Как узнать внешний IP-адрес роутера mikrotik

Обновлено: 04.07.2024

В этом разделе описывается маршрутизация общедоступных IP-адресов, когда подсеть с общедоступным IP-адресом назначается внутреннему интерфейсу в одном развертывании брандмауэра.

Назначение IP¶

По крайней мере две общедоступные IP-подсети должны быть назначены поставщиком услуг Интернета. Один для глобальной сети брандмауэра, а другой для внутреннего интерфейса. Обычно это подсеть /30 для глобальной сети, а вторая подсеть назначается для внутреннего интерфейса. В этом примере будет использоваться /30 в глобальной сети, как показано в Таблице IP-блока WAN, и общедоступная подсеть /29 во внутреннем интерфейсе OPT, как показано в Таблице внутри IP-блока.

Маршрутизатор интернет-провайдера (шлюз pfSense® по умолчанию)

IP-адрес интерфейса pfSense WAN

Интерфейс pfSense OPT

Конфигурация интерфейса¶

Сначала настройте интерфейсы WAN и OPT. При желании интерфейс LAN также можно использовать для общедоступных IP-адресов. В этом примере LAN — это частная IP-подсеть, а OPT1 — общедоступная IP-подсеть.

Настройка глобальной сети¶

Добавьте IP-адрес и шлюз соответственно. На рисунке WAN IP and Gateway Configuration показана конфигурация WAN, как показано в таблице IP-блок WAN .

../_images /routing-wan-ip-config.jpg

IP-адрес глобальной сети и конфигурация шлюза ¶

Настроить OPT1¶

Теперь включите OPT1, при необходимости измените его имя и настройте IP-адрес и маску подсети. На рисунке Конфигурация интерфейса маршрутизации OPT1 показывает конфигурацию OPT1, как показано в таблице внутри IP-блока .

../_images/routing -opt-config.jpg

Маршрутизация конфигурации интерфейса OPT1 ¶

../_images /routing-opt-ip-config.jpg

Маршрутизация конфигурации IP-адреса OPT1 ¶

Конфигурация NAT¶

При использовании общедоступных IP-адресов на внутреннем интерфейсе значение по умолчанию для преобразования внутреннего трафика в IP-адрес глобальной сети должно быть переопределено.

Выберите Брандмауэр > NAT

Перейдите на вкладку Исходящие

Выберите создание правила Hybrid Outbound NAT

Нажмите Сохранить

fa-level-up

Нажмите, чтобы добавить новое правило в начало списка со следующими настройками:

Проверено, чтобы NAT был отключен

Сеть, введите локальную общедоступную IP-подсеть, 192.0.2.128/29

Нажмите Сохранить

Это переопределит автоматические правила по умолчанию, которые переводят весь трафик с локальных интерфейсов, выходящий из интерфейса WAN, на IP-адрес WAN. Трафик из сети OPT1 192.0.2.128/29 не транслируется из-за добавленного вручную правила, исключающего его из NAT. Эта конфигурация поддерживает автоматическое поведение для других внутренних интерфейсов, так что преимущества автоматических правил NAT для исходящего трафика не теряются. Эта конфигурация показана на рисунке Конфигурация исходящего NAT.

Если общедоступные IP-адреса используются на всех локальных интерфейсах, установите параметр Disable Outbound NAT, а не гибридный режим.

../_images/routing -outbound-nat.jpg

Конфигурация исходящего NAT ¶

Настройка правил брандмауэра¶

../_images /routing-opt1-example-rules.jpg

Правила брандмауэра OPT1 ¶

../_images /routing-wan-example-rule.jpg

Правила брандмауэра WAN ¶

После настройки правил брандмауэра установка завершена.

Трафик будет направляться из локальной сети в эту общедоступную подсеть по умолчанию без NAT. Если такое поведение нежелательно, соответствующим образом настройте брандмауэр локальной сети и правила NAT. Кроме того, может потребоваться обойти политику маршрутизации, чтобы разрешить доступ из локальной сети к этому интерфейсу.

