Помогите, пожалуйста, начинающему сисадмину. / сисадмин :: mikrotik :: it :: порты :: пидоры помогите (реактор помоги)

пидоры помогите it порты mikrotik сисадмин 

Помогите, пожалуйста, начинающему сисадмину. Поясните на пальцах как работают порты.

Суть такая:

Есть локалка с компами, сервером с БД Firebird и Mikrotik, который получает инет и распределяет по сетке, а так же пробрасывает порты БД на сервер.

Есть компы и ноуты с клиентской программой, которая коннектится к БД. С компами всё ок, проблема с ноутами из-за их мобильности.

Если ноут во внешней сети - он успешно коннектится например по 14.88.13.666.

Если ноут в локалке - он успешно коннектится по 192.168.1.2.

Если ноут в локалке и пытается коннектиться по 14.88.13.666 - получается fail, непонятно почему.

Каждый раз перенастраивать в свойствах программы IP-адрес когда сотрудник приходит в офис и менять на внешний, когда уходит с офиса - очень геморойно.

На том же сервере стоит веб-сервер и к нему вполне себе получается приконектиться из локалки по внешнему IP 14.88.13.666, почему то же не работает с БД Firebird? Может, что-то нужно донастроить в микротике? Я не очень понимаю как работают порты: или они как дырка в стене, или они как клапан - отдельно нужно настраивать на вход, отдельно - на выход. Типа ноуты извне проходят, а ноуты из локалки не могут выйти в и-нет, чтобы вернуться назад по IP?
Может, как-то можно настроить на микротике кусочек DNS, чтобы при обращении из локалки на 14.88.13.666 эти запросы не покидали локалку и редиректились сразу на сервер?

Вот порты в микротике:

admin@08:55:31:2E:FF:E0 (MikroTik) - WinBox (64bit) V6.48.1 on hEX (mmips)
Session Settings Dashboard
*0	o	Safe Mode	Session: 08:55:31:2E:FF:E0
#Si
J*
/
ES
<f>
«
Quick Set
CAPsMAN
Interfaces
Wireless
Bridge
PPP
Switch
Mesh
IP
MPLS
Routing
System
Queues
Files
Log
RADIUS

Вот купон:

КУПОН
НА 1 помощь,пидоры помогите,реактор помоги,it,порты,mikrotik,сисадмин

Буду очень благодарен за помощь. Прошу простыми словами изъясняться, я в сетевых и сисадминских терминах не очень шарю.

