- Введение
- Zyxel Keenetic ping
- Zyxel Keenetic удалённый доступ
Введение
Известно, что интернет-центры серии Keenetic отличаются своей надёжностью и стабильностью работы. Но иногда необходимо удалённо,
внести какие-то изменения в работу локальной сети, к примеру пробросить порты, или убедиться что интернет-центр находится в глобальной
сети и отвечает на (ICMP Echo-Request) запросы по протоколу ICMP, в простонародье ping запросы. Для организации удалёного доступа к интернет-центру необходимо
открыть внешний доступ к WEB интерфейсу по протоколу HTTP, а для получения (ICMP Echo-Reply) ответов, или ping ответов, необходимо разрешить отвечать на ping запросы.
Как это сделать описанно ниже. Инструкция релевантна для всей серии Keenetic(ов) с микропрограммой второго поколения NDMS V2.
Для демонстрации, мы организовали локальную сеть с адресным пространством 192.168.1.1 — 192.168.1.254 на основе Zyxel Keenetic LIte 2 — №1.
К данной сети подключили другой интернет-центр Zyxel Keenetic Lite 2 (ZYXEL KEENETIC LITE II) №2 с внутренним адресным пространством 192.168.0.1 — 192.168.0.254.
К Keenetic(y) №2 мы и откроем внешний доступ и разрешим прохождение пинг запросов.
Zyxel Keenetic ping
Для начала, зайдем в Keenetic №2 и во вкладке Интернет/ Подключения/ Brodband connection присвоим ему статический IP 192.168.1.5.
Маску подсети 255.255.255.0 и основной шлюз 192.168.1.1
Далее зайдём во вкладку Безопасность/ Межсетевой экран и создадим правило для интерфейса «Broadband connection (ISP)», так как мы подключены
к Keentic(y) №1 через этот интерфейс. Чтобы создать правило, необходимо нажать кнопку «добавить правило». Во всплывшем окне разрешить
прохождение пакетов по протоколу ICMP
Теперь перейдём в локальную сеть Keenetic(a) №1 и пропингуем адрес 192.168.1.5. Для этого запустим программу cmd.exe.
В WIN7 нажать WinKey+r, в всплывшем окне введём cmd.exe и нажмём ввод. В появившемся чёрном окне введём команду ping 192.168.1.5.
Утилита «ping» сообщает, что узел по данному адресу доступен и показывает время прохождения пакетов.
в начало
Zyxel Keenetic удалённый доступ
Открываем удалённый доступ. Заходим в WEB интерфейс Keenetic(а) №2. Переходим во вкладку Безопасность/ Межсетевой экран.
Выбираем закладку Трансляция сетевых адресов (NAT). Нажимаем кнопку «добавить правило». Во всплывшем окне выбираем:
- Интерфейс: Broadband connection (ISP)
- Протокол: TCP
- Порты TCP/UDP: Один порт 8080
- Перенаправить на адрес: 192.168.0.1
- Новый номер порта назначения: 80
По сути, мы пробросили порты Keenetic(a) на самого себя в локальной сети.
Остаётся проверить, всё ли правильно работает. Перейдём в локальную сеть №1 и в браузере
наберём адрес http://192.168.1.5:8080. 8080 — это номер внешнего порта через который
мы получим доступ ко внутреннему порту 80. Выходит приглашение ввести логин и пароль, а это
значит, что внешний доступ есть и мы всё сделали правильно.
в начало
You have no rights to post comments
| Автор | Сообщение |
|---|---|
|
Заголовок сообщения: ping из внешней сети роутера dfl-210
|
|
|
|
Какие настройки позволяют разрешить пинг роутера из внешней сети, из интернет? |
| Вернуться наверх |
|
 |
Добавлено: Вт июл 27, 2010 09:49 
|
danilovav |
Заголовок сообщения:
|
|
|
Если вы имеете ввиду пинг самого роутера из интернета, то allow wan/all-nets core/wan_ip ping-inbound _________________ Хотите считать с него трафик? http://www.raresoftware.ru/products/lan/dfltc
|
| Вернуться наверх |
|
|
As your network is behind NAT, you won’t be able to use a standard PING to each device. The ping utility sends ICMP requests, which will be responded to by a single device when sent to a WAN IP address, usually your NAT gateway (in this case your WiFi router I believe).
