Удалённое управление точками доступа.

[Roman]

Здравствуйте, уехал в другой город и возникла необходимость управлять точками доступа.
Эта тема не однократно обсуждалась, например здесь или здесь.
И есть еще в инструкции по настройке.
Не только у меня но и у других людей возникали проблемы, но тему по этому случаю пока еще никто не создал.
Пользуясь моментом я решил все случаи с настройкой доступа к точкам доступа объединить в одну тему.

В инструкции сказано, что нужно раскоментировать строки и настроить их под свою сеть:
#$IPTABLES -A FORWARD -i $EXTIF -d 192.168.100.0/24 -p tcp -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -p tcp --source 192.168.100.0/24 -m state --state ESTABLISHED -j ACCEPT
#$IPTABLES -t nat -I PREROUTING -p tcp -i $EXTIF --dport 8080 -j DNAT --to-destination 192.168.100.10:8080

и добавить еще один сетевой интерфейс:
auto eth1
iface eth1 inet static
address 192.168.100.1
netmask 255.255.255.0

Я соответственно настроил под свою сеть:

Добавил интерфейс:
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0

(у меня как видите всё на оборот, так получилось , но не в этом дело, главное, что всё остальное работает)
раскоментировал и изменил для своей сети.

$IPTABLES -A FORWARD -i $EXTIF -d 192.168.1.0/24 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -p tcp --source 192.168.1.0/24 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -I PREROUTING -p tcp -i $EXTIF --dport 8081 -j DNAT --to-destination 192.168.1.30:8080

IP адрес точки я изменить не могу, у неё адрес на данный момент 192.168.1.30.

С сервера могу заходить на эту точку, даже без настроек IPTABLES

Пробовал заходить через внешний IP сервера, ничего не получается, т.е. чтобы попасть в точку доступа 192.168.1.30, я набираю http://внешний_адрес_сервера:8081 и страница не открывается.
Я незнаю вобще может у меня точка доступа негодится для этих целей (D-Link DWL-2100AP), но своё основное назначение она пока выполняет.
Я вобще не понимаю, что значит порт 8080 и работает на этом порту эта точка, не проверял, нужно ли его вводить или может вместо порта 8080 мне нужно вводить 80.
Вобще еще хотелось пробросить порт telnet, тоже, мне удобно настраивать эту точку через telnet, особенно удобно смотреть статистику.
Короче больше у меня вопросов, чем ответов.
Просьба у кого есть опыт в настройке или у кого получилось, просьба откликнуться.
Буду очень благодарен.
С уважением,
Роман.

[Dmitry]

С сервера могу заходить на эту точку, даже без настроек IPTABLES

КЛЮЧЕВАЯ ПОДСКАЗКА - Указываете ли вы при этом не только адрес точки, но и номер порта?

Пробовал заходить через внешний IP сервера, ничего не получается, т.е. чтобы попасть в точку доступа 192.168.1.30, я набираю http://внешний_адрес_сервера:8081 и страница не открывается.
Я незнаю вобще может у меня точка доступа негодится для этих целей (D-Link DWL-2100AP), но своё основное назначение она пока выполняет.
Я вобще не понимаю, что значит порт 8080 и работает на этом порту эта точка, не проверял, нужно ли его вводить или может вместо порта 8080 мне нужно вводить 80.

Роман, я позволю себе вот тут немножко поворчать.
И считаю, что у меня на это есть все основания. Вот они (цитата из инструкции):

Сначала нужно подготовить саму точку доступа. Во первых, ее веб-интерфейс по умолчанию обычно «слушает» на 80 порту. Такой вариант не самый лучший – на 80-м порту сервера хотспота работает веб-сервер Apache, обслуживающий как страницу авторизации, так и веб-приложение Easyhotspot. В идеале, получается, что самым лучшим решением было бы изменить порт, на котором работает веб-интерфейс точки доступа. Однако, не все точки доступа имеют такую настройку. Но, в любом случае, вам нужно будет выбрать порт, по которому вы будете обращаться к своему серверу хотспота, чтобы попасть в интерфейс точки доступа. При этом сервер будет выполнять переадресацию портов (т.н. «портфорвардинг») запросов, пришедших на этот порт, на адрес и порт, которые используются точкой доступа.

Второй нюанс – у большинства точек доступа используется фиксированный IP-адрес (например, 192.168.0.50) для доступа к их веб-интерфейсу настройки. Этот адрес может вас как устраивать, так и нет. Критерий пригодности – он не должен попадать в диапазон как той подсети, к которой подключен сам сервер хотспота, так той подсети, которую сервер хотспота создает для обслуживаемых им клиентов. То есть, если принять те параметры сетей, которые рассматривались в процессе «базовой» настройки сервера (WAN-адрес самого сервера находится в диапазоне 192.168.1.0/24, а клиенты подключаются к LAN-подсети 192.168.182.0/24), то допустим адрес точки 192.168.0.50, нам подошел бы.

Итак, в приведенной ниже инструкции будет рассмотрена настройка доступа к веб-интерфейсу точки доступа, у которой БЫЛИ ИЗМЕНЕНЫ НАСТРОЙКИ. Как вам настроить параметры вашей точки доступа, смотрите в инструкции к ней. В инструкции будут использованы следующие значения: точке доступа присвоен IP-адрес 192.168.100.10, а ее веб-интерфейс «слушает» на порту 8080.

Я бы еще понял фразу типа "я прочел, но нифига не понял". Но рассказывать, что "я все сделал, а оно нифига не работает" - увы, извольте! Вы ВСЕ сделали? Вы настроили вашу точку, чтобы ее интерфейс принимал запросы на порту 8080 ? А, вы не знаете о чем идет речь! В таком случае, объясняю (с поправкой на приведенную мной выше "ключевую подсказку".

