Ako otvoriť prístup na server. Ako získať prístup k externej IP adrese z lokálnej siete pre MikroTik

Pozor! Pri vytváraní pravidiel na blokovanie prístupu na server na diaľku pomocou IP by ste mali byť opatrní! Neblokuj sa náhodou ;-)

Otvorte sekciu správy miestnej politiky bezpečnosť ( miestna bezpečnosť politika). Ak to chcete urobiť, stlačte ponuku Štart => Nástroje na správu => Miestna bezpečnostná politika.

V zobrazenom okne kliknite pravým tlačidlom myši na vetvu "Zásady zabezpečenia IP sú zapnuté lokálny počítač» (Bezpečnostná politika IP na lokálnom počítači). Z kontextovej ponuky vyberte "Pridať zásady zabezpečenia" (Vytvorte bezpečnostnú politiku).



Spustí sa Sprievodca novou bezpečnostnou politikou. Kliknite "ďalej" (Ďalšie).



V ďalšom kroku zadajte názov novej politiky. Napríklad "Blokovať nechcené adresy IP". Popis je voliteľný. Kliknite "ďalej" (Ďalšie).



Potom vzlietnuť možnosť "Aktivovať predvolené pravidlo" (Aktivujte predvolené pravidlo odpovede) a stlačte "ďalej" (Ďalšie).



Na posledný krok nechajte všetko tak a kliknite na tlačidlo "pripravený" (Skončiť).



Otvorí sa okno vlastností pre vytvorenú politiku. Na karte "pravidlá" (pravidlá), zrušte začiarknutie možnosti "Použiť majstra" (Použite Sprievodcu pridaním) a kliknite na tlačidlo "Pridať" (Pridať).


Zobrazí sa okno "Možnosti nových pravidiel" (Vlastnosti nového pravidla). Na karte "Filter IP adries" (Zoznam filtrov IP) kliknite na tlačidlo "Pridať" (Pridať).


V zobrazenom okne v poli "Názov" (názov) zadajte názov skupiny blokovaných IP adries. Napríklad: "Blok útoku". Odstrániť možnosť "Použiť majstra" (Použite Sprievodcu pridaním) a kliknite na tlačidlo "Pridať" (Pridať).



V okne vlastností filtra IP na karte "Adresy" (Adresy) V kapitole "zdroj" (zdrojová adresa) odísť "Moja IP adresa" (Moja IP adresa).

V kapitole "Destinácia" (Adresa miesta určenia) vyberte "Špecifická adresa IP" (Konkrétna IP adresa) alebo "Podsieť" (Špecifická podsieť IP) a zadajte adresy IP, ktorým chcete zakázať prístup k serveru.

možnosť "zrkadlo" (zrkadlovo) nechajte povolené.


Na karte "Protokol" (Protokol), môžete vybrať protokol, pre ktorý bude filter platiť. V predvolenom nastavení sa filter použije pre všetky protokoly.


Na karte "popis" (Popis) môžete zadať popis filtra. Tento popis sa použije v zozname filtrov, aby ste neskôr uľahčili nájdenie filtra. Ako popis je najlepšie uviesť blokujúcu IP adresu.


Kliknite na tlačidlo Dobre na vytvorenie filtra. Vrátite sa k oknu "Zoznam IP filtrov" (Zoznam filtrov IP), ktorý zobrazí filter, ktorý ste práve vytvorili.



Kliknite na tlačidlo Dobre zatvorte zoznam filtrov IP. Vrátite sa k oknu "Možnosti nových pravidiel" (Vlastnosti nového pravidla). Zoznam zoznamov filtrov IP, ktoré ste práve vytvorili, sa zobrazí v zozname zoznamov filtrov IP. Vyberte to.


Prejdite na kartu "akcie" (Akcia filtra). Odstrániť možnosť "Použiť majstra" (Použite Sprievodcu pridaním) a kliknite na tlačidlo "Pridať" (Pridať).


V zobrazenom okne na karte "ochrana" (Bezpečnostné metódy) nastavte možnosť "blok" (blokovať).


Prejdite na kartu "generál" (generál) a v teréne "Názov" (názov) zadajte názov akcie. Napríklad: "blok".


Kliknite na tlačidlo Dobre. Novovytvorená akcia sa zobrazí v zozname akcií. Vyberte to.


Kliknite na tlačidlo Dobre.