Пт, 19 марта 2021 г., 23:56

Если у вас нет доступа к модему интернет-провайдера и вы просто подключаете МТ к модему (правила брандмауэра на МТ отсутствуют), возможно ли, чтобы МТ «сообщал» вам, какой у вас внешний IP-адрес?< /p>

По сути, делает то, что модем делает в разделе DDNS, чтобы это делал MT.

20 марта 2021 г., 5:53

Под IP>Облаком есть встроенный DDNS.

Если у вас есть клиент обновления, работающий на устройстве в вашей сети, вы можете ввести свой DDNS в IP>Брандмауэр>Список адресов, и он разрешит его для вашего IP.

20 марта 2021 г., 10:32

Спасибо, 2frogs, к сожалению, в сети не будет другого клиента обновления устройств. только модем (к которому у меня нет доступа) и МТ.

У меня также сложилось впечатление, что DNS-имя в ip/облаке недоступно, когда оно находится за модемом NAT (и требует переадресации портов), или вы говорите, что этого DNS-имени MT мне будет достаточно, чтобы ввести его на удаленной стороне MT и через это открытие сможете создать успешную ссылку?

Поиск способов, позволяющих каждому устройству MT (A) и MT (B) узнать интернет-адреса друг друга, чтобы можно было установить связь L2TP/IPsec .

20 марта 2021 г., 13:28

Если у вас есть доступ к маршрутизатору MT, включите ddns и посмотрите на IP Cloud, он должен сообщить вам ваш общедоступный IP-адрес.

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

20 марта 2021 г., 16:12

У вас должна быть доступна переадресация портов по крайней мере на одном из модемов (без IP-адреса — это просто еще одна служба DDNS) или вам придется подключиться к третьему устройству с общедоступным IP-адресом или возможностью переадресации портов. Не существует волшебного способа подключения из одной сети в другую напрямую без переадресации портов, когда вы находитесь в сети с двойным NAT (внешний IP без доступа или DMZ на модеме, а не MT.)

20 марта 2021 г., 17:15

Вот что я сделал, и это работает, (MT) DDNS работает, как и ожидалось, для обновления IP, я настроил его на обновление каждые 5 минут. теперь, чтобы получить доступ из winbox к MT через «это имя», действительно вам нужны некоторые изменения/доступ к модему. Но! Если вам нужно только сообщить адрес, чтобы вы могли ввести его, чтобы установить соединение (связь между двумя), он работает без каких-либо действий на модеме.

Затем, если у вас есть удаленный доступ к одному местоположению (которое, очевидно, поддерживает Winbox или каким-либо другим образом), вы можете получить доступ к другому MT через это место (через это имя облака).

20 марта 2021 г., 17:49

У меня также сложилось впечатление, что DNS-имя в ip/облаке недоступно, когда оно находится за модемом NAT (и требует переадресации портов), или вы говорите, что этого DNS-имени MT мне будет достаточно, чтобы ввести его на удаленной стороне MT и через это открытие сможете создать успешную ссылку?

Поиск способов, позволяющих каждому устройству MT (A) и MT (B) узнать интернет-адреса друг друга, чтобы можно было установить связь L2TP/IPsec .

Как уже писали другие: вам не нужны какие-либо специальные меры, чтобы узнать общедоступный адрес, за которым находится ваш маршрутизатор с NAT, но знания этого адреса недостаточно, чтобы сервер L2TP, слушающий ваш маршрутизатор, был доступен из Интернета.< /p>

Поэтому один из способов установить VPN между двумя маршрутизаторами – установить VPN-туннель от обоих до третьего маршрутизатора на общедоступном IP-адресе.

Еще один способ — использовать туннель IKEv2 IPsec между сайтами, в котором оба маршрутизатора действуют как инициаторы, но это возможно только в том случае, если устройства NAT между каждым из ваших двух маршрутизаторов и Интернетом сохраняют исходный UDP-порт без изменений, когда это возможно. . Подробнее здесь.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Вс, 21 марта 2021 г., 11:16

Понятно. приятно знать, спасибо!

Можете ли вы сказать, что в транспортном режиме, если у меня есть доступ к одному сайту (на стороне сервера), но нет доступа к другой стороне, смогу ли я установить связь между двумя, введя статический адрес ( звонить/подключаться) на стороне клиента?