Подробнее
admin@08:55:31:2E:FF:E0 (MikroTik) - WinBox (64bit) V6.48.1 on hEX (mmips) Session Settings Dashboard *0 o Safe Mode Session: 08:55:31:2E:FF:E0 #Si J* / ES <f> « Quick Set CAPsMAN Interfaces Wireless Bridge PPP Switch Mesh IP MPLS Routing System Queues Files Log RADIUS Tools New Terminal Dot1X Partition Make Supout.r Manual J Filter Rules NAT Mangle Raw Service Ports Connections Address Usts La>'er7 Protocols + = H O Y Reset Counters 'w Reset AJI Counters # Action Chain Src. Address Dst. Address Protocol Src. Port Dst. Port In. Inter... Out. Int... In. Inter... Out. Int... Src. Ad... Dst. Ad... Bytes Packets 0 i masquerade srcnat etherl 419.8 KiB 5 064 1 ► " dst-nat dstnat Step) 8080 etherl 0B I 0| 2 ► " dst-nat dstnat 6{tcp) 3050 etherl 2412 B 19 3 ► ' dst-nat dstnat 6ftcp) 3052 etherl 312 B 6 4 ► " dst-nat dstnat 17 (udp) 3050 etherl 0B 0 5 ► P dst-nat dstnat 17 (udp) 3052 etherl 0B I 0 6 * ' dst-nat dstnat 6ftcp) 20 etherl 0B 0 7 »'"dst-nat dstnat G^cp) 21 etherl 0B 0 NAT Rule <305Q> Advanced Extra Action Statistics Action: 0 Log Log Prefix: To Addresses: ¡192.168.1.2 To Ports: 3050 OK Cancel Apply Disable Comment Copy Remove
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,it,порты,mikrotik,сисадмин
Еще на тему
Развернуть
У самого познаний не так уж много, но да, порты это клапаны. С Firebird дел не имел, но в том же PostgreSQL иногда требуется указать ip, с которого будут приходить клиенты. А может дело в бранмауэре. Короче, надо лезть и изучать.
Dr.Fiz Dr.Fiz 19.05.202123:31 ответить ссылка -0.3
еще не поздно
БУДУ ПРОСТИТУТКОЙ
guffi_oo guffi_oo 19.05.202123:31 ответить ссылка 7.8
>14.88.13.666
ничего не смущает?
А если это была маскировка такая, то гугли "mikrotik hairpin nat".
спасибо, погуглю.
А тебя?
ты очевидную отсылку на 14/88 и сатанинские 13 и 666 не понял?
серьёзно?
666 не может быть, от 0 до 255
AGIMgal AGIMgal 20.05.202102:57 ответить ссылка -2.0
я-то в курсе, и даже по восьмибитным октетам посчитать маску могу. а вот тебя не смутило то, что и остальные значения он написал прикола ради, нет?
какой ты душный блять, пример с шуткой человек написал, не давайте заебем что не от 0 до 255
Я же просто пояснил, что может смущать, верхний коммент не мой.
AGIMgal AGIMgal 20.05.202111:02 ответить ссылка -0.7
Тебе скорее на хабр q&a, но там наши купоны не в ходу.
orkaorka orkaorka 19.05.202123:33 ответить ссылка 3.1
Тебе надо Loopback NAT настроить или Hairpin NAT и правила прописать.
Не спец по микротам, так что гугл в помощь, read the fucking manual.
evercerf evercerf 19.05.202123:34 ответить ссылка 1.5
спасибо, погуглю что это за звери такие.
Он дело говорит, вдумчиво сделай NAT rules, ничего не советую, ибо хз через что ты его настраиваешь (winbox, webfig, ssh)
Да он прав, нужен Hairpin NAT. Микроты надо научить ходить "в себя"
vover vover 20.05.202118:17 ответить ссылка 0.0
создай маршрут(routing), чтобы 14.88.13.666 редиректился на 192.168.1.2
tagrenam tagrenam 19.05.202123:35 ответить ссылка -0.5
спасибо, попробую.
https://lantorg.com/article/probros-portov-na-mikrotik
1stalker2 1stalker2 19.05.202123:36 ответить ссылка -0.2