Všetko, politika je vytvorená. Ak ju chcete aktivovať, kliknite pravým tlačidlom myši na názov politiky a vyberte z kontextovej ponuky "Aktivovať" (Priradiť).



Podobne cez kontextové menu môžete vytvorenú politiku zakázať.

Vo vlastnostiach vytvorenej politiky môžete jednoducho pridať nechcené IP adresy.

Počítač môžete pripojiť k serveru cez internet pomocou VPN (Virtual Private Network). To vám umožní správne distribuovať zdroje vzdialenej siete, ako aj nakonfigurovať server v správnom poradí.

Inštrukcia

  • Nastavte systém Windows na správne pripojenie k serveru. Zvyčajne softvér potrebný pre vytvorenie VPN, ktorý je súčasťou operačného systému Windows Server. Je lepšie ho nainštalovať, aby ste si nezakúpili ďalšie sieťové vybavenie.
  • Spustite systém Windows Server a kliknite na tlačidlo Štart, vyberte položku Programy, Nástroje na správu a Sprievodca konfiguráciou servera. OTVORENÉ " Vzdialený prístup/ VPN-North" v zozname služieb.
  • Kliknite na kruh naľavo od virtuálneho súkromia sieť VPN a NAT. Vyberte sieťový adaptér, ktorý pripája počítač k internetu, ak je k dispozícii.
  • Vyberte možnosť automatického priradenia adresy IP. Ak chcete prejsť na stránku Správa viacerých serverov vzdialeného prístupu, zadajte „Nie, na overenie žiadostí o pripojenie použiť smerovanie a vzdialený prístup“.
  • Kliknite na tlačidlo "Štart", vyberte "Programy", "Nástroje na správu" a otvorte " Aktívni používatelia a počítačov. Prejdite do časti „Vzdialený prístup“ a prejdite na kartu „Vlastnosti“. Zadajte "Povoliť prístup" pre každého používateľa, ktorému chcete povoliť prístup k serveru cez VPN.
  • Prejdite na názov počítača, ktorý sa chcete pripojiť k serveru cez internet. Stlačte tlačidlo "Štart", otvorte "Ovládací panel", potom "Sieť a internet", "Centrum sietí a prepínania" a "Nastaviť nové pripojenie alebo sieť".
  • Vyberte Workplace Connection, Use My Internet Connection a zadajte IP adresu smerovača, ku ktorému sa chcete pripojiť k serveru. Ak chcete zistiť túto adresu, otvorte konfiguračnú stránku smerovača.
  • Zadajte používateľské meno a heslo pre účtu cez ktorý sa pristupuje k VPN. Na pripojenie k serveru použite pripojenie VPN.
    • Ohodnoťte tento článok!

    Postup na otvorenie prístupu na server zahŕňa udelenie prístupu k vybranému sieťovému priečinku alebo zdieľanie priečinka. Problém je vyriešený štandardné prostriedky OS Windows a nevyžaduje žiadne ďalšie softvér. V tomto prípade sa uvažuje so systémom Windows Server 2003.

    Inštrukcia

    zavolajte hlavnému systémové menu kliknutím na tlačidlo Štart a prejdite na položku Všetky programy. Rozbaľte odkaz "Štandardné" a spustite " Prieskumník systému Windows". Nájdite priečinok, ktorému chcete udeliť prístup, a kliknutím pravým tlačidlom myši vyvolajte jeho kontextovú ponuku. Vyberte položku „Vlastnosti“ a začiarknite políčko v riadku „Otvoriť všeobecný prístup do tohto priečinka“, ktoré sa zobrazí.

    Zadajte požadovaný názov vytvoreného sieťový zdroj v riadku „Zdieľať“ a začiarknite políčko v riadku „Maximálne povolené“ v časti „Limit používateľa“. Kliknutím na tlačidlo "Povolenia" pridajte používateľov pristupujúcich k vybratému priečinku a použite príkaz "Pridať". Vyberte požadovaného používateľa zo zoznamu v novom dialógovom okne a začiarknutím políčka definujte prístupové práva:

    Úplný prístup;
    - zmeniť;
    - čítanie.

    Svoj výber potvrďte stlačením tlačidla OK.

