Jak otworzyć dostęp do serwera. Jak zalogować się przy użyciu zewnętrznego adresu IP z sieci lokalnej do MikroTika

Uwaga! Należy zachować ostrożność tworząc zdalnie reguły blokujące dostęp do serwera poprzez adres IP! Nie blokuj się przypadkowo ;-)

Otwórz sekcję zarządzania lokalna polityka bezpieczeństwo ( Bezpieczeństwo lokalne Polityka). W tym celu kliknij menu Start => Narzędzia administracyjne => Polityka bezpieczeństwa lokalnego.

W wyświetlonym oknie kliknij gałąź prawym przyciskiem myszy „Polityka bezpieczeństwa IP wł komputer lokalny» (Zasady bezpieczeństwa IP na komputerze lokalnym). Z menu kontekstowego wybierz „Dodaj politykę bezpieczeństwa” (Utwórz politykę bezpieczeństwa).



Uruchomi się Kreator tworzenia nowej polityki bezpieczeństwa. Kliknij "Dalej" (Następny).



W kolejnym kroku wpisz nazwę nowej polisy. Na przykład „Blokowanie niechcianych adresów IP”. Opis jest opcjonalny. Kliknij "Dalej" (Następny).



Następnie usunąć opcja „Aktywuj regułę domyślną” (Aktywuj domyślną regułę odpowiedzi) i naciśnij "Dalej" (Następny).



NA ostatni krok zostaw wszystko bez zmian i kliknij przycisk "Gotowy" (Skończyć).



Otworzy się okno właściwości utworzonego profilu. Na karcie "Zasady" (Zasady), odznacz tę opcję „Użyj kreatora” (Użyj Kreatora dodawania) i kliknij przycisk "Dodać" (Dodać).


Pojawi się okno „Nowe parametry reguły” (Nowe właściwości reguły). Na karcie „Filtr adresów IP” (Lista filtrów IP) kliknij przycisk "Dodać" (Dodać).


W wyświetlonym oknie, w polu "Nazwa" (Nazwa) Wprowadź nazwę grupy adresów IP do zablokowania. Na przykład: „Blokuj atak”. Odznacz opcję „Użyj kreatora” (Użyj Kreatora dodawania) i kliknij przycisk "Dodać" (Dodać).



W oknie właściwości filtra IP, na zakładce „Adresy” (Adresy) W rozdziale "Źródło" (Adres źródłowy) Zostawić „Mój adres IP” (Mój adres IP).

W rozdziale "Miejsce docelowe" (Adres przeznaczenia) wybierać „Konkretny adres IP” (Konkretny adres IP) Lub „Podsieć” (Określona podsieć IP) i określ adresy IP, którym chcesz zabronić dostępu do serwera.

Opcja "Lustro" (Lustrzane) zostaw to na.


Na karcie "Protokół" (Protokół) możesz wybrać protokół, dla którego będzie obowiązywał filtr. Domyślnie filtr będzie używany dla wszystkich protokołów.


Na karcie "Opis" (Opis) możesz podać opis filtra. Opis ten zostanie wykorzystany na liście filtrów, aby ułatwić Ci późniejsze odnalezienie filtra. Najlepiej w opisie podać adres IP, który ma być blokowany.


Kliknij przycisk "OK" aby utworzyć filtr. Wrócisz przez okno „Lista filtrów IP” (Lista filtrów IP), w którym pojawi się nowo utworzony filtr.



Kliknij przycisk "OK" aby zamknąć listę filtrów IP. Wrócisz przez okno „Nowe parametry reguły” (Nowe właściwości reguły). Nowo utworzona lista pojawi się na liście list filtrów IP. Wybierz to.


Przejdź do zakładki "Działania" (Akcja filtra). Odznacz opcję „Użyj kreatora” (Użyj Kreatora dodawania) i kliknij przycisk "Dodać" (Dodać).


W wyświetlonym oknie, na zakładce "Ochrona" (Metody bezpieczeństwa) ustaw opcję "Blok" (Blok).


Przejdź do zakładki "Ogólny" (Ogólny) i w terenie "Nazwa" (Nazwa) podaj nazwę akcji. Na przykład: "Blok".


Kliknij przycisk "OK". Nowo utworzona akcja pojawi się na liście akcji. Wybierz to.


Kliknij przycisk "OK".

To wszystko, polityka została stworzona. Aby ją aktywować, kliknij prawym przyciskiem myszy nazwę profilu i wybierz z menu kontekstowego "Aktywuj" (Przydzielać).



Podobnie poprzez menu kontekstowe możesz wyłączyć utworzoną politykę.

