Нет доступа к локальному устройству из локальной сети при обращении по внешнему статическому IP адресу

[bulka58807]

Добрый день!

Тему создаю впервые. Поправьте пожалуйста и перенесите в нужный раздел, если я ошибся.

Вопрос следующий :
Дело в том, что стоит у меня устройство в локальной сети. Провайдер(ростелеком) дает статический IP адрес. Я сделал проброс порта на роутере Eltex.

Теперь удаленно все работает. С любого устройства извне(через интернет) я могу ввести свой домашний IP адрес и порт(который я пробросил) и затем я попадаю на устройство в локальной сети. Все так и задумывалось.

Но есть проблема. Если я с того же устройства, с которого пробовал зайти удаленно, захожу из локальной сети и пробую вводить IP адрес(внешний статический) и порт, то попасть не могу на свое локальное устройство.

Конечно проблему можно решить : извне стучаться по внешнему IP адресу, а изнутри из локальной сети стучаться по локальному адресу устройства. Но каждый раз приходится вводить то локальный адрес, то внешний, постоянно приходится переключаться. Как будто роутер не видит свой внешний IP адрес из внутренней локальной сети.

Помогите побороть!

[flameflower]

Почитай в сторону NAT Loopback.

[bulka58807]

Спасибо вам за ваш ответ.

Не знал как профессионально объяснить проблему, теперь буду знать, что это называется NAT Loopback.

Также увидел, что в роутере это пока не предусмотрено, но можно добавить вручную пусть(маршрут) в iptables.

Я увидел чей-то пример :
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 176.51.99.208 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp --dport 8080 -j SNAT --to-source 176.51.99.208

Правильно ли я понял, что мне нужно вписать эти 2 строчки в настройки своего роутера и все будет работать. Только нужно изменить порты и IP адреса на свои.
То есть мне нужно в первой строке изменить :
1. 176.51.99.208 на мой внешний статический IP адрес.
2. tcp --dport 8080 изменить 8080 на мой проброшенный порт.
3. to-destination 192.168.1.100 изменить на локальный IP адрес моего устройства.
И во второй строке все аналогично изменить и все будет работать?

[flameflower]

Спасибо вам за ваш ответ.

Не знал как профессионально объяснить проблему, теперь буду знать, что это называется NAT Loopback.

Также увидел, что в роутере это пока не предусмотрено, но можно добавить вручную пусть(маршрут) в iptables.

Я увидел чей-то пример :
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 176.51.99.208 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp --dport 8080 -j SNAT --to-source 176.51.99.208

Правильно ли я понял, что мне нужно вписать эти 2 строчки в настройки своего роутера и все будет работать. Только нужно изменить порты и IP адреса на свои.
То есть мне нужно в первой строке изменить :
1. 176.51.99.208 на мой внешний статический IP адрес.
2. tcp --dport 8080 изменить 8080 на мой проброшенный порт.
3. to-destination 192.168.1.100 изменить на локальный IP адрес моего устройства.
И во второй строке все аналогично изменить и все будет работать?

Код: Выделить всё

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 176.51.99.208 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp --dport 8080 -j MASQUERADE

[bulka58807]

Зашел в админку роутер, модель у меня : NTU-RG-1402G-W

Не могу найти в меню, куда мне нужно вписать эти 2 строчки?
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 176.51.99.208 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp --dport 8080 -j MASQUERADE

[flameflower]

Зашел в админку роутер, модель у меня : NTU-RG-1402G-W

Не могу найти в меню, куда мне нужно вписать эти 2 строчки?
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 176.51.99.208 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp --dport 8080 -j MASQUERADE

Это настройка firewall'a.
Таблица nat, в частности.
Цепочки PREROUTING и POSTROUTING.
Дальше, думаю, понятно.
DNAT, SNAT,MASQUERADE - это действия с пакетом.
В остальном, думаю, не сложно догадаться.
Еще в админке что нибудь подобное. Не факт, что будет доступно, кстати.
Не думаю, что смогу еще чем то помочь, ибо у себя используем ePON.
Да и железяки типа RG-**** не применяем по идейным соображениям.

[bulka58807]

Все что нашел в этой админке :

[bulka58807]

Почему то ростелеком любит эти роутеры, а с настройками беда.
Мне кажется проще заменить его на какой нибудь Zyxel Keenetic и не будет проблем.

[flameflower]

Почему то ростелеком любит эти роутеры, а с настройками беда.
Мне кажется проще заменить его на какой нибудь Zyxel Keenetic и не будет проблем.

NTU-RG-XXXX это не просто роутер. Это оптический терминал для работы по протоколу GPON.
То, что эти железки еще и совмещают функции маршрутизатора - это уже доп.фича.
Просто так туда поставить Zyxel вместо терминала невозможно физически.
P.S. те правила, что ты указал не имеют отношения к NAT'у.
По виду обычная таблица FILTER в linux'e.

[bulka58807]

Я пока не уверен, приходит ли мне в квартиру оптика.

Вы написали, что это оптические терминалы. То есть он по сути работает как конвертер с оптики на витую пару. Но заодно еще и раздает IP адреса(как маршрутизатор).

Я скинул скриншот, чтобы вы могли увидеть его меню. Возможно сможете подсказать, куда мне зайти в меню, чтобы добавить правила(маршруты).

[flameflower]

Я пока не уверен, приходит ли мне в квартиру оптика.

Вы написали, что это оптические терминалы. То есть он по сути работает как конвертер с оптики на витую пару. Но заодно еще и раздает IP адреса(как маршрутизатор).

Я скинул скриншот, чтобы вы могли увидеть его меню. Возможно сможете подсказать, куда мне зайти в меню, чтобы добавить правила(маршруты).

Ну, покажи, что находится в меню NAT.
P.S. Терминал это не только медиаконвертер.

[churin]

Добрый день!

Но есть проблема. Если я с того же устройства, с которого пробовал зайти удаленно, захожу из локальной сети и пробую вводить IP адрес(внешний статический) и порт, то попасть не могу на свое локальное устройство.

Помогите побороть!

Добрый день.
В текущей версии ПО нет поддержки функции NAT loopback. Реализация данного функционала включено в план. Будет доступно в новых версиях ПО.

[rain63]

Когда планируются эти обновления или есть возможность как то обойти эту проблему? У меня стоит веб сервер на котором висят несколько хостов и попасть на них можно только через поддомен, который обращается опять же к внешнему адресу.

[flameflower]

Когда планируются эти обновления или есть возможность как то обойти эту проблему? У меня стоит веб сервер на котором висят несколько хостов и попасть на них можно только через поддомен, который обращается опять же к внешнему адресу.

Могу предложить указать в настройках ДНС А-запись на локальный ip. Ну или там static DNS её еще называют. Это будет более правильное и красивое решение.
Т.е. что то вида blabla.example.net 192.168.1.111

[bulka58807]

Спасибо за помощь.
Попробую что нибудь. Или тупо поменяю провайдера и роутер соответственно.