Доступным языком? У тебя дверь в коридоре пропускает входящих с улицы и пропускает их на кухню, и из комнаты и впускает их на кухню. А ты хочешь находясь в комнате выйти в дверь на улицу и попасть в кухню.
BigZed BigZed 19.05.202123:38 ответить ссылка 6.5
выйти на улицу и вернуться обратно как посетитель улицы. с веб-сервером это так работает, с бд - почему-то нет.
Потому что по другому работает.
В Firewall > NAT можно попробовать добавить правило на редирект и в адвансд указать с какого ip на какой
Вы там совсем ебанулись такие адреса роутить?
dingir dingir 19.05.202123:38 ответить ссылка 0.4
это IPv4¾, маглам не понять
читай табличку как текст:
все что у тебя приходит по цепочке destnat из любого адреса в любой адрес по протоколу tcp из любого порта в порт 3050 по интерфейсу ethernet1 перенаправляется туда-то туда-то, собственно загвоздка в том что только по 1 порту ловит перенаправление
а вообще используй вместо dst-nat - netmap то же самое но работает эффективнее
mnts mnts 19.05.202123:39 ответить ссылка 0.5
Нет, вообще не то же самое
окей да, совершенно 2 разные штуки, первая преобразует (подменяет) адрес с портом у получателя, а вторая сопоставляет адрес с портом 1 к 1 для получателя, что в общем случае приводит к одному эффекту, а в частном при netmap не происходит дополнительной операции преобразования, тк статическое сопоставление уже существует
mnts mnts 19.05.202123:54 ответить ссылка -0.6
"1 к 1" означает NAT подсети в подсеть. Это нужно когда есть 2 одинаковые сетки, а работать нужно сейчас.
То, что все используют частный случай netmap, так это заблуждение и кривое использование инструментария.
когда у тебя 2 одинаковые сетки - тебе придётся маскарадить
но разные да, так связывают подсети, и я не спорю что это частный случай, но конкретно в данном случае нетмап позволит обойтись без дополнительного маскарада и хака Hairpin_NAT
mnts mnts 20.05.202100:16 ответить ссылка 0.0
Нет, там нет маскарада, а есть двойной netmap.
Можете использовать частный случай netmap'а, но знающему человеку все сразу становится понятно.
да, с маскарадом я конечно погорячился, однако, вы, сударь, ханжа и сноб
mnts mnts 20.05.202100:41 ответить ссылка -1.0
Нет аргументов - перейди на личности
спасибо. не понял - почему только по первому порту, сейчас всё норм перенаправляет извне во внутрь. не перенаправляет изнутри наружу и потом снова внутрь. Последние порты (FTP) тоже из локалки норм работают - вылазят во вне к DNS провайдера и возвращаются на сервер.
traceroute сделай до внешнего адреса и ты увидишь промежуточные адреса(а скорее всего нет, если у тебя промежуточных управляшек нету, а только микрот) соответственно обращение у тебя идёт к микроту не по 1 порту даже, но к внешнему адресу 1го порта
mnts mnts 20.05.202100:00 ответить ссылка 0.2
тебе нужен так называемый hairpin nat
https://wiki.mikrotik.com/wiki/Hairpin_NAT
asavah asavah 19.05.202123:41 ответить ссылка 5.5
спасибо, буду читать.
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=внутренний_айпи_сервака to-ports=порт
protocol=tcp dst-address=внешний_айпи dst-port=порт

chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/16
dst-address=внутренний_айпи_сервака dst-port=порт

И удали старое правило для проброса порта, и где 192.168 ясно что.
solexid solexid 19.05.202123:42 ответить ссылка 2.1
спасибо, попробую.
В порт можно ставить корабль, грузить груз, а ещё там бывают рынки, ярмарки и шлюхи.
MDED MDED 19.05.202123:44 ответить ссылка 0.0
Давно этим не занимался, могу ошибаться но вроде так:
Chain - dstnat
Dst. Address - внешний адрес роутера 14.88.13.666
In. Interface или Src. Address - либо внутренний интерфейс локалки либо внутренний пул адресов в локалке.
Protocol и Dst. Port - tcp/udp 3050/3052
Action:
dstnat
To Address, To Port - внутренние адрес и порт сервера.
И для пакетов в обратную сторону:
Chain: srcnat
Src. Address или In. Interface, Protocol, Dst. Port - то же самое
Action:
masqurade
прямь чувствовал что эти dstnat и srcnat - не с проста. настраивал по мануалам типа как настроить порт торрентов или стима в микротике, там про это ничё не обясняли, "просто тыкни сюда, выбери это"
1) Сидеть по MAC плохой тон
2) Старайся использовать адресные листы, экономит время и нервы.
3) RB обновлена?
тут что-то на сисадминском :(
У тебя логин на устройство по МАСу, а не по IP. При любом лаге тебя выкинет. Чтоб такого не было, заходи по IP.
Про адресные листы можно на вики почитать. Суть в том, что не нужно правила файервола менять, можно просто добавить 1 интерфейс в лист, к нему применятся те же правила. В твоем случае - eth1.
System - RouterBoard - Current и Upgrade одинаковые?
Не согласен, romon отличный вариант для подключения и поиска neighbor устройств в сети. Особенно круто когда ты начинаешь настраивать L3, так как при смене ip, route и т.п. тебя никуда не выкидывает и ничего не слетает.
defaulto defaulto 20.05.202100:41 ответить ссылка -2.4
Note: It is recommended to use IP address whenever possible. MAC session uses network broadcasts and is not 100% reliable.
Wiki для слабаков
Ок, убедил. Теперь буду настраивать через ip и постоянно перелогиниваться... Я тебе привел реальный кейс при котором L2 лучше L3, а ты мне вики цитируешь. И потом, часто в локалке лаги?
defaulto defaulto 20.05.202110:03 ответить ссылка -0.6
О господи блять. Реальный кейс? Аж смузи поперхнулся и вейп уронил.
Ещё и флешки куришь... Фу бля, фу нахуй...
defaulto defaulto 20.05.202110:55 ответить ссылка -0.6
Если ты настроил айпи и с ним никаких изменений не предвидится - используй айпи, если проблема с доступом по айпи - используй мак, вот и все, всему свое место. ты же не подключаешься по маку в другую подсеть, в смысле зачем подключаться по ромон, если можно подключиться по айпи, у меня такая логика. Ладно у тебя одно-два устройства, а если больше 10 в разных подсетях, например, или 50?
я раз в несколько месяцев на микротик захожу с сервака на пару минут, они соединены 20-сантиметровым пачкордом и чтобы что-то лагануло - даже не знаю что должно случиться. а так - да, со своего ноута я захожу по IP, но это было всего раз в жизни. Сейчас второй раз зайду.
про адресные листы - почитаю, спасибо.
"System - RouterBoard - Current и Upgrade одинаковые?"
разные, спасибо, завтра апгрейднусь.
MT«m
Session Settings Dashboard
6 (MikroTik) - WinBox (64bit) V6.48.1 on hEX (mmips)
Safe Mode
f Quick Set _ CAPs MAN * Interfaces Wireless 5( Bridge
U PPP
X Switch ° l Mesh !£ IP MPLS
J* Routing System
Session: 37.
RouterBOARD
</ RouterBOARD
Model Revision Serial Number
RB750Gr3
r4
Бекап делай перед апгрейдом.
само собой :)
Эх, я когда админом работал, на sysadmins.ru такие вопросы задавал. А меня там нахуй слали и rtfm :/
hefeal hefeal 19.05.202123:51 ответить ссылка 5.8