В сценарии L2TP/IPsec я вижу требование в Interface/L2TP-out-1/Dial out/Connect to : и в IP/IPsec/peers, чтобы ввести имя или адрес DDNS. Введя имя для каждого сайта, разве этого недостаточно для установления связи? Предполагая, что все остальные настройки выполнены на обоих.

Вс, 21 марта 2021 г., 14:33

В типичном случае может быть несколько хостов с частным IP-адресом (устройства локальной сети), подключенных к Интернету через одно устройство с общедоступным IP-адресом (маршрутизатор глобальной сети).

Если первый в истории пакет нового соединения поступает от устройства LAN для пункта назначения, доступного через интерфейс WAN, маршрутизатор WAN заменяет исходный адрес такого пакета перед его пересылкой в ​​пункт назначения и некоторое время запоминает его первоначальный исходный адрес, новый исходный адрес, назначенный ему, адреса назначения, IP-протокол и порты, где это применимо. Таким образом, если ответный пакет прибывает позже, он соответствует всем этим значениям (конечно, адреса источника и получателя и порты поменялись местами), и, таким образом, маршрутизатор WAN знает, куда его направить. Этот процесс называется отслеживанием соединения, и преобразование сетевых адресов (NAT) является дополнительной частью его работы (отслеживание соединения используется и для других целей).Поскольку пять кортежей (общедоступный локальный IP-адрес, общедоступный локальный порт, удаленный IP-адрес, удаленный порт, IP-протокол) должны быть уникальными для каждого отслеживаемого соединения, NAT иногда должен назначать для соединения другой общедоступный локальный порт, если несколько устройств LAN инициировать подключение к тому же удаленному IP-адресу и удаленному порту с того же локального порта через тот же общедоступный IP-адрес. Некоторые устройства назначают соединениям случайные локальные порты, даже если такого конфликта нет, полагая, что это обеспечивает лучшую безопасность.

Но если первый в истории пакет какого-либо нового подключения поступает на общедоступный IP-адрес маршрутизатора WAN, этот маршрутизатор не знает автоматически, обрабатывать ли его как пакет для себя или пересылать на какое-то из устройств LAN, и если да, то к какому именно, потому что такой пакет не соответствует ни одному из уже отслеженных соединений. Таким образом, вы должны добавить статическое правило на WAN-маршрутизатор, чтобы сообщить ему, на какой IP-адрес LAN пересылать пакет. Такие статические правила соответствуют тем же полям заголовка пакета, которые используются для идентификации отслеживаемого соединения, как указано выше. Обычно это называется «переадресацией портов»; чтобы иметь возможность добавлять такие правила, вы должны быть администратором WAN-маршрутизатора или иметь возможность попросить администратора сделать это за вас.

Даже если у вас есть только одно устройство локальной сети за маршрутизатором глобальной сети, вам все равно необходимо настроить маршрутизатор глобальной сети для пересылки полученных исходных пакетов на частный адрес этого устройства локальной сети. Если вы этого не сделаете, WAN-маршрутизатор сам попытается обработать содержимое такого начального пакета, а если он не сможет этого сделать, то отбросит его.

L2TP четко определяет роли клиента и сервера. Два клиента не могут подключиться друг к другу, равно как и два сервера. Сервер только прослушивает входящие запросы на подключение от клиента и отправляет пакет обратно клиенту только в том случае, если поступил первоначальный запрос от клиента. Таким образом, без переадресации портов на WAN-маршрутизаторе, как описано выше, сервер L2TP никогда не получит первоначальный запрос ни от одного клиента.

Конечные точки IPsec, напротив, называются "равноправными", чтобы выразить их равенство; оба могут отправить первоначальный запрос на соединение и оба могут ответить на него. Эта функция обычно бесполезна, когда IPsec используется для защиты L2TP, поэтому, когда конфигурация IPsec на стороне сервера L2TP создается динамически, peer устанавливается как «пассивный», т.е. входящие первоначальные запросы, но не отправлять свои собственные.

Узел IPsec обычно использует один и тот же порт для отправки собственных запросов и для ожидания запросов от другого узла. Это означает, что если одноранговый узел IPsec является устройством локальной сети и если маршрутизатор глобальной сети не заменяет исходный порт в исходном пакете IPsec, отправляемом устройством локальной сети, если каждый одноранговый узел отправляет свой первоначальный запрос на адрес и порт другого узла. , его WAN-маршрутизатор обработает исходный пакет другого маршрутизатора в качестве ответа на исходный запрос, отправленный локальным маршрутизатором, и доставит его.

Поэтому, чтобы это заработало, вам нужно настроить IPsec вручную, согласно сообщению, на которое я ссылался ранее. Будете ли вы затем использовать L2TP или другой тип туннеля, или вместо этого будете использовать голый IPsec с сопоставлением политик, — это еще один вопрос, к которому мы можем вернуться позже, когда вы подтвердите, что основы работают.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Пт, 26 марта 2021 г., 10:01

Спасибо, Синди, за потраченное время и предложенный вклад!

Как насчет этого (на основе): «…Поскольку пять кортежей (общедоступный локальный IP-адрес, общедоступный локальный порт, удаленный IP-адрес, удаленный порт, IP-протокол) должны быть уникальными для каждого отслеживаемого соединения…»

Предположим, что у вас есть 2 клиента, подключающихся к серверу по протоколу L2TP/IPsec со следующими характеристиками:

Клиентский (A) адрес интернет-провайдера 200.200.200.1 => LAN-адрес: 192.168.1.1
Клиент (B) ISP-адрес 300.300.300.1 => LAN-адрес: 192.168.1.1

Теоретически я понимаю, что пароли, разные DDNS, разные пароли и следующие настройки:
PPP/Secrets: (локальный адрес + удаленный адрес + маршруты) будут разными, например. для Клиента (A): Локальный адрес: 192.168.100.1 / Удаленный адрес = 192.168.100.2 / Маршруты = 192.168.1.1 192.168.100.2
И соответственно:
для клиента (B) ): Локальный адрес: 192.168 .110.1 / Удаленный адрес = 192.168.110.2 / Маршруты = 192.168.1.1 192.168.110.2

Как вы можете подключиться (например, из Winbox), находясь на сервере, к любому из клиентов? Каждое соединение будет иметь уникальные характеристики, но локальная сеть (и IP-адрес) каждого клиента будет одинаковой (192.168.1.1)

Вы пытаетесь подключиться через 192.168.100.2 для клиента (A) и 192.168.110.2 для (B)?

Я спрашиваю об этом, потому что в будущем у меня может быть много клиентов на этом сервере с локальной сетью 192.168.1.x без возможности что-либо с этим поделать.

Согласно вашему предыдущему сообщению, я понимаю пункты 1 и 2, 3-4-5 меня немного смущают (но дайте мне поработать с этим, и я отвечу вам).

У меня есть полный доступ к Серверу МТ и модему этого интернет-провайдера, но нет никакого доступа к модему на стороне клиента. Я могу настроить у себя на месте МТ, который пойдет за сторону клиента и отгрузит его, но тогда не будет к нему физического доступа. Вот почему я ищу способы создать успешный L2TP/Ipsec между ними без переадресации портов и иметь возможность получить доступ к клиентскому MT из (WinBox), когда он находится на стороне сервера (при условии, что между ними есть успешная связь). < /p>

Кроме того, я не знаю, ROS 6.48.1 это или я, но установление связи между местоположениями L2TP/IPSEC оказалось «сложным». В трех случаях с участием 1 сервера и трех клиентов: клиент (A) относительно легко установил соединение (пришлось перезапустить оба маршрутизатора), клиент (B) доставил мне проблемы на стороне сервера, не получая исходный адрес (он сказал @ IP/IPsec /Policies Src.Address: 0.0.0.0) потребовалось несколько перезапусков маршрутизатора, отключение пиров и удостоверений, их повторное включение и т. д., и в конце концов связь была установлена.

С клиентом (C) связь отказывается устанавливаться несмотря ни на что! Вначале он показывал то же поведение, что и клиент (B), затем я сдался после нескольких попыток и усилий и отключил все настройки с обеих сторон. примерно через час я вернулся и повторно включил соответствующие настройки с обеих сторон, и на стороне сервера был IP-адрес (вместо отображения 0.0.0.0), теперь он показывает активное соединение (в активных узлах), но не видит любые установленные SA! В логах написано "предложение не выбрано". Что ж, я выбрал его, и настройки одинаковы с обеих сторон. Я также отключил DPD для проверки, но ничего не сделал.