This is the intended behaviour, and is one of the fundamental security aspects of NAT, that your local devices are not revealed to a WAN.
How do I find the computers connected to the wifi network by using only the WAN IP?
There are a few options (and I’m sure many more than I will be offering here). To access devices behind a NAT, you can set up servers using specific ports. For example, when you have used telnet from outside of your network, it will be using the default port 23, which, as you’ve found, your device handling your WAN is listening to and allows communication.
It depends from here what your actual requirement is. If you wish to find out which devices are online, you could set up a server on each, which you could then ‘ping’ on it’s specific port. Your NAT gateway can then port forward each request to the correct LAN device.
Or, you could set up a single server which you could connect into, via something like SSH, which would give you a device inside your network you could then ping each device from using it’s local IP address.
The standard PING utility, as it uses ICMP which doesn’t have a concept of ports, can’t be directed to different machines behind your NAT gateway. You would need to use software that replicated the functionality of PING, but through a protocol like TCP. You’d then use this software in a format such as:
pingport WANIP:1234 for one machine
pingport WANIP:1235 for your next machine
…etc
I would suggest doing some further reading on the following:
NAT — en.wikipedia or simple.wikipedia
Ping from outside a local network
TCP/IP
Не путай серый IP с динамическим IP. У тебя скорее всего динамический, и не пингается он извне по той простой причине, что ICMP пакеты у тебя блокируются на роутере. Зайди в админку роутера и в настройках фаерволла разреши ICMP протокол.
И еще одна важная поправочка, что пингаться начнет не твой комп, а роутер. А чтобы именно твой комп начал пингаться извне, твой комп должен подключаться к интернету напрямую, без роутера.
Никак/просить у провайдера белый ип(после чего роутером пробрасывать порт на твой пк)/просить у провайдера пробросить порт до роутера(чего естессно он не сделает, такого не практикуют)
Если ваша ОС, роутер и провайдер поддерживают IPv6, то можете попробовать пинг ipv6 адреса
То, что вам показывает 2ip.ru это и есть ваш белый ip. У провайдера вы можете запросить статический — для того, чтобы он у вас не менялся — на доступности это не сказывается. А ответ на пинг — что у вас поднимает подключение, роутер, или он настроен в бридж, и компьютер поднимает? От этого зависит, кто будет отвечать — ваш компьютер или сам роутер. Если роутер поднимает — как вы пытаетесь пинговать, с компьютера за роутером или с внешнего источника? В классической ситуации — роутер поднимает соединение, ваш компьютер за ним. Просто на роутере, в настройках файрвола, настройте проброс протокола ICMP на внутренний адрес вашего компьютера. Так же на компьютере настройте файрвол на прием icmp, если файрвол включен, и все. Если файрвол на комьпютере выключен — то на самом компе настраивать дополнительно ничего не нужно.
Есть онлаин сервисы их много пингуйте
Я сам не проверял, но теоретически если IP динамический, можно попробовать воспользоваться каким-нибудь сервисом DDNS, которые бывают бесплатными и тем самым получить постоянный адрес.
p.s. Если конечно маршрутизатор поддерживает функцию.
Страница 1 из 2
-
rst
Новый участникЗдравствуйте!
Есть mikrotik включённый в сеть предприятия. В LAN-порты его включено несколько устройств которым розданы адреса из диапазона 192.168.98.0/24. На этих устройствах есть вебсерверы.
Сами устройства выходят во внешнюю сеть (SNTP, DNS) нормально. Входящие соединения на TCP-порты WEB-серверов этих устройств тоже проброшены и веб-сервера нормально открываются из внешней сети.
Но никак не могу пробросить PING из внешней сети на эти устройства. Не знаю как это сделать.
Сам микротик пингуется (он имеет адрес во внешней сети 10.0.3.4), но ICMP-кадры внутрь в подсеть 192.168.98.0/24 не пропускает.
Я создал дополнительный адрес 192.168.99.6:
/ip address
add address=192.168.99.6 interface=ether1 network=192.168.99.6
микротик стал отвечать на ARP-запросы по этому адресу из внешней сети.