    Po kliknutí na tlačidlo „Rozšírené“ venujte pozornosť možnosti rozšírených nastavení prístupových povolení. Zrušte začiarknutie riadku "Povoliť dedičstvo ...", pretože inak vybraný používateľ získa práva z vyššej úrovne (zvyčajne z disku, kde je predvolene nastavené "Iba na čítanie" pre všetkých). Použite zaškrtávacie políčko v riadku „Nahradiť povolenia“ a potvrďte uloženie vykonaných zmien kliknutím na tlačidlo „Použiť“. Majte na pamäti, že čas, ktorý môže trvať, kým prebehne proces prideľovania práv, nezávisí od veľkosti, ale od počtu súborov v priečinku. Preto to môže trvať pomerne dlho. Počkajte na dokončenie procesu a zopakujte vyššie uvedený postup pre každého používateľa alebo skupinu používateľov, ktorým chcete udeliť prístup k serveru.

    Len málo používateľov vie, že je možné nastaviť domácu lokálnu sieť tak, aby všetky počítače v nej zahrnuté mali prístup na internet bez toho, aby museli kupovať drahé zariadenia.


    Budete potrebovať

    Inštrukcia

    Najprv vyberte počítač, ktorý bude priamo pripojený k internetu. V tomto prípade má operačný systém Windows Vista. Ak má tento počítač iba jeden sieťový adaptér, zakúpte si druhú sieťovú kartu. Bude potrebné pripojiť dva počítače k ​​lokálnej sieti.

    Kúpte si sieťový kábel správnej dĺžky. Spojte to navzájom sieťové karty oba počítače. Pripojte kábel poskytovateľa k druhému sieťovému adaptéru vybraného počítača. V tomto prípade je spôsob prístupu na internet (cez LAN port alebo DSL modem) úplne irelevantný.

    Zapnite prvý počítač. Otvorte zoznam dostupných sieťové pripojenia. Vyberte sieťový adaptér, ktorý je pripojený k inému počítaču. Otvorte jeho vlastnosti. Vyberte "Internet Protocol TCP/IPv4". Kliknite na tlačidlo Vlastnosti. Zvýraznite možnosť Použiť nasledujúcu adresu IP. Na tento účel nastavte hodnotu IP sieťový adaptér, rovná 25.25.25.1.

    Ak táto operácia ešte nebola dokončená, nastavte internetové pripojenie. Prejdite na vlastnosti tohto pripojenia. Vyberte kartu „Prístup“. Vyhľadajte „Povoliť počítačom používať toto internetové pripojenie“ lokálna sieť". Zadajte sieť, ktorú tvoria vaše dva počítače. Uložte nastavenia.

    Zapnite druhý počítač. Otvorte zoznam dostupných sieťových pripojení. Prejdite na vlastnosti protokolu TCP/IPv4. Ak druhý počítač používa systém Windows XP, potrebujete protokol TCP/IP.

    Aktivujte možnosť „Použiť nasledujúcu adresu IP“. Zadajte jeho hodnotu rovnú 25.25.25.5. Stlačením klávesu Tab získate masku podsiete automaticky. Nájdite položky „Predvolená brána“ a „Preferovaný server DNS“. Vyplňte ich IP adresou prvého počítača. Uložte nastavenia siete.

    Povedzme, že ste nastavili a z externej siete všetko funguje správne. Niekedy však môže byť potrebné zorganizovať prístup k počítaču alebo serveru pomocou externej adresy IP nielen zvonku, ale aj z lokálnej siete. V tomto prípade sa používa takzvaný Hairpin NAT alebo NAT LoopBack – prijímanie a odosielanie paketov cez rovnaké rozhranie smerovača, so zmenou adries z lokálnej na externú a naopak. Poďme analyzovať potrebné nastavenia.

    Povedzme, že máme:

    1. Smerovač s externou IP (WAN IP) 1.1.1.1.
    2. Počítač s lokálnou adresou 192.168.88.229 a na ňom spustený server, aplikácia atď. na prístup z externej siete. V našom prípade sa na pripojenie používa port 8080.
    3. Počítač v lokálnej sieti s adresou 192.168.88.110.

    Už máme nakonfigurované pravidlo presmerovania portov 8080:



    Pri prístupe z lokálnej oblasti to však nebude fungovať, pretože nastavenia sú zamerané na pakety z externej siete cez port WAN. Preto musíme pridať ďalšie 2 pravidlá.

    Konfigurácia prístupu z lokálnej siete pomocou externej IP adresy

    1. Vytvorte pravidlo pre presmerovanie požiadaviek cez externú IP z lokálnej siete.

    Karta Všeobecné.

    reťaz- dstnat.

    src. Adresa- sem napíšeme lokálnu adresu počítača, z ktorého sa budeme prihlasovať cez externú IP, prípadne rozsah adries, ak takýto prístup treba poskytnúť viacerým počítačom v sieti.

