EdgeOS umożliwia przekierowywanie portów w najbardziej podstawowy sposób, tj. podajemy port, protokół, adres IP hosta wewnątrz sieci, opcjonalnie możemy podać port wewnętrzny. Są jednak 2 sytuacje, w których taka konfiguracja jest niewystarczająca:
1) MultiWAN
W Port Forwarding możemy wybrać tylko jeden interfejs WAN, co komplikuje sprawę, gdy posiadamy kilka łącz z publicznym IP i chcemy mieć możliwość używania przekierowanych portów na obu z nich (np gdy jedno z łącz padnie).
Założenia:
WAN1 - eth0
WAN2 - pppoe1
Przekierowanie portu 8000 tcp/udp na hosta 10.0.1.10
W pierwszej kolejności otwieramy port na świat. W tym celu udajemy się do Firewall/NAT -> Firewall Polices . Interesuje nas reguła WAN_IN, czyli to co przychodzi z zewnątrz ale nie dotyczy usług postawionych na routerze. Wchodzimy w Action -> Edit Ruleset i dodajemy nową regułę:
Cytat
Description - nazwa własna
Enabled - zaznaczamy
Action - Accept
Protocol - Both TCP and UDP
Destination -> Port - 8000
Zapisujemy, przesuwamy regułę by nie była ostatnia (musi być ponad "Drop invalid state" i klikamy Save Rule Order.
Następnie przechodzimy na zakładkę NAT i klikamy w Add Destination NAT Rule i uzupełniamy kolejno:
Cytat
Description - nazwa własna
Enable - zaznaczamy
Inbound Interface - wybieramy port dla WAN1 czyli zgodnie z przykładem eth0
Translations -> Address: adres hosta, na który ma zostać przekierowane połączenie
Translations -> Port: port, na który ma zostać przekierowane połączenie*
Protocol - Both TCP and UDP
Dest Port - port zewnętrzny, który został wystawiony na świat i na które przychodzi połączenie
*to odpowiednik Forwarded Port (w Tomato będzie to Int Port), czyli port wewnętrzny. Może on być oczywiście inny niż zewnętrzny.
Zapisujemy. Teraz dokładnie to samo musimy zrobić dla drugiego WAN. By ułatwić sobie pracę możemy wybrać świeżo utworzoną regułę, kliknąć Action -> Copy. To powieli nam regułę, którą następnie musimy edytować i poprawić pole "Inbound Interface".
Gotowe.
2) Wystawienie portu dla wybranego adresu IP lub grupy IP
W Tomato ten problem nie istnieje - na zakładce Port Forwarding mamy możliwość podania "Src Address", dla którego port ma być otwarty. W EdgeOS twórcy o tym nie pomyśleli, więc musimy sobie radzić w inny sposób. Wystawmy więc panel administracyjny Synology dla wybranej grupy IP.
Założenia:
WAN - eth0
Przekierowanie portu 5000 na hosta 192.168.10.84
Na początek przechodzimy do Firewall/NAT -> Firewall/NAT Groups i dodajemy nową grupę adresów IP.
Następnie otwieramy port na świat - procedura bardzo podobna jak do przykłady wyżej czyli w Firewall/NAT -> Firewall Polices wybieramy WAN_IN -> Action -> Edit Ruleset i dodajemy nową regułę:
Cytat
Description - nazwa własna
Enabled - zaznaczamy
Action - Accept
Protocol - TCP
Destination -> Port - 5000 Source -> Address Group - wybieramy wcześniej utworzoną grupę*
*jeżeli zamiast grupy chcemy podać pojedynczy adres IP to możemy go wpisać w pole Source -> Address
Zapisujemy i przesuwamy regułę by nie była ostatnia (musi być ponad "Drop invalid state" i klikamy Save Rule Order.
Następnie przechodzimy do zakładki NAT -> Add Destination NAT Rule i uzupełniamy ją w dokładnie taki sam sposób jak we wcześniejszym przykładzie.
Zapisujemy zmiany i gotowe. Od tej porty możemy łączyć się na port 5000 tylko ze wskazanych (zaufanych) adresów IP.
Pozdrawiam
Edytowany przez shibby dnia 08-01-2021 09:55
Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology SA6400 VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