В этой статье вы узнаете, как быстро настроить RouterOS MikroTik для работы в простом варианте, который подходит для многих небольших офисов, домашней сети и т. д.

IP-адреса локальной сети:

  • Микротик — 192.168.0.1
  • ПК 5 – 192.168.0.2
  • ПК 4 – 192.168.0.10
  • ПК 1 – 192.168.0.20
  • ПК 2 – 192.168.0.21
  • ПК 3 – 192.168.0.22

Провайдер может предоставить вам как белый, так и серый IP-адрес, например, в нашем случае это серый адрес где-то в локальной сети провайдера.

Шаг 1. Подключимся к роутеру локально к консоли, и чтобы защитить пользователя «admin» от обрыва, отключим его, а вместо него создадим нового.

зайти под новым пользователем и отключить администратора

Шаг 2. Настройка интерфейса.

Есть несколько способов, первый - использовать мастер, второй - установить вручную.

Сначала попробуем настроить интерфейсы с помощью мастера. Введите настройку команды.

Нажмите a, во всплывающем меню нажмите a, введите имя первого интерфейса, укажите IP-адрес.

Это будет интерфейс провайдера. Также укажите второй интерфейс для LAN и адрес для него.

Теперь укажите шлюз по умолчанию, выберите кнопкой g и введите адрес.

Выйти из меню второго уровня (клавиша x), а из первого (клавиша x), настройки ip адресов сохранены, шлюз по умолчанию прописан.

Попробуем второй вариант настройки - вручную.

Просмотреть список доступных интерфейсов.

Активируйте интерфейс 0, который будет подключаться к провайдеру и задайте ему ip адрес.

Проделайте ту же процедуру с локальным интерфейсом.

Наконец добавьте шлюз по умолчанию.

Теперь можно продолжить изменять настройки с помощью графической оболочки «winbox», но так как мы начали с консоли, то пройдем с ней до конца, а затем повторим то, что сделали с шага 3, но в графическом интерфейсе.

Шаг 3. Настройка DNS.

Шаг 4. Настройка доступа в Интернет.

Сначала включите маскарад.

Добавить правила для пакетов услуг.

Затем добавьте правила для компьютера PC4.

Повторите эти правила для каждой машины, как в шаблоне.

И, наконец, запретить все остальное, что не было разрешено выше.

Шаг 5. Входящие.

Если мы говорим об абсолютном минимуме и простоте, то это было так. Какие действия были предприняты?

  • Включены два интерфейса: ether1 и ether2.
  • Интерфейсам были назначены IP-адреса.
  • Выбран шлюз по умолчанию.
  • Указан DNS-сервер.
  • Правила были прописаны для машин с неограниченным доступом.
  • Прописаны правила для машин с ограниченным доступом к портам.
  • Прописаны правила для NAT-доступа извне к веб-серверам и почтовым серверам.

Теперь вернемся к шагу №3 и проделаем те же действия, но уже в графической среде «winbox», для ее загрузки заходим в веб-интерфейс своего микротика под названием «webbox» и скачиваем программу с домашней страницы.< /p>

Запускаем, указываем адрес локальной сети, который был присвоен второму интерфейсу, имя пользователя и пароль, которые были созданы в начале.


< бр />

Шаг 3. Настройка DNS.

Графический интерфейс не намного сложнее, чем в консоли. Выберите в главном меню раздел «IP» и подменю «DNS».


< бр />

Здесь вы можете определить статические записи DNS, а также просмотреть, что сейчас находится в кеше. Нажмите на кнопку «Настройки» и укажите адреса DNS-серверов.


< бр />

Шаг 4. Настройка доступа в Интернет.

Включите маскировку. IP «Главное меню», подменю «брандмауэр», вкладка NAT.


