са в passtrought режим, което би означавало, че са bridge към света. Пробвах и в двата порта, взимам си един и същи публичен адрес. На 1-ви и 2-ри модема прави нат в частна мрежа. Според съпорта на гореспоменатата компания не филтрират нищо. За късмет имам тунел, през който мога да правя промени по конфигурацията. Пробва също със смяна на порта на Winbox, ssh не ме пуска. Също като dstnat-на някое устройство от вътрешната мрежа не минава трафик през правилото. В настройките на модема е спрян firewall-a и като цяло няма много опции за промяна по него.

Share this post


Link to post
Share on other sites
111111

Или имаш DMZ или нямаш.

Пусни един trace и виж от къде минава трафика.

Share this post


Link to post
Share on other sites
JohnTRIVOLTA
Преди 8 часа, Асен Нейков написа:

Като се зачетох в упътването на модема, по default 3-ти и 4-ти порт са в passtrought режим, което би означавало, че са bridge към света.

Чак към света ме съмнява, но вероятно са така бриджнати портовете за достъп до техният L2 сегмент и респективно тяхната IPTV !

Ако сте договорили повече от един публичен адрес  е друго, но и микротик рутера ще е на друг адрес , а не на този на който го търсите .

Единственото , което може да направите е да пренасочите в устройството на А1 необходимите портове или направо да ползвате DMZ , както спомена колегата в горният пост за достъп до него или изкарване на услуга на публичен адрес !

Share this post


Link to post
Share on other sites
Асен Нейков

За да съм в DMZ трябва да прехвърля микротика във вътрешната мрежа на модема и той да посреща трафика от интернет, което не ми харесва като идея. Ще се оглеждам за нов доставчик.

Като сканирам отвън се виждат отворени портове. Winbox-a стои в Logging in... и нищо не се случва. През тунела се свързвам нормално.

traceroute:

Please login or register to see this content.

 

Share this post


Link to post
Share on other sites
JohnTRIVOLTA

Че той в коя мрежа е сега? Какъв е този тунел който имате - вероятно някакъв ppp client към кого ? Не става ясно отвън какво сканирате, кой адрес, на какво устройство и интерфейс е присвоен същият? Трейса показва че сте зад 2бр частни мрежи !!! Питайте доставчикът , ако може устройството да мине изцяло в бридж мод за да си присвоите на микротика публичният адрес , ако не ви удовлетворява пренасочване на портове!

Edited by JohnTRIVOLTA

Share this post


Link to post
Share on other sites
Асен Нейков

Отново да уточня- Микротика ми е закачен на 3-ти порт на модема, който е в Passtrought режим.

Преди 1 час, JohnTRIVOLTA написа:

Какъв е този тунел който имате - вероятно някакъв ppp client към кого ?

Тунелите са два, един l2tp и един sstp от микротика, който е зад модема към административната ми мрежа. По този начин имам достъп до устройството за промени в конфигурацията.

 Микротика зад модема си взима публичен адрес по DHCP

 

 

Преди 1 час, JohnTRIVOLTA написа:

Не става ясно отвън какво сканирате, кой адрес, на какво устройство и интерфейс е присвоен същият?

Сканирам адреса, който микротика си взима на wan интерфейса от доставчика по dhcp.

Please login or register to see this content.

Съответно портовете, които натвам се виждат като отворени, но през правилата не минава трафик. Същото е и с административните портове на рутера.

Благодаря за съветите, ще търся отговорност на компанията защо нямам достъп до публичния адрес,  достатъчно време си загубихме.

 

Share this post


Link to post
Share on other sites
JohnTRIVOLTA
преди 32 минути, Асен Нейков написа:

Отново да уточня- Микротика ми е закачен на 3-ти порт на модема, който е в Passtrought режим.

Тунелите са два, един l2tp и един sstp от микротика, който е зад модема към административната ми мрежа. По този начин имам достъп до устройството за промени в конфигурацията.

 Микротика зад модема си взима публичен адрес по DHCP

/ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.0.1/24 192.168.0.0 bridge 1 D 85.130.49.99/22 85.130.48.0 ether1 2 D 192.168.20.4/32 192.168.20.1 l2tp-out1

 

 

Сканирам адреса, който микротика си взима на wan интерфейса от доставчика по dhcp.

nmap -Pn 85.130.49.99 Starting Nmap 7.01 (

Please login or register to see this content.
) at 2020-06-26 10:35 EEST Nmap scan report for unknown.interbgc.com (85.130.49.99) Host is up (0.013s latency). Not shown: 995 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 1723/tcp open pptp 8291/tcp open unknown

Please login or register to see this content.

Съответно портовете, които натвам се виждат като отворени, но през правилата не минава трафик. Същото е и с административните портове на рутера.

Благодаря за съветите, ще търся отговорност на компанията защо нямам достъп до публичния адрес,  достатъчно време си загубихме.

 

Дайте да видим рутинг таблицата на микротика тогава и един трейс от него до dir.bg пример ?! Вероятно трфикът навън си минава през локалната на модема и пътя ви е неактивен към пъбличният гейт понеже имате 2 ласт рисорт пътя в борда и по-малкият като стойност е неактивен! Дори това може да се види от VPN сървъра от кой адрес реално клиента се свързва !

Edited by JohnTRIVOLTA

Share this post


Link to post
Share on other sites
Асен Нейков
На 26.06.2020 г. at 11:31, JohnTRIVOLTA написа:

Дайте да видим рутинг таблицата на микротика

трейс до dir.bg:

Идглежда изходящия трафик минава през локалната на модема. VPN клиентът се свързва с публичния адрес, който си взима динамично на wan интерфейса.

Please login or register to see this content.

 

Share this post


Link to post
Share on other sites
JohnTRIVOLTA

Пуснете трейс без интерфейс да слагате. Кажете коя е тази 10.132.64.0 мрежа . Публичният адрес на модема 89.215.170.35 ли е ? Постнете и нат секцията на рутера ви !

Edited by JohnTRIVOLTA

Share this post


Link to post
Share on other sites
Асен Нейков
На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Пуснете трейс без интерфейс да слагате.

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Кажете коя е тази 10.132.64.0 мрежа

Нямам представа, на доставчика е.

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Публичният адрес на модема 89.215.170.35 ли е ?

В момента от passtrought порта нямам достъп до настройките на модема, за да потвърдя.

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Постнете и нат секцията на рутера ви !

Please login or register to see this content.

 От трейса се вижда, че все пак минавам през една частна мрежа в модема. Жалкото, е че няма начин да се прескочи. Една седмица по- късно от доставчика не ги интересува изобщо за какво иде реч и за да се реши проблема настояват да пусна router частта на модема, за да не ги разкарвам излишно. За пореден път късам с великата гига компания. В крайна сметка се наложи да нат-на портовете през тунела на съвсем различно публично ip, за да може клиентите да си гледат камерите.

Edited by Асен Нейков

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.