Но что я только не делал чтобы он пробросил пакеты с WAN с адресом 192.168.99.6 внутрь на устройство 192.168.98.6 (с подменой IP) — не получается.
Либо как засветить на внешнем WAN адреса устройств из диапазона 192.168.98.0/24, но только чтобы туда проходили только ICMP-пакеты? -
Пинговать надо несколько локальных адресов?
-
rst
Новый участникда.
Из внутренней сети 192.168.98.0/24 все устройства нормально пингуются. -
А по какому ip адресу надо пинговать сервисы? Или предполагается их пинговать по имени?
-
rst
Новый участникВсё равно по какому. Либо по их внутренним IP, либо каким другим. Главное — чтобы можно было независимо пинговать все устройства.
А что значит по имени?
Кроме указанных протоколов (входящий ICMP, входящий HTTP, исходящие DNS и SNTP) устройства больше ничего из IP не поддерживают. DHCP тоже скорее всего в будущем не будет — они будут все иметь статические IP. -
ICMP вы сожмите «пробросить» только для одного IP, т.к. NAT. Можно использовать вариант настройки IPv6, там нет NAT можно будет пинговать по адресам IPv6.
-
rst
Новый участникУстройство поддерживает только IPv4.
-
А вам для чего так принципиален пинг ?
-
rst
Новый участникЧтобы узнавать, что устройства включены. Можно конечно по HTTP подключаться, но ping — удобнее.
-
ИМХО, логичнее было бы сделать скрипт на микротике, который будет пинговать внутренние устройства и отправлять емаил в случае чего
-
rst
Новый участникЭто не удобно, так как устройства часто отключаются и включаются. Пинговать нужно только тогда, когда нужно. Да и пинговать нужно с разных компьютеров в сети.
И у устройств может часто меняться сетевые параметры (статический IP-адрес, даже MAC может поменяться и т.п.). -
Можно так:
Подключаетесь к микротику по SSH, запускаете скрипт пинга всех устройств с микротика, либо пингуете поочередно каждое устройство. -
rst
Новый участникЭто значит надо SSH-подключение настраивать?
Хотелось бы простой вариант. Неужели нельзя никак внутрь пробросить ICMP?PS: Сейчас, если я втыкаю комп во внутреннюю сеть, запускаю NetView и жму «скан диапазона IP», то через секунду получаю список всех устройств. Сканирую либо ICMP-запросами либо ARP-запросами — одинаково работает.
Последнее редактирование: 1 ноя 2017
-
Да можно! Можно пробросить! Так же как и 80-й порт. НО! Если устройств более одного, то куда же мы будем пробрасывать пинг? Только на одно устройство.
Простейший способ — winbox — new terminal — ping
-
rst
Новый участникУстройств несколько. В этом всё и дело….
Пока обхожусь сканированием в том же NetView по номеру TCP-порта WEB-сервера. Только вот в конфиге устройства их можно сделать разными, тогда не найдётся…. -
Можно отключить NAT на вашем роутере, и настроить маршрутизацию без NAT. Тогда возможно будет пинговать.
-
Если отключить NAT, то зачем там микротик?
-
rst
Новый участникЕсли так сделать, то у устройств во внутренней сети будет свое пространство IP 192.168.98.0/24 ? Не будет ли конфликтов с устройствами во внешней сети?
Доступа к роутеру, на котором сидит внешняя сеть у меня нет. Мой микротик и комп просто воткнуты в него.
PS: Я не занимаюсь профессионально администрированием сетей, так что возможно не понимаю каких-то простых вещей — извините!
-
Если нет доступа на основной роутер, то инет вы на них не сможете дать. С сети 10.0.3.0\24 адреса будут доступны, если в таблицу маршрутизации компов, с которых необходимо пинговать добавить запись об этой сети вида — 192.168.98.0/24 отправлять на 10.0.3.4
-
rst
Новый участникТакие ограничения меня не устраивают. Ладно, раз так: тогда буду пинговать устройства из внешней сети открытием/закрытием их HTTP-портов. Это по-крайней мере нормально работает извне.
Страница 1 из 2