Скорее всего, чтобы попасть с сервера в вебморду точки доступа ВЫ НЕ ВВОДИТЕ номер порта. А это значит, что обращение идет на 80-й порт (браузер (любой) при обращении на любой ВЕБ-адрес по умолчанию (если не указывать дополнительно) ломится именно на 80-й порт - так уж принято в соответствии со стандартами). А настройки файервола для портфорвардинга вы используете даже не задумываясь - "там написано 8080, ну и пускай!" И в итоге, как вы и написали - ваш запрос (извне) идет именно туда, куда вы его и послали - в никуда!

Поэтому, в правиле переадрессации смените порт 8080 на 80 и все должно заработать...

[Roman]

Да, спасибо Дмитрий, я понял свою ошибку и подтверждаю, что прочёл инструкцию, но нифига не понял
Сбило с толку, то что обращение к точке идёт по порту 8080.
В настройках точки доступа и инструкции к ней, я не видел, чтобы можно было менять номер порта, скорее всего что нельзя.
И еще, в чем может быть проблема если порт 80 будет у точки доступа, я так понял что, всёравно порт, на котором работает точка доступа он переадресуется на другой порт, чтобы не мешать работать web серверу.

Подскажите пожалуйста, какие порты можно использовать, чтобы не попасть куда ненужно.

И последний вопрос, можно таким образом передать 23 порт телнет от точки доступа?

[Dmitry]

Да, спасибо Дмитрий, я понял свою ошибку и подтверждаю, что прочёл инструкцию, но нифига не понял

Учту и попытаюсь подрулить инструкцию чтобы стала понятнее.

Сбило с толку, то что обращение к точке идёт по порту 8080.
В настройках точки доступа и инструкции к ней, я не видел, чтобы можно было менять номер порта, скорее всего что нельзя.

ответ на вопрос "можно/нельзя/где/как" нужно искать в инструкции к точке доступа.

И еще, в чем может быть проблема если порт 80 будет у точки доступа, я так понял что, всё равно порт, на котором работает точка доступа он переадресуется на другой порт, чтобы не мешать работать web серверу.

Никакой проблемы, можно чтоб у точки оставался и 80-й порт, просто в правиле тогда нужно написать не 8080, а 80

Подскажите пожалуйста, какие порты можно использовать, чтобы не попасть куда ненужно.

Сам хотспот по умолчанию использует только порты 80,443 - для веб сервера и 22-й - для подключения к консоли по SSH.
[/quote]

И последний вопрос, можно таким образом передать 23 порт телнет от точки доступа?

[/quote]
Аналогично тому, как это реализовано для вебинтерфейса. Причем, с учетом того, что сервером 23-й порт не используется, можно именно его и использовать. То есть, к тем трем правилам дописать еще одно четвертое

Код: Выделить всё

$IPTABLES -t nat -I PREROUTING -p tcp -i $EXTIF --dport 23 -j DNAT --to-destination 192.168.100.10:23 

[Roman]

Вобщем всё сделал как по инструкции, к точке доступа, из внешней сети или интернет доступа нет, долго не мог понять в чем дело.
Потом бросил и прописал на другую точку доступа и был удивлён - всё работает как надо!
Наверное D-Link не может так работать, а вот другая точка доступа фирмы Ubiquiti, так она работает!
Вобщем такие дела, пока только приходится подключаться к серверу как к удалённому рабочему столу по протоколу VNC и уже с сервера запускать браузер и подключаться к точке доступа D-Link.
Думаю, если не получится, наверное буду для удобства использовать Х-сервер для windows, чтобы вызывать только окно браузера, ато сильно тормозит весь рабочий стол, через 3G модем.

И еще такой вопрос, существует ли возможность с терминала UBUNTU соединиться с точкой доступа по протоколу TELNET, я имею в виду на примере как в windows набираеш выполнить telnet и адрес...
Или может быть есть телнет клиент, я имею в виду, чтобы в ubuntu не запускать телнет сервер, а вот возможность подключаться к другим по протоколу телнет была.
У мне просто нет опыта, пока еще не представляю себе как работать через телнет прямо из ubuntu.

[Dmitry]

думаю, вам стоит почитать про SSH. Из под виндовс можно например с помощью putty подключаться. У меня в блоге есть про это:
http://wifi-hotspot.zp.ua/wp/2009/02/pu ... m-windows/

интересно это во превых, возможностью "каскадирования", а во вторых, еще и тем, что во многом оборудовании SSH присутствует. В итоге, допустим вы подключились к серверу по ssh, и к серверу подключена точка с адресом 192.168.100.50, и в ней активирован ssh-сервер. Тогда, чтобы к ней подключиться вы в линуксе вводите команду:

Код: Выделить всё

ssh 192.168.100.50

и попадаете в ее консоль (точно также, как с помощью telnet).

[Roman]

Спасибо Дмитрий за подсказку, сам как-то не сообразил, всё оказалось намного проще чем я думал.
Я пользуюсь Putty уже давно и с успехом, особенно в windows 7, незнаю почему, но в семерке телнета нету, поэтому только putty.
На самом деле всё оказалось очень просто, я подключился к серверу по ssh и уже в данной консоли набрал команду

Код: Выделить всё

telnet 192.168.1.30

и попал в консоль моей злосчастной точки доступа. Кстати по команде

Код: Выделить всё

ssh 192.168.1.30

не подключился, видимо DWL-2100AP не поддерживает ssh.
Еще раз спасибо, теперь разобрался и всё работает так как мне нужно!