Nastavení omezeného přístupu z internetu na WAN

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod rakov 2. 3. 2017 09:07

Chtěl bych se zeptat jest-li jde nastavit router TP-LINK TL-WR840N tak, aby přístup z venčí (internetu) na WAN byl omezen jen třeba na dvě konkrétní IP adresy. Děkuji. ;-)
rakov
Kolemjdoucí

Odeslat příspěvekod jackbrno 2. 3. 2017 09:31

Ano, lze, ale obávám se, že konkrétní IP lze zadat pouze jednu.
jackbrno
Junior

Odeslat příspěvekod vladimir 2. 3. 2017 09:40

Pokud myslíš webovou administraci, tak lze povolit jednu remote adresu nebo všechny adresy.

Jestli myslíš obecně přístup na tvou veřejnou IP-adresu, tak to v originálním firmwaru ovlivnit nejde. Ale tak jako tak, ty pokusy o přístup, pro které nemáš nastavený port-forwarding, jsou zahozené automaticky.

(Pokud požaduješ zařízení s nadstandardním nastavením firewallu, chtělo by to Mikrotika)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 2. 3. 2017 09:44

Fakt to je takový problém do toho rozhraní toho routeru kouknout a přečíst si help?


Remote Management Help

This feature allows you to manage your Router from a remote location via the Internet.

Web Management Port - Web browser access normally uses the standard HTTP service port 80. This Router's default remote management web port number is 80. For greater security, you can change the remote management web port to a custom port by entering that number in the box provided. Choose a number between 1 and 65535 but do not use the number of any common service port.
Remote Management IP Address - This is the current address you will use when accessing your Router from the Internet. This function is disabled when the IP address is set to the default value of 0.0.0.0. To enable this function change 0.0.0.0 to a valid IP address. If set to 255.255.255.255, then all the hosts can access the Router from internet.

To access the Router, you should enter your Router's WAN IP address into your browser's address (in IE) or location (in Netscape) box, followed by a colon and the custom port number you set in the Web Management Port box. For example, if your Router's WAN address is 202.96.12.8 and you use port number 8080, enter http://202.96.12.8:8080 in your browser. You will be asked for the Router's password. After successfully entering the password, you will be able to access the Router's web-based utility.

Note:

Be sure to change the Router's default password to a secure password.
If the web management port conflicts with the one used for a Virtual Server entry, the entry will be automatically disabled after the setting is saved.

wan_pristup.png


EDIT:

POZOR při přístupu pomocí http:// je heslo pro router posíláno nešifrovaně!! Jde odposlechnout a zneužít.
Naposledy upravil soban dne 2. 3. 2017 10:02, celkově upraveno 4
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod rakov 2. 3. 2017 09:46

Myslím adrministraci routru a i obecný přístup na veřejnou IP a tím pádem na zařízení uvnitř sítě, které bych měl nastavené v port-forwarding.
rakov
Kolemjdoucí

Odeslat příspěvekod soban 2. 3. 2017 09:55

Na administraci jsem ti odpověď už napsal.

A i port forwarding funguje aby jsi se dostal na PC ve vnitřní síti.

Buď potřebuješ vše přeposlat na jeden PC tak ho zadáš do položky DMZ pak se vše přeposílá na ten PC.

A nebo si jednotlivé porty přepošleš na jednotlivé PC v záložce "Virtual Servers" akorát ti nepovím kolik těch PC tam může být ale je to víc jak 2 co chceš....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod rakov 2. 3. 2017 10:05

DMZ nechci, chci přístup na více IP v síti, ale to vím jak na to, spíš mi jde o to jest-li ta jedna zadaná IP adresa ze které budu přistupovat na router z venčí (treba z adresy v praci) je i pro port forwarding nebo je to jen na tu administraci routru. Nechci aby to bylo přístupno každému.
rakov
Kolemjdoucí

Odeslat příspěvekod vladimir 2. 3. 2017 10:15

Ne, to nastavení je jenom pro administraci. To, co chceš, se nastavuje na softwarových firewallech jednotlivých zařízení, ale pokud sis koupil například levnou čínskou kameru, tak ta nejspíš žádný firewall nemá nebo pokud má, je otázka, jestli mu věřit.

Tohle umí i ten nejlevnější Mikrotik za pětistovku levou zadní. Jak je to s neoriginálními firmwary pro WR840N, jestli jsou pro tvou hardwarovou verzi k dispozici a jak uživatelsky přívětivé mají nastavení firewallu, netuším.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod rakov 2. 3. 2017 10:26

Nevím na kolik je Mikrotik složitý na nastavovaní,ale můžu poprosit o doporučení nějakého? Třeba si s tím poradim :-)
rakov
Kolemjdoucí

Odeslat příspěvekod honcka 2. 3. 2017 10:32

Je to pouze na administraci, tohle zařízení není na tenhle provoz určený, z levnejch buď mikrotik, nebo něco, co umi openwrt. Případně jestli máš volnej počítač se 2 síťovkama, tak na něj můžeš nahodit free verzi sophos firewallu
JVC DLA-X30
Sonos Playbar
honcka
Junior

Odeslat příspěvekod vladimir 2. 3. 2017 10:42

300Mbit/s wifi + 100Mbit/s LAN (to parametrově odpovídá tvé staré WR840N): https://www.i4wifi.cz/MikroTik-RouterBo ... 6hq7p2gau2 nebo https://www.i4wifi.cz/MikroTik-RouterBo ... 1n-L4.html , liší se v krabičce. Nebo s 5GHz AC-wifi https://www.i4wifi.cz/MikroTik-RouterBo ... ac-L4.html, ten už je ale za dvanáct stovek a pořád má jenom 100 Mbit/s porty. S gigabitovými už jde cena nahoru.