Możesz łatwo dodać niechciane do właściwości utworzonej polityki. Adresy IP.

Możesz połączyć swój komputer z serwerem przez Internet za pomocą VPN (Virtual Private Network). Umożliwi to prawidłowe rozdystrybuowanie zasobów sieci zdalnej, a także skonfigurowanie serwera we właściwej kolejności.

Instrukcje

  • Skonfiguruj system Windows, aby poprawnie łączył się z serwerem. Zazwyczaj oprogramowanie wymagane do Tworzenie VPN, dołączony do systemu operacyjnego Serwer Windows. Lepiej go zainstalować, aby nie kupować dodatkowego sprzętu sieciowego.
  • Uruchom system Windows Server i kliknij przycisk Start, wybierz Programy, Narzędzia administracyjne i Kreator konfiguracji serwera. Otwarty " Zdalny dostęp/VPN-North” na liście usług.
  • Kliknij kółko po lewej stronie wirtualnego szeregowca Sieć VPN i NAT”. Wybierz kartę sieciową łączącą komputer z Internetem, jeśli jest dostępna.
  • Wybierz opcję automatycznego przypisywania adresu IP. Wybierz opcję Nie, użyj routingu i dostępu zdalnego do uwierzytelniania żądań połączeń, aby przejść do strony Zarządzaj wieloma serwerami dostępu zdalnego.
  • Kliknij przycisk Start, wybierz Programy, Narzędzia administracyjne i otwórz Aktywni użytkownicy i komputery.” Przejdź do sekcji „Dostęp zdalny” i przejdź do zakładki „Właściwości”. Określ „Zezwalaj na dostęp” dla każdego użytkownika, któremu chcesz zezwolić na dostęp do serwera przez VPN.
  • Przejdź do nazwy komputera, który chcesz połączyć z serwerem przez Internet. Naciśnij klawisz „Start”, otwórz „Panel sterowania”, następnie „Sieć i Internet”, „Centrum sieci i przełączania” i „Skonfiguruj nowe połączenie lub sieć”.
  • Wybierz „Połączenie w miejscu pracy”, „Użyj mojego połączenia internetowego” i wprowadź adres IP routera, aby połączyć się z nim serwerem. Aby znaleźć ten adres, otwórz stronę konfiguracji routera.
  • Wprowadź swoją nazwę użytkownika i hasło dla konto, za pośrednictwem którego uzyskuje się dostęp do VPN. Aby połączyć się z serwerem, użyj połączenia VPN.
    • Oceń artykuł!

    Procedura otwarcia dostępu do serwera polega na udostępnieniu wybranego folderu sieciowego lub udostępnieniu tego folderu. Problem jest w trakcie rozwiązywania standardowe środki System operacyjny Windows i nie wymaga żadnych dodatkowych oprogramowanie. W tym przypadku rozważamy system Windows Server 2003.

    Instrukcje

    Wywołaj główne menu systemu, klikając przycisk „Start” i przejdź do „Wszystkie programy”. Rozwiń link „Standard” i uruchom aplikację „ Eksplorator Windows" Znajdź folder, do którego chcesz przyznać dostęp i wywołaj jego menu kontekstowe, klikając prawy przycisk myszy. Wybierz „Właściwości” i zaznacz pole wyboru w linii „Otwórz”. ogólny dostęp do tego folderu” w otwartym oknie dialogowym.

    Wpisz żądaną nazwę dla tworzonej nazwy. zasób sieciowy w wierszu „Udostępnij” i zaznacz pole wyboru w wierszu „Maksymalnie możliwe” w sekcji „Limit użytkowników”. Kliknij przycisk „Uprawnienia”, aby dodać użytkowników mających dostęp do wybranego folderu i użyj polecenia „Dodaj”. Wybierz żądanego użytkownika z listy w nowym oknie dialogowym i użyj pola wyboru, aby zdefiniować uprawnienia dostępu:

    Pełny dostęp;
    - zmiana;
    - czytanie.

    Potwierdź swój wybór klikając OK.

    Pamiętaj, że możesz dokonać zaawansowanych ustawień uprawnień dostępu, klikając przycisk „Zaawansowane”. Odznacz linię „Zezwól na dziedziczenie…”, w przeciwnym razie wybrany użytkownik otrzyma uprawnienia z wyższego poziomu (zwykle z dysku, na którym wszyscy mają domyślnie ustawioną opcję „Tylko do odczytu”). Zastosuj checkbox w wierszu „Zamień uprawnienia” i potwierdź zapisanie wprowadzonych zmian, klikając przycisk „Zastosuj”. Należy pamiętać, że czas, jaki może zająć proces przydzielania uprawnień, zależy nie od rozmiaru, ale od ilości plików w folderze. Dlatego może to zająć dość dużo czasu. Poczekaj na zakończenie procesu i powtórz powyższą procedurę dla każdego użytkownika lub grupy użytkowników, którzy muszą uzyskać dostęp do serwera.