тут дружелюбней народ, в своё время помогли мне настроить принтеры по сети (всего то нужно было пароли юзерам с принтерами дать).
Это да. Кстати после сисадминства ушел в разработчика БД и нахуй слали уже на sql.ru :) с тех пор зарёкся на русскоязычных сайтах что-то спрашивать.
hefeal hefeal 20.05.202100:59 ответить ссылка 2.4
Надо было использовать прием "Синдром пизды в поле" :)
WanNoa WanNoa 20.05.202101:29 ответить ссылка 2.0
или со 2ого аккаунта написать заранее неправильный и тупой ответ с ноткой самоуверенности
есть же даже какой-то вроде закон, настоящий или шуточный, который описывает подобный прием?
или сделать неверное утверждение не задавая вопроса
русскоязычное айти-коммьюнити всегда было таким, сейчас вроде начинают продвигать идею о "возлюби ближнего своего", но это работает только на молодом поколении.
Ну старики тоже с юмором:"Я тебя конечно люблю,но на хуй ты всё таки сходи!"
Пробрасывать порты наружу, да еще в базу данных - это смело, конечно.
Микротик умеет быть VPN сервером, пусть лучше клиенты из внешних сетей поднимают VPN соединение и подключаются по внутреннему IP к серверу. А все прокинутые наружу порты закрыть, тем более с таким уровнем знаний.
клиентов не заставишь изучать VPN и что-то там настраивать. их задача - скачать аппку третьей стороны, запустить и работать. третья сторона тоже не настроена писать встроенный в свою аппку VPN.
Можно поднять зенталь с овпн, пользаку будет достаточно тыкнуть правой кнопкой мыши на значок овпн и выбрать "подключиться".
Ниже вероятно уже писали, но если микрот днсит, ip - dns - static name: "14.88.13.666" adress: 192.168.1.2. Таким образом пусть клиенты постоянно тыркаются на внешку, но во внутренней сети они по этому адресу будут переадресовываться на локалку.
Клиентам не надо ничего изучать - им надо вместо одной кнопки две нажать. А изучать и настраивать vpn задача админа. Хотя даже не знаю, каким тупым клиентом надо быть, чтобы по телефону самому себе подключение не сделать. Таких еще не встречал.
Cyber Cyber 20.05.202111:16 ответить ссылка 0.0
мне каждому второму приходится самому подключать к wi-fi телефоны и ноуты, так как они не знают как это делается, особенно люди старшего возраста. когда-то крутился сугубо в ит-шной среде и не понимал как можно не знать всяких "элементарных и очевидных" вещей. а оказывается, обычные люди этого не знают, не понимают, да и не сильно горят желанием понимать.
Ну что могу сказать... сочувствую тебе! В нашем холдинге, например, те, кто не понимает "элементарных и очевидных" вещей и не хотят понимать на долго не задерживаются.
А если у тебя штат пней, для которых ctrl+c ctrl+v это что-то программистское и руководство с этим ничего не делает, то мой совет - меняй работу.
Cyber Cyber 20.05.202111:43 ответить ссылка 0.0
это не совсем штат, это приходяще-уходящие люди, они получают услуги, а не приходят работать и деньги получать. так что мы не вправе от них что-то требовать, хоть какую-то квалификацию в ит-сфере, а так же не в праве отказать в оказании услуги.
а так, как у меня ставка чуть выше минималки - я не имею желания работать больше пары часов в день, не хочу каждого обучать всем этим ctrl+c, ctrl+v, установкой и настройкой VPN...
я поддержу идею про VPN, потому как это дешевле, чем разбирать проблемы с возможными уязвимостями БД или утечкой конфиденциальных данный в случае скомпрометированного или простого пароля, который легко можно подобрать.
В случае с настроенным ВПН, просто скажи, что надо нажать вот этот ярлык, если Вы не в офисе и все. Так должно быть.
Как говорится, это классика, блядь, это знать надо.