    Dst. Adresa- zadajte externú adresu počítača / servera atď., ku ktorému sa bude pristupovať z lokálnej oblasti.

    protokol, dst. prístav- tu predpíšeme parametre portu a protokolu, ktoré zodpovedajú nášmu pripojeniu (rovnako ako pri presmerovaní portov).


    Záložka Akcia.

    Na adresy- uvádzame lokálnu adresu nášho servera, počítača, ku ktorému pristupujeme pomocou externej IP adresy.

    Do prístavov - port je rovnaký ako na predchádzajúcej karte, takže tu nemôžete nič nechať.


    Teraz môžete prejsť na počítač 192.168.88.229z lokálnej sieteexternou IP adresou 1.1.1.1.

    Ale keď sa s ním pokúsite komunikovať, nič sa nestane. prečo? Poďme sa pozrieť čo sa stalo.

    • Náš počítač (192.168.88.110) odošle paket na externú adresu servera, ktorá je zároveň adresou smerovača - 1.1.1.1.
    • Router ho verne presmeruje podľa nášho pravidla dst-nat na počítač s adresou 192.168.88.229.
    • Prijme to a pošle odpoveď. Keďže ale ako zdrojovú adresu vidí lokálnu IP adresu (napokon, paket prišiel z počítača v lokálnej sieti), odošle odpoveď nie smerovaču, ale priamo príjemcovi.
    • Príjemca (192.168.88.10) posiela údaje cez externú IP a odpoveď sa očakáva aj od externej IP. Po prijatí paketu z miestnej 192.168.88.229 ho jednoducho zahodí ako nepotrebný.


    Preto potrebujeme ďalšie pravidlo, ktoré nahradí lokálnu zdrojovú adresu pri odosielaní paketu na externú IP.

    2. Lokálnu adresu počítača nahradíme externou IP adresou.

    Na záložke Action nastavte maškarádu, t.j. zmeňte zdrojovú adresu na lokálnu adresu smerovača.

    Na karte Všeobecné predpisujeme pravidlá, podľa ktorých sa bude uplatňovať:

    reťaz- srcnat, t.j. pre požiadavky z lokálnej siete.

    src. Adresa- napíšeme sem lokálnu adresu počítača, prípadne rozsah adries, z ktorých budú pakety odosielané.

    Dst. Adresa- tu uvádzame „adresu príjemcu“, t.j. pravidlo sa uplatní len na pakety adresované na náš server.

    protokol, dst. prístav- tu predpisujeme rovnaké parametre portu a protokolu.



    Teraz, po prijatí paketu z lokálnej siete adresovaného na externú IP 1.1.1.1, ho router nielen presmeruje na 192.168.88.229 (podľa prvého pravidla), ale aj nahradí zdrojovú adresu (192.168.88.110) v paket s jeho lokálnou adresou.

    Odpoveď zo servera sa teda neodošle priamo do lokálnej siete, ale do smerovača, ktorý ju prepošle zdroju.


    Druhá cesta Hairpin NAT MikroTik: 2 pravidlá namiesto 3

    Môžete to ešte zjednodušiť nahradením pravidla presmerovania portov prvým pravidlom Hairpin NAT. V tomto prípade nemusíte v nastaveniach špecifikovať In. Rozhranie a Src Address, ale musíte napísať cieľovú adresu.

    Prístup k externej IP adrese vášho servera alebo počítača s aplikáciou bude otvorený pre volania zvonku aj z lokálnej siete, z ľubovoľných adries, ale len pre pakety s cieľovou adresou 1.1.1.1:80.

    Teraz pridajte pravidlo srcnat opísané vyššie a je to. V prípade potreby môžete pridať dodatočné filtrovanie špecifikovaním rozhrania, z ktorého sa budú pakety odosielať.

    Nevýhodou Hairpin NAT je len to, že sa zvyšuje zaťaženie smerovača, pretože tie hovory, ktoré predtým išli lokálnou sieťou priamo medzi počítačmi, teraz prejdú cez smerovač.

    Druhá metóda je jednoduchšia, ale v závislosti od konfigurácie siete je možné použiť aj prvú.

    UPD: opäť sme testovali metódy konfigurácie uvedené v tomto článku s príkladom, ako aj nastavenie navrhnuté v komentároch. Všetci pracujú.


    webovej stránky