Základní nastavení (uvedení do provozu) není nijak obtížnější, než třeba u toho TP-linka. Vše se dělá v jednom okně Quick setup. A pak následně budeš konfigurovat port-forwarding (návodů na internetu, třeba i na youtube je dost) a do podmínky dáš, že platí pouze pro ty dvě zdrojové veřejné IP-adresy.

To, že lidi považují Mikrotika za složitého plyne z toho, že je tam opravdu hodně nastavovacích menu, ale když víš, že budeš používat jenom quick setup a firewall, možná ještě rezervaci IP-adresy pro MAC-adresy zařízení, tak ti může být jedno, že tam ty ostatní volby jsou.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod rakov 2. 3. 2017 10:54

Tak díky moc, všem. Zkusím toho Mikrotika :-) a uvidíme.
rakov
Kolemjdoucí

Odeslat příspěvekod rakov 8. 3. 2017 20:11

Ahojte, tak zapasim s Mikrotikem :-) Celkem se v tom uz orientuji,ale nejak se mi nedari nastavit Port forwarding.

Karta IP / Firewall, záložka NAT
Chain: dtsnat
Protocol: 6(tcp)
Dst.Port: 3389
Action: dst-nat
To Address: IP adresa počítače
To Ports: 3389

Je nutne jeste nekde neco nastavit? A jeste kdyz chci pristup z netu na dane PC jen z urcite IP adresy, tak tu zadam do Src. Address nebo Dst. Address. Zkousel jsem oboji a nic :-(

-- 8. 3. 2017 21:33 --

Tak uz jsem na to asi prisel :-) Mel jsem asi spatne nastavenou masquerade, byla na ether1 a dal jsem ji na bridge a uz to jede :-)
rakov
Kolemjdoucí

Odeslat příspěvekod rakov 9. 3. 2017 12:48

Ahojte. Měl bych ješte dotaz ohledne MikroTiku. Jde nějak nastavit aby se prováděl pravidelně ping a uložilo to někam jako html. Ve starém routru jsem měl něco takového:

# ping na seznam.cz:
ping -q -c 3 77.75.76.3 > /tmp/inetstat.txt

if [ $? -ne 0 ]; then
one="<p><b><font color=red size=5>Internet nefunguje!<br></font></b>"
else
one="<p><b><font color=green size=4>Internet funguje!<br></font></b>"
fi

echo "<HTML><TITLE>Jede nám Internet?</TITLE><meta http-equiv=REFRESH content=120>" > /tmp/local/web/inetstats.htm

echo $one >> /tmp/local/web/inetstats.htm

cat /tmp/inetstat.txt | grep -e packet -e avg >> /tmp/local/web/inetstats.htm

echo -n "<br>Test v: " >> /tmp/local/web/inetstats.htm;date >> /tmp/local/web/inetstats.htm
echo "</HTML>" >> /tmp/local/web/inetstats.htm

Dik

-- 9. 3. 2017 14:20 --

Nebo, možná by bylo jětě lepší, kdyby to provedlo ping a v případě nedostupností IP to upozornilo na email.
Zkoušel jsem tohle:

:if ([/ping 192.168.x.x count=5] = 0) \
do {
:local subject "POZOR VYPADOK AP $[/system clock get date] $[/system clock get time]"
:local recipients { "xxx@gmail.com";
"yyy@gmail.com";
"zzz@gmail.com" }
:foreach r in=$recipients do={
:put ("Sending email to " . [:tostr $r])
/tool e-mail send tls=yes to=[:tostr $r] subject=[:tostr $subject]
}; :log info "AP offline"
}

popřípadě tohle:

/system script add name=pinging source={
:if ([/ping 192.168.x.x count=5] = 0) do={
/tool e-mail send \
to=xxxx@seznam.cz \
subject="Nefunguje PC"
}
}

Ale ani jedno nejde. V záložce TOOLS mám nastavený email, funguje i odeslaní,ale když spustím některý z těch dvou scriptů, tak se nic neděje. Nevím jest-li mám mít ještě někde něco nastavené.
Díky za rady.
rakov
Kolemjdoucí

Odeslat příspěvekod Nargon 9. 3. 2017 13:35

Mělo by to jít. V mikrotiku je na podobný monitoring přímo připravený nástroj.
Menu Tools/Netwatch
tam si nastavíš IP co to má pingat a v jakém intervalu. A pak máš dva skriptíky UP a DOWN, které se spustí když je změna stavu.
Já to používám, ale mě stačí když se to vypisuje do interního logu, ikdyž uložit to do souboru v HTML formátu by mělo jít asi taky, ale jak přesně z hlavy nevím.
Popis skriptovacího jazyka je na mikrotik wiki: https://wiki.mikrotik.com/wiki/Manual:Scripting
Případně takhle to vypadá u mě: https://ctrlv.cz/JFGP Příkaz:
Kód: Vybrat vše
:log info "Seznam UP";
:log info "Seznam DOWN";
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků