Проброс портов для внутреннего WebServer | Ubiquiti форум UBNT: инструкции, настройка

Проброс портов для внутреннего WebServer

namzy

участник
22 Апр 2019
7
1
5
39
Добрый день, есть EdgeRouter 3 Lite с белым IP и машинка с Apache внутри сети, нужно сделать веб-сервер доступным из инета (80, 443 порты). Обычным пробросом портов не получилось решить вопрос, хотя для DVR порты пробросились с первого раза. Пробовал подправить Firewall - тоже не помогло. Могу предоставить конфиг. Помогите, кто может, первый раз такой опыт с Ubiquiti.
 

dimacbz

Moderator
16 Июн 2014
1.493
242
75
80 и 443 используются самим роутером. Займите другие порты или же поменяйте стандартные порты на роутере по этой инструкции:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/

Так же скорее всего в новых прошивках роутера есть возможность поменять стандартные порты роутера из Web интерфейса.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
80 и 443 используются самим роутером. Займите другие порты или же поменяйте стандартные порты на роутере по этой инструкции:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/

Так же скорее всего в новых прошивках роутера есть возможность поменять стандартные порты роутера из Web интерфейса.
Пробовал другие порты - безуспешно( Попробую переназначить стандартные 80 и 443.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
Не помогла и смена стандартных портов GUI роутера. Сбросил на дефолт, буду пробовать ещё раз. Почитаю зарубежные форумы.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
Итак, добрался до роутера физически. Поудалял все правила касательно пробросов портов и пробросил только один 80й через Port-Forwarding. Пробую зайти на сайт - не открывает, но тем не менее в Port-Forwarding показывает, что пакеты прошли по правилу - видно на скрине. Внутри локалки, благодаря Hairpin-NAT сайт открывается по внешнему IP, извне - никак( Куда копать дальше?
 

Вложения

fAntom

Super Moderator
Команда форума
24 Ноя 2017
6.188
377
5.065
ubnt.su
Наугад скажу, попробуйте добавить встречный проброс портов.
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
Наугад скажу, попробуйте добавить встречный проброс портов.
Через Port Forwarding сделал - 0 толку и пакетов по правилу. Большое подозрение, что где-то режет firewall, но пока не ясно - где именно.
 

dimacbz

Moderator
16 Июн 2014
1.493
242
75
Итак, добрался до роутера физически. Поудалял все правила касательно пробросов портов и пробросил только один 80й через Port-Forwarding. Пробую зайти на сайт - не открывает, но тем не менее в Port-Forwarding показывает, что пакеты прошли по правилу - видно на скрине. Внутри локалки, благодаря Hairpin-NAT сайт открывается по внешнему IP, извне - никак( Куда копать дальше?
Вы не внимательно читаете темы. Добавьте к этому правилу проброса, правило в firewall, без него не пустит.

Или же обновите до последней прошивки свой роутер и читайте внимательно эту тему:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwarding
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
Вы не внимательно читаете темы. Добавьте к этому правилу проброса, правило в firewall, без него не пустит.

Или же обновите до последней прошивки свой роутер и читайте внимательно эту тему:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwarding
Добавил правило в WAN_IN и WAN_LOCAL - результат тот же. 2.0.1 прошивка, по ссылке настраивать тоже пробовал - не работает.

Вот конфиг из CLI:
Код:
firewall {
    all-ping enable
    broadcast-ping disable
    group {
        port-group HTTP/HTTPS {
            description WebServer
            port 80
            port 443
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description HTTP
            destination {
                port 80
            }
            log disable
            protocol tcp
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description HTTP
            destination {
                group {
                }
                port 80
            }
            log disable
            protocol tcp
            source {
                group {
                    address-group ADDRv4_eth0
                }
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 213.108.xx.xx/24
        description Internet
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 30.1.10.1/24
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        address 172.16.1.1/24
        description "Local 2"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    rule 1 {
        description HTTP
        forward-to {
            address 30.1.10.9
            port 80
        }
        original-port 80
        protocol tcp
    }
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 30.1.10.0/24 {
                default-router 30.1.10.1
                dns-server 30.1.10.1
                lease 8500
                start 30.1.10.153 {
                    stop 30.1.10.250
                }
                static-mapping UniFi {
                    ip-address 30.1.10.20
                    mac-address fc:ec:da:86:88:9d
                }
                static-mapping UniFi-2 {
                    ip-address 30.1.10.21
                    mac-address fc:ec:da:86:88:5a
                }
                static-mapping UniFi-3 {
                    ip-address 30.1.10.22
                    mac-address fc:ec:da:86:8a:b1
                }
                static-mapping UniFi-4 {
                    ip-address 30.1.10.23
                    mac-address fc:ec:da:8c:3c:23
                }
                static-mapping UniFi-5 {
                    ip-address 30.1.10.24
                    mac-address fc:ec:da:86:89:16
                }
                static-mapping web-server {
                    ip-address 30.1.10.9
                    mac-address 08:00:27:75:ce:21
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface eth0
            protocol all
            type masquerade
        }
    }
    ssh {
        listen-address 30.1.10.1
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    gateway-address 213.108.xx.xx
    host-name gateway-shynok
    login {
        user admin {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name admin
            level admin
        }
    }
    name-server 193.138.xx.xx
    name-server 213.108.xx.xx
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Kiev
    traffic-analysis {
        custom-category SocialNetworks {
            name Facebook
            name Viber
        }
        dpi disable
        export disable
    }
}
 

dimacbz

Moderator
16 Июн 2014
1.493
242
75
Если нужно удаленно настроить, то в личном сообщении укажите доступ к роутеру, Ip сервера и порты, которые нужно пробросить. Судя по конфигу - порт то gui у вас занят самим роутером (http-port 80 / https-port 443).

.
Код:
gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
 
Автор
namzy

namzy

участник
22 Апр 2019
7
1
5
39
Если нужно удаленно настроить, то в личном сообщении укажите доступ к роутеру, Ip сервера и порты, которые нужно пробросить. Судя по конфигу - порт то gui у вас занят самим роутером (http-port 80 / https-port 443).

.
Код:
gui {
        http-port 80
        https-port 443
        listen-address 30.1.10.1
        older-ciphers enable
    }
Ещё раз благодарю за уделённое внимание и время! Проброс работал и работает отлично и даже без переназначения стандартных WEB GUI портов. Весь косяк в самом сервере - пойду копать туда. Семён Семёныч, как говорится)
 

dimacbz

Moderator
16 Июн 2014
1.493
242
75
Ещё раз благодарю за уделённое внимание и время! Проброс работал и работает отлично и даже без переназначения стандартных WEB GUI портов. Весь косяк в самом сервере - пойду копать туда. Семён Семёныч, как говорится)
Рано или поздно вам бы понадобились порты 80 и 443, занимаемые самим роутером. Мы их освободили и перевели порты роутера на другие.
Как поменять порты - указано в этой теме:
http://www.ubnt.su/forum/threads/edgerouter-lite-change-default-gui-port-smena-porta-po-umolchaniju-vxoda-v-web-interfejs.4572/
Исправлена инструкция и дополнена для EdgeRouter Firmware v2.0.1 (02.05.2019)