    Tylko nieliczni użytkownicy wiedzą, że można skonfigurować domową sieć lokalną w taki sposób, aby wszystkie wchodzące w jej skład komputery miały dostęp do Internetu bez konieczności zakupu drogiego sprzętu.


    Będziesz potrzebować

    Instrukcje

    Najpierw wybierz komputer, który będzie bezpośrednio podłączony do Internetu. W tym przypadku jest on zainstalowany system operacyjny Windows Vista. Jeśli ten komputer ma tylko jedną kartę sieciową, kup drugą kartę sieciową. Konieczne będzie podłączenie dwóch komputerów do sieci lokalnej.

    Kup kabel sieciowy o wymaganej długości. Połączcie się ze sobą za jego pomocą karty sieciowe oba komputery. Podłącz kabel dostawcy do drugiej karty sieciowej wybranego komputera. W tym przypadku sposób uzyskania dostępu do Internetu (przez port LAN lub modem DSL) jest zupełnie nieistotny.

    Włącz pierwszy komputer. Otwórz listę dostępnych połączenia sieciowe. Wybierz kartę sieciową podłączoną do drugiego komputera. Otwórz jego właściwości. Wybierz „Protokół internetowy TCP/IPv4”. Kliknij przycisk Właściwości. Podświetl opcję „Użyj następującego adresu IP”. Ustaw w tym celu wartość IP adapter sieciowy, równy 25.25.25.1.

    Skonfiguruj połączenie internetowe, jeśli ta operacja nie została jeszcze wykonana. Przejdź do właściwości tego połączenia. Wybierz kartę Dostęp. Znajdź opcję „Zezwalaj komputerom na korzystanie z tego połączenia internetowego”. lokalna sieć" Określ sieć, którą tworzą dwa komputery. Zapisz swoje ustawienia.

    Włącz drugi komputer. Otwórz listę dostępnych połączeń sieciowych. Przejdź do właściwości protokołu TCP/IPv4. Jeśli na drugim komputerze działa system Windows XP, potrzebny jest protokół TCP/IP.

    Aktywuj opcję „Użyj następującego adresu IP”. Wpisz jego wartość równą 25.25.25.5. Naciśnij klawisz Tab, aby automatycznie uzyskać maskę podsieci. Znajdź opcje „Brama domyślna” i „Preferowany serwer DNS”. Wypełnij je adresem IP pierwszego komputera. Zapisz ustawienia sieciowe.

    Załóżmy, że go skonfigurowałeś i wszystko działa dobrze z sieci zewnętrznej. Czasami jednak może zaistnieć potrzeba zorganizowania dostępu do komputera lub serwera za pomocą zewnętrznego adresu IP nie tylko z zewnątrz, ale także z sieci lokalnej. W tym przypadku wykorzystywany jest tzw. Hairpin NAT lub NAT LoopBack – wysyłanie i odbieranie pakietów przez ten sam interfejs routera, zmiana adresów z lokalnego na zewnętrzny i odwrotnie. Spójrzmy na niezbędne ustawienia.

    Powiedzmy, że mamy:

    1. Router z zewnętrznym adresem IP (WAN IP) 1.1.1.1.
    2. Komputer z adresem lokalnym 192.168.88.229 i działającym na nim serwerem, aplikacją itp. umożliwiającym dostęp z sieci zewnętrznej. W naszym przypadku do połączenia używany jest port 8080.
    3. Komputer w sieci lokalnej o adresie 192.168.88.110.

    Mamy już skonfigurowaną regułę przekierowania dla portu 8080:



    Ale to nie będzie działać, jeśli uzyskasz dostęp z sieci LAN, ponieważ ustawienia skupiają się na pakietach z sieci zewnętrznej, za pośrednictwem portu WAN. Dlatego musimy określić jeszcze 2 reguły.

    Konfigurowanie dostępu z sieci lokalnej przy użyciu zewnętrznego adresu IP

    1. Utwórz regułę przekierowującą żądania przez zewnętrzny adres IP z sieci lokalnej.

    Zakładka Ogólne.

    Łańcuch- dstnat.

    Src. Adres- wpisz tutaj lokalny adres komputera, z którego będziemy się łączyć poprzez zewnętrzne IP, lub zakres adresów, jeżeli taki dostęp ma być zapewniony kilku komputerom w sieci.