Почитал я, короче, твои ответы. Делай, в общем, как тебе удобнее, но мой тебе совет: напиши письмо непосредственному руководителю, где пишешь, что, мол, так и так, в существующей сетевой конфигурации, обеспечивающей доступ к базе есть риски для бизнеса связанные с потерей или компрометацией данных, что бы их избежать необходимо внести в нее изменения, что потребует от пользователя чтение инструкции и обращения к ИТ специалисту, что снизит время реакции на другие обращения и увеличит время выполнения других задач.
Для винды, кстати, CMAK есть.
В случае, если у тебя там ситуация "я - начальник, ты - дурак" и прикрытия своей жопы в этой писульке ты не видишь, то тебе остается только надеяться, что проблемы ты не отхватишь и ничего страшного не случится, так сказать, на авось.
>Может, как-то можно настроить на микротике кусочек DNS,
Можно, делай(с)
С такими вопросами лучше на https://forum.ixbt.com/
На микротике с местной локалки нет выхода в инет?
Вариант 1: Попробовать добавить на сетевуху доп IP адрес локалки. Но тут не понятно, ты пишешь что ип вбивается в прогу, неясно какой ей нужен тогда ИП карты или ей вообще фиолетово.
Вариант 2: добавить статический путь руками в командной строке типа: route -p add 14.88.13.666 mask 255.255.255.0(тут маска согласна настройкам твоей локалки) 192.168.1.1(тут адрес узла через который идет связь в локалке). Подводный камень в том, что есть большая вероятность разнообразия локальных настроек юзера дома и будут глюки. Можно прихуярить 2 батника, 1 будет добавлять статический путь когда юзер в локалке, 2 будет удалять когда юзер работает из дома.
ИМХО В микротике локалка и внешний сервак изолированы друг от друга, а общение внешки с БД идет через демилитаризованную зону, что есть православно, поэтому если не знаешь конректики лучше не трогай микротик.
WanNoa WanNoa 19.05.202123:55 ответить ссылка 0.0
> На микротике с местной локалки нет выхода в инет?
есть. говорю же - 8080-й порт тоже проброшен, на сервере подымал xampp с настройками доступа извне, получал index.html как из и-нета, так и из локалки по внешнему IP. порты 3050/3052 для Firebird точно так же настраивал, но извне ноуты нормально коннектятся, а из локалки по внешнему IP - не хотят, только по внутреннему, и я заподозрил что микротик 3050/3052 пускает только на вход и не выпускает на выход, а ноутам немножко нужно выйти прогуляться до ближайшего DNS чтобы вернуться со своим запросом назад (это как я себе понимаю работу портов и сети, но, скорей всего, ошибаюсь).
> неясно какой ей нужен тогда ИП
провайдер даёт канал со статическим IP 14.88.13.666. Раньше кабель через ONU втыкался напрямую в сервак и абсолютно все компы, ноуты, телефоны коннектились через и-нет, локалки небыло. Потом между ONU и сервером появился микротик, который пробросил порты на сервер, у сервера IP стал локальным 192.168.1.2, а так же микротик с этого канала стал раздавать инет через свичи и wi-fi-роутеры по локалке. Все девайсы в локалке отвалились от БД, их пришлось перенастраивать из внешнего IP 14.88.13.666 на внутренний 192.168.1.2. С компами прокатило, работают. А вот мобильные девайсы кочуют постоянно, то внутрь локалки, то во внешнюю среду, и на них нет смысла прописывать локальный адрес сервака, должен быть внешний адрес 14.88.13.666, который должен быть доступным так же и внутри локалки (для других сервисов типа FTP или веб-сервера это так и происходит).
> Вариант 2:
ну, как раз вот этого я не знал, хотя подозревал что такое должно быть, перенаправить запросы. но как это нагуглить - не знал. спасибо, буду изучать и пробовать. знаю только что это должно быть на микротике настроено, а не на клиентах, так как клиенты периодически меняются и я не хочу пол-рабочего времени каждому новому это всё настраивать.
Тут тебе уже писали сотню раз, но вот тебе гайд

