Проброс портов для внутреннего WebServer | Ubiquiti форум UBNT: инструкции, настройка

Проброс портов для внутреннего WebServer

namzy

участник
22 Апр 2019
7
1
5
35
Добрый день, есть EdgeRouter 3 Lite с белым IP и машинка с Apache внутри сети, нужно сделать веб-сервер доступным из инета (80, 443 порты). Обычным пробросом портов не получилось решить вопрос, хотя для DVR порты пробросились с первого раза. Пробовал подправить Firewall - тоже не помогло. Могу предоставить конфиг. Помогите, кто может, первый раз такой опыт с Ubiquiti.
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.369
212
75
wifi-sms.com
80 и 443 используются самим роутером. Займите другие порты или же поменяйте стандартные порты на роутере по этой инструкции:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/

Так же скорее всего в новых прошивках роутера есть возможность поменять стандартные порты роутера из Web интерфейса.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
80 и 443 используются самим роутером. Займите другие порты или же поменяйте стандартные порты на роутере по этой инструкции:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/

Так же скорее всего в новых прошивках роутера есть возможность поменять стандартные порты роутера из Web интерфейса.
Пробовал другие порты - безуспешно( Попробую переназначить стандартные 80 и 443.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
Не помогла и смена стандартных портов GUI роутера. Сбросил на дефолт, буду пробовать ещё раз. Почитаю зарубежные форумы.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
Итак, добрался до роутера физически. Поудалял все правила касательно пробросов портов и пробросил только один 80й через Port-Forwarding. Пробую зайти на сайт - не открывает, но тем не менее в Port-Forwarding показывает, что пакеты прошли по правилу - видно на скрине. Внутри локалки, благодаря Hairpin-NAT сайт открывается по внешнему IP, извне - никак( Куда копать дальше?
 

Вложения

fAntom

Super Moderator
Команда форума
24 Ноя 2017
1.781
111
5.065
Kharkov
ubnt.ru
Наугад скажу, попробуйте добавить встречный проброс портов.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
Наугад скажу, попробуйте добавить встречный проброс портов.
Через Port Forwarding сделал - 0 толку и пакетов по правилу. Большое подозрение, что где-то режет firewall, но пока не ясно - где именно.
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.369
212
75
wifi-sms.com
Итак, добрался до роутера физически. Поудалял все правила касательно пробросов портов и пробросил только один 80й через Port-Forwarding. Пробую зайти на сайт - не открывает, но тем не менее в Port-Forwarding показывает, что пакеты прошли по правилу - видно на скрине. Внутри локалки, благодаря Hairpin-NAT сайт открывается по внешнему IP, извне - никак( Куда копать дальше?
Вы не внимательно читаете темы. Добавьте к этому правилу проброса, правило в firewall, без него не пустит.

Или же обновите до последней прошивки свой роутер и читайте внимательно эту тему:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwarding
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
Вы не внимательно читаете темы. Добавьте к этому правилу проброса, правило в firewall, без него не пустит.

Или же обновите до последней прошивки свой роутер и читайте внимательно эту тему:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwarding
Добавил правило в WAN_IN и WAN_LOCAL - результат тот же. 2.0.1 прошивка, по ссылке настраивать тоже пробовал - не работает.

Вот конфиг из CLI:
Код:
firewall {
    all-ping enable
    broadcast-ping disable
    group {
        port-group HTTP/HTTPS {
            description WebServer
            port 80
            port 443
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description HTTP
            destination {
                port 80
            }
            log disable
            protocol tcp
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description HTTP
            destination {
                group {
                }
                port 80
            }
            log disable
            protocol tcp
            source {
                group {
                    address-group ADDRv4_eth0
                }
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 213.108.xx.xx/24
        description Internet
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 30.1.10.1/24
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        address 172.16.1.1/24
        description "Local 2"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    rule 1 {
        description HTTP
        forward-to {
            address 30.1.10.9
            port 80
        }
        original-port 80
        protocol tcp
    }
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 30.1.10.0/24 {
                default-router 30.1.10.1
                dns-server 30.1.10.1
                lease 8500
                start 30.1.10.153 {
                    stop 30.1.10.250
                }
                static-mapping UniFi {
                    ip-address 30.1.10.20
                    mac-address fc:ec:da:86:88:9d
                }
                static-mapping UniFi-2 {
                    ip-address 30.1.10.21
                    mac-address fc:ec:da:86:88:5a
                }
                static-mapping UniFi-3 {
                    ip-address 30.1.10.22
                    mac-address fc:ec:da:86:8a:b1
                }
                static-mapping UniFi-4 {
                    ip-address 30.1.10.23
                    mac-address fc:ec:da:8c:3c:23
                }
                static-mapping UniFi-5 {
                    ip-address 30.1.10.24
                    mac-address fc:ec:da:86:89:16
                }
                static-mapping web-server {
                    ip-address 30.1.10.9
                    mac-address 08:00:27:75:ce:21
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface eth0
            protocol all
            type masquerade
        }
    }
    ssh {
        listen-address 30.1.10.1
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    gateway-address 213.108.xx.xx
    host-name gateway-shynok
    login {
        user admin {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name admin
            level admin
        }
    }
    name-server 193.138.xx.xx
    name-server 213.108.xx.xx
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Kiev
    traffic-analysis {
        custom-category SocialNetworks {
            name Facebook
            name Viber
        }
        dpi disable
        export disable
    }
}
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.369
212
75
wifi-sms.com
Если нужно удаленно настроить, то в личном сообщении укажите доступ к роутеру, Ip сервера и порты, которые нужно пробросить. Судя по конфигу - порт то gui у вас занят самим роутером (http-port 80 / https-port 443).

.
Код:
gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
35
Если нужно удаленно настроить, то в личном сообщении укажите доступ к роутеру, Ip сервера и порты, которые нужно пробросить. Судя по конфигу - порт то gui у вас занят самим роутером (http-port 80 / https-port 443).

.
Код:
gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
Ещё раз благодарю за уделённое внимание и время! Проброс работал и работает отлично и даже без переназначения стандартных WEB GUI портов. Весь косяк в самом сервере - пойду копать туда. Семён Семёныч, как говорится)
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.369
212
75
wifi-sms.com
Ещё раз благодарю за уделённое внимание и время! Проброс работал и работает отлично и даже без переназначения стандартных WEB GUI портов. Весь косяк в самом сервере - пойду копать туда. Семён Семёныч, как говорится)
Рано или поздно вам бы понадобились порты 80 и 443, занимаемые самим роутером. Мы их освободили и перевели порты роутера на другие.
Как поменять порты - указано в этой теме:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/
Исправлена инструкция и дополнена для EdgeRouter Firmware v2.0.1 (02.05.2019)