    Dst. Adres- wskazać adres zewnętrzny komputera/serwera itp., który będzie używany do dostępu z obszaru lokalnego.

    Protokół, Dst. Port- tutaj podajemy parametry portu i protokołu, które odpowiadają naszemu połączeniu (tak samo jak w przypadku przekierowania portów).


    Zakładka Akcja.

    Do adresów- wskazać adres lokalny naszego serwera, komputera, do którego uzyskujemy dostęp za pomocą zewnętrznego adresu IP.

    Do portów - Port jest taki sam jak w poprzedniej zakładce, zatem nie trzeba tutaj niczego określać.


    Teraz możesz zalogować się do komputera 192.168.88.229z sieci lokalnejprzez zewnętrzny adres IP 1.1.1.1.

    Ale jeśli spróbujesz w jakiś sposób nawiązać z nim interakcję, nic nie zadziała. Dlaczego? Zobaczmy co się stanie.

    • Nasz komputer (192.168.88.110) wysyła pakiet na zewnętrzny adres serwera, który jest jednocześnie adresem routera, odpowiednio - 1.1.1.1.
    • Router wiernie przekierowuje go zgodnie z naszą regułą dst-nat na komputer o adresie 192.168.88.229.
    • Akceptuje to i wysyła odpowiedź. Ponieważ jednak jako adres źródłowy widzi lokalny adres IP (w końcu pakiet przyszedł z komputera w sieci lokalnej), odpowiedź wysyła nie do routera, ale bezpośrednio do odbiorcy.
    • Odbiorca (192.168.88.10) wysyła dane poprzez zewnętrzny adres IP i również oczekuje odpowiedzi z zewnętrznego adresu IP. Po otrzymaniu pakietu z lokalnego adresu 192.168.88.229 po prostu odrzuca go jako niepotrzebny.


    Dlatego potrzebujemy jeszcze jednej reguły, która zastąpi lokalny adres źródłowy podczas wysyłania pakietu na zewnętrzny adres IP.

    2. Zastąp adres komputera lokalnego zewnętrznym adresem IP.

    W zakładce Akcja ustaw maskaradę, czyli zastąpienie adresu źródłowego adresem lokalnym routera.

    W zakładce Ogólne określamy zasady, na jakich będzie on stosowany:

    Łańcuch- srcnat, czyli dla żądań z sieci lokalnej.

    Src. Adres- wpisz tutaj adres lokalny komputera, czyli zakres adresów, z których będą wysyłane pakiety.

    Dst. Adres- tutaj podajemy „adres odbiorcy”, czyli reguła będzie dotyczyć tylko pakietów adresowanych do naszego serwera.

    Protokół, Dst. Port- tutaj podajemy te same parametry portu i protokołu.



    Teraz po odebraniu z sieci lokalnej pakietu zaadresowanego na zewnętrzny adres IP 1.1.1.1 router nie tylko przekieruje go na 192.168.88.229 (zgodnie z pierwszą zasadą), ale także zastąpi adres źródłowy (192.168.88.110) w pakiet z jego adresem lokalnym.

    Odpowiedź z serwera nie zostanie zatem wysłana bezpośrednio do sieci lokalnej, ale do routera, który z kolei przekaże ją do źródła.


    Druga metoda Hairpin NAT MikroTik: 2 reguły zamiast 3

    Możesz to jeszcze uprościć, zastępując regułę przekierowania portów pierwszą regułą NAT Hairpin. W takim przypadku nie musisz określać In w ustawieniach. Interfejs i adres źródłowy, ale musisz określić adres docelowy.

    Dostęp do zewnętrznego adresu IP Twojego serwera lub komputera z aplikacją będzie otwarty zarówno dla połączeń z zewnątrz, jak i z sieci lokalnej, z dowolnych adresów, ale tylko dla pakietów o adresie docelowym 1.1.1.1:80.

    Teraz dodaj opisaną powyżej regułę srcnat i gotowe. Możesz dodać dodatkowe filtrowanie, określając w interfejsie wyjściowym interfejs, z którego pakiety będą wysyłane, jeśli zajdzie taka potrzeba.

    Jedyną wadą Hairpin NAT jest to, że zwiększa się obciążenie routera, ponieważ połączenia, które wcześniej przechodziły przez sieć lokalną bezpośrednio między komputerami, będą teraz przechodzić przez router.

    Druga metoda jest prostsza, ale w zależności od konfiguracji sieci można zastosować również pierwszą metodę.

    UPD: ponownie przetestowaliśmy metody konfiguracji opisane w tym artykule na przykładzie. a także ustawienie sugerowane w komentarzach. Wszyscy są pracownikami.


    strona internetowa