https://interface31.ru/tech_it/2019/07/probros-portov-i-hairpin-nat-v-routerah-mikrotik.html

У тебя ноуты скорее всего конектятся через wan (тобишь внешний инет), за него у тебя отвечает: 14.88.13.666

Соответственно находясь в локалке они пытаются выйти на внешний адрес и получается конфликт. Поскольку компы на работе которые стационарные уже заведены в локалку, они скорее всего юзают пул адресов уже настроенный. А вот ноуты при подключении в локалку получают ip от местного dchp сервиса.

Соответственно самый простой вариант, через hairpin сделать переброску портов, возможно еще потребуется настроить сам dchp, что бы ноуты при входе в локалку не долбились во внешний адрес.

Точнее я тебе не подскажу так как видеть надо своими глазами что за пиздец там понамешан)
DogDam DogDam 20.05.202100:09 ответить ссылка 2.2
> они скорее всего юзают пул адресов уже настроенный
а где они его взяли? я ничего не настраивал. адреса всем раздаёт динамически при подключении с 30 до 250 микротик, только на нём есть dhcp, статически прописаны с 10 до 29 wi-fi-роутеры, сервак на двойке висит и пару компов. DNS нету прописанных, автоматом у провайдера или где они там. Как я понимаю - девайсы локалки должны пробежаться до DNS, узнать маршрут до адреса и вернуться обратно в локалку к серверу. По идее им должно быть пофиг - вернутся запросы в родную сетку или в какую-то другую. И вот я думаю, что микротик извне по портам пускает, а наружу из локалки - не выпускает, и этот out нужно донастроить. мне уже накидали инфы, завтра буду читать, изучать тему, спасибо.
Я так понимаю, что снаружи IP - static? Тогда нужно одно правило в файерволе (напиши в личку, а то забуду завтра посмотреть), которое будет заворачивать запросы на внешний IP изнутри на внутренний. Там реально одна строчка, делал лет 5 назад, уже забыл, надо глянуть конфиг.
Memphis Memphis 20.05.202100:12 ответить ссылка 0.0
в твоём профиле нету кнопки "Отправить сообщение".
Да просто микротик - говно..
у меня сначала через тв-тюнер и перемычку в 40 Ом всё работало, но он сгорел. под рукой только микротик был, пришлось костылять.
кстати, те кто юзают микроты обычно спокойно относятся к такому троллингу, хз с чем это связано, мб, с тем что люди понимают нишевость решений.
Верные решения уже надавали, но если к бд обращение идёт по имени, а не айпи, то лучше статичную запись dns сделать. Меньше правил - меньше путаницы. Не в тему добавлю, что masquerade лучше сменить на src-nat если внешний ip статика.
hiekka hiekka 20.05.202101:10 ответить ссылка 0.8
в программе в настройках так:
14.88.13.666:C:\app\db.gdb
как я понимаю, все эти обращения по порту 3050 перехватывает служба firebird и уже коннектит клиент с базой по юзернейму и паролю каждого пользователя.
спасибо.
Ну тогда проще src-nat ковырять, чем бегать по всем клиентам и каждому менять. Но в перспективе было бы неплохо пройтись по всем и поменять в services порт на какой-нибудь пятизначный и пробросить его на 3050, а на соседние повесить honeyport, ибо держать открытый напрямую к дб порт ну уж совсем не православненько.
hiekka hiekka 20.05.202102:11 ответить ссылка 0.0
пройтись по всем не получится - они постоянно меняются, в день несколько новых появляется (ноуты и телефоны). клиент "в один клик" устанавливает аппку от третьей стороны, которая предоставляет продукт as is и только дополнительно строчку с нашим ip даёт клиенту, прописывая её в настройки. А каждого нового клиента ковырять настройками, ставить ему VPN и прочие штуки - слишком много будет геморроя.
Ну тогда в хуй не дуть и будет работать пока бд не забрутфорсят )
А 14.88.13.666 это кажись запись в хосте клиентских машин или гвозядми прибито в софте, только сейчас догодался что это левый айпишник. В DNS его прописать можно в общем.
hiekka hiekka 20.05.202111:30 ответить ссылка 0.0
в ini-файле прописан в винде и хз где в ios и android, можно менять на форме ввода логина-пароля кликнув маленькую кнопочку смены ip
Кстати, совет от DeathCult был дельным. Реально тебе проще (и надежнее) поднять на этом mikrotik'e vpn (l2tp+IPsec or OpenVPN) и пускай они по локальному IP/DNS адресу птичку терзают.
было бы проще если бы это было 20-50 стабильных сотрудников, ноутов.
а так - это приходяще-уходящие люди со своими ноутами, многие только на 1-2 дня появляются, а у меня куча другой работы есть, чем пол-дня каждому новому настраивать клиентскую часть.
к клиентскому приложению у меня нет доступа, оно устанавливается с сайта третьей стороны и там от нас только одна строчка настройки - IP сервера с базой.
От себя хочу добавить, что присоединяюсь к DeathCult и DrakoIIIka в отношении пользы туннелирования за вычетом OVPN – l2tp+IPsec на микротике поднимается кратно проще, работает стабильней и не требует со стороны клиента сложной настройки.
Segard Segard 20.05.202104:30 ответить ссылка 0.0
Может сделать доступ только по локалке, и раздать нужным людям VPN?
spot94 spot94 20.05.202101:47 ответить ссылка 1.3
Когда его ломать начнут, а юзверы заявят, что субд "чейт-лагает по жесткому" (в лучшем случае), то тогда задумается о безопасности и vpn, а пока нехай развивается (развлекается?).
ВПН настрой. На микротике впн сервер, на клиентах соединение и они всегда будут в локалке.
FraerFFSG FraerFFSG 20.05.202104:08 ответить ссылка -1.2
клиентов слишком много и они постоянно меняются. я не хочу пол-жизни настраивать впн на клиентах.
несёт хуйню, не слушай его
vover vover 20.05.202118:20 ответить ссылка 1.2
Настрой маршрут для локальной сети например, чтобы при обращении на внешний, по порту шли на локальный нужный. У тебя проброс стоит скорее всего типа dstnat - все что приходит на внешний адрес, на интерфейс с этим адресом, мапить в бд. А ты из локалки пытаешься стучаться, естественно он нахуй шлёт клиентов локалки, они из самой сети приходят просто до микротика, т.к. у него прописано, что адрес внешний принадлежит ему.
Чтобы микрот ходил на свой внешний IP в локалке, надо настроить hairpin NAT уже выше написали. Вообще это гуглится за 3 сек, не понимаю зачем создавать тему тут.

---THREAD CLOSED---
vover vover 20.05.202118:22 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
КУПОН НА 1 помощьКУПОН НА 1 помощь