< бр />

Чтобы добавить новую запись, нажмите на значок плюса. А дальше все так же, как и в консоли, на вкладке «Общие» цепочка = srcnat, «Out interface = ether2» и ставим галочку, что означает НЕТ, вкладка «Действие» и выбираем «masquerade».


< бр />

В главном меню выберите раздел «IP», затем «брандмауэр», в появившемся окне выберите вкладку «Правила фильтрации». Чтобы добавить новое расписание, нажмите на знак плюс.


< бр />


< бр />

Разрешить исходящие соединения с адреса 192.168.0.2 на любой адрес на целевом порту 25 по протоколу TCP.


< бр />

И, наконец, запретить все остальное, что не было разрешено выше.

Шаг 5. Входящие.

В главном меню выберите раздел «IP», затем «брандмауэр», в появившемся окне выберите вкладку «Правила фильтрации». Чтобы добавить новое расписание, нажмите на знак плюс.


< бр />

Перенаправлять все подключения, приходящие на внешний адрес 192.168.1.116 по протоколу tcp, порт 25 на локальный адрес 192.168.0.2 по порту 25.

По такому же принципу строятся все остальные правила.

Из написанного выше видно, что любое действие можно совершить как минимум двумя вариантами, пообщавшись с MikroTik с помощью текстовых команд или мышью в графическом интерфейсе. Оба метода имеют свои плюсы и минусы.

Консоль работает быстрее даже на очень низком канале, графическая оболочка загружает к себе интерфейсные модули еще до старта, а потом в процессе создает много трафика.

Работать с консолью, безусловно, тяжело, но когда понимаешь команды и принцип работы, становится не так важно, какой интерфейс используется для настройки.

Добрый день! Господа, помогите советом/решением. Есть локальная сеть, нужно некоторым клиентам давать белый IP адрес. Посоветовали PPPoE. Собственно прочитал, потыкал - настроил. Клиент настраивает роутер, вводит логин/пароль, подключается. НО! Если делать запрос снаружи - падают как надо, по публичному адресу на веб интерфейс роутера, но если сидеть за роутером в сети и проверять свой внешний айпи, то видим адрес PPPoE сервера, не тот, который назначен роутеру. Как быть?

  • 2 Как исправить ошибку (не указывает на допустимый jvm) в Intellij IDEA при открытии файлов через контекстное меню?
  • 3 Как сделать древовидную структуру комментариев?
  • 4 Как разделить интерфейс и серверную часть в PHP?
  • 2 Проверить наличие объекта dB в Django?
  • 1 Как узнать, какой домен был для скрипта?
  • 1 Как сделать скользящий баннер вверху страницы?
  • 3 Чьими руками писать статьи для сайта?
  • 5 Как собрать два компьютера с разными ОС?

В общем, задал себе и ответ. Проблема была в Нейте! Все входящие адреса натилие, т.к. клиенты уходили на улицу с моего ИПС. Решил простое правило:
/ip fi nat add chain=srcnat action=accept src-address=place-before=0

Теперь все работает как надо.

Ничего особенного, создал сервер, отключил шифрование и т.д. TCP MSS да.Локальный адрес — адрес удаленного адреса клиента сервера PPPoE — это общедоступный IP-адрес, предоставленный провайдером. Больше ничего не делалось. - прокомментировал Craig_Labadie 11 сентября 19 в 17:37

: профиль сервера: name="2048k/4096k" local-address=aa.bb.cc.194 use-mpls=no use-compression=no use-encryption=no only-one=yes change-tcp-mss =yes use-upnp=ограничение скорости по умолчанию="2048k/4096k" address-list="" on-up="" on-down=""

профиль пользователя: test pppoe test 2048k/4096k aa.bb.cc.196 - прокомментировал Craig_Labadie 11 сентября 19 в 17:40

пока кажется правильным написать, что лучше бы всей CNF увидели, где проблема неясна, - прокомментировал Микель 11 сентября 19 в 17:43

Просьба кинуть, или требуется вывод запроса. Я опубликую. Просто в принципе больше кидать нечего, остальные настройки с сервера Mikrotik PPPoE по умолчанию. С помощью быстрой настройки устанавливается статика и мост LAN. - прокомментировал Craig_Labadie 11 сентября 19 в 17:46

Читайте также: