Проблемы с NAT и игрок Red Alert.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Psilon писал(а):Я конечно понимаю, что
 ,
Изображение
но не могли бы вы сказать, какэто сделать? Просто выставить disables=yes? То есть вот так норм?
 тык
Изображение


Забавно, но когда я добавил эти dst-nat и задизейблил фильтр - у меня перестал подключаться к серверу игры компьютер. Отключил редирект - опять заработало. Вроде наоборот должно быть, при правильной настройки - и подключаться, и играть, а получается, что либо одно, либо другое... Конечно, я отключал все скопом, возможно, нужно как-то выборочно, но все равно очень странно...

я не понимаю, что вы там отключаете, выражайтесь хотя бы чётче.
если вам нужно, чтобы у вас на внешнем интерфейсе был открыт порт, который дальше транслировался на ваш внутренний адрес, то:
1. в IP FIREWALL FILTER у вас должна быть открыта цепочка INPUT по этому порту на внешнем интерфейсе. и должна быть открыта цепочка FORWARD по этому порту.
2. в IP FIREWALL NAT должна быть настроена трансляция порта с внешнего на внутренний адрес.
3. все ваши правила, должны быть выше других обобщающих правил, которые у вас уже созданы.

Код: Выделить всё

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=80
/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=80
/ip firewall nat add chain=dstnat action=dst-nat dst-address=IP.AD.DR.RE.SS in-interface=IN.INTERFACE protocol=tcp dst-port=80  to-address=LOCAL.IP to-port=LOCAL.PORT


что нужно читать:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
не совсем похоже на wpf?


Psilon
Сообщения: 0
Зарегистрирован: 18 июл 2013, 21:32

podarok66
ну я так понимаю, что это будет трактоваться как с любого адреса, который будет стучаться на этот порт, пробросить на конкретный адрес на конкретный порт.

не совсем похоже на wpf?

вполне похоже.

в dst-address=IP.AD.DR.RE.SS я так понял нужно написать адрес роутера, а вот что в in-interface писать не очень понял. Любое имя? Потому что я не знал и оставлял по-дефолту, то есть пропускал.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Интернет -> (et.1) (dst-address) (dst-port) Микротик (et.2) -> (to-address) (to-ports)Вы
in-interface - как впринципе достаточно понятно из названия (in), это входной интерфейс, т.е. тот интерфейс на который прилетает пакет из интернета который потом надо транслировать к вам, в нашем случае это et.1. технически да - параметр не всегда обязательный, но фактически очень желательный.
суть просто в том, что если настраивать политики маршрутизации и фильтрации, то необходимо максимально четко описывать фильтр пакетов, иначе туда может попасть трафик который там не желателен, а вы потом будете думать, почему же у вас не работает. как пример - ваша ситуация - по дефолту микротик закрывает цепочку input на внешнем интерфейсе (чтобы обезопасить себя), но в случае с nat это не допустимо, т.к. в этом случае он будет откидывать пакеты которые надо nat'ить. логика правила очень проста (на вашем скриншоте сверху вниз из секции /ip firewall filter viewtopic.php?p=21908#p21908):
1. разрешаем icmp, т.е. микротик будет пинговаться
2. разрешаем установившиеся (established) соединения
3. разрешаем соединения связанные (related) с другими
4. запрещаем все остальное что не было разрешено выше.
и как бы тут понятно, что если к нему прилетит пакет редалерта, то оно не попадет в первые три правила и будет откинуть 4.
как исправить:
1. отключить 4 правило.
2. добавить выше 4 правила еще одно, которое будет уточнять и разрешать трафик редалерта.

вполне похоже.

зачем вам микротик?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Psilon писал(а):ну я так понимаю, что это будет трактоваться как с любого адреса, который будет стучаться на этот порт, пробросить на конкретный адрес на конкретный порт.

Это Вы так понимаете. Вопрос в том, так ли это понимает Микротик. Я, как правило, во избежание всяческих казусов оговариваю подобное конкретным указанием dst-address=0.0.0.0/0 Потому как пока не научился думать на машинном уровне, видимо. :)-(:
Как уже указывал уважаемый simpl3x,
simpl3x писал(а):суть просто в том, что если настраивать политики маршрутизации и фильтрации, то необходимо максимально четко описывать фильтр пакетов, иначе туда может попасть трафик который там не желателен

лучше предельно конкретизировать задачу фаерволу. Тогда обработка пакетов пойдет именно так, как хочется Вам.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Psilon
Сообщения: 0
Зарегистрирован: 18 июл 2013, 21:32

Спасибо за разъяснения
simpl3x писал(а):как исправить:
1. отключить 4 правило.
2. добавить выше 4 правила еще одно, которое будет уточнять и разрешать трафик редалерта.

я так понимаю, это два различных способа решения проблемы, иначе зачем уточнять выше 4 правила, если мы его вообще выключим? Если вопрос в отключении - то я отключал, не помогло. А насчет уточнения - не подскажете, Как это конкретно можно сделать?
зачем вам микротик?

Хороший роутер, пробивает через 2 стены сигнал. Меня он интересовал с т.з. мощности за единицу стоимости, а насчет сложности настроек - я, конечно, слышал, что это непросто, но не думал, что настолько. После веб-морд всяких кенетиков, где все за тебя решается в 2 клика, тут очень высокий порог вхождения, тупо не ожидал при покупке такого. Он меня всем устраивает, кроме вот этой проблемы с RA. Остается лишь надеяться, что вопросы не слишком блондинистые. Просто я выставил правила, что пакеты с любых IP попадают на тот же порт на 192.168.88.250, свой IP я зафиксировал. Но после этого все отвалилось (в смысле перестало подключать к серверу игры), экспериментальным путем было выяснено, какой именно фильтр на это влияет. Но почему такое правило могло не то, что помочь, а сломать (я думал, в худшем случае ничего не изменится) - вне моего понимания.


Сейчас с такой конфигурацией подключается, все нормально, но стартовать не хочет:
 +++++
Изображение

dst-address=0.0.0.0/0

это маска для "любые IP" ?
Последний раз редактировалось Psilon 21 янв 2014, 12:50, всего редактировалось 1 раз.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

0.0.0.0/0 - да, это адрес и маска, описывающая все адреса.

что подключается? что не стартует? мы тут как бы не все знаем что такое редалерт, и зачем ему сеть.


Psilon
Сообщения: 0
Зарегистрирован: 18 июл 2013, 21:32

Вот, есть сервер GameSpy, все игроки подключаются к нему и пр
 картинка 1
Изображение

затем насколько я понимаю, при старте игры игроки устанавливают p2p соединение и сервер их отпинывает "Общайтесь между собой сами, а меня не трожте". И на этом этапе как раз получается ошибка
"Идет процесс подключения или обнаружена ошибка подключения. Дождитесь завершения подключения или исключите игрока, имеющего проблемы с подключением. Идет установка соединения: 1-2"

судя по FAQ, это проблема появляется, когда из-за роутера пакеты не проходят. Собственно после этого я и создал эту тему, приложил ссылку на этот самый FAQ и подумал, что проблема быстро решится добавлением какого-нибудь правила. Но вот правила я создал, Как показано выше, но что есть они, что нет - разницы не произошло, ошибка осталась та же.

Вот еще темы с той же проблемой:

http://www.gamereplays.org/community/in ... pic=783347

http://www.fixya.com/support/t1485516-c ... _3_1_2_1_3

и пр

this is only due to your internet provider problem, some players need to open certain ports for the game to make it work with others, call your internet provider and inform yourself about it, if they say its impossible, you will probably have to change your internet provider I am afraid.

sometimes digits like 1-2 just disappear after some time has passed, what 1-2 means, is that there is a connection issue at the moment between slot 1 and slot 2 and its trying to reconnect you, maybe bad ping you know, just wait a little bit wink.gif


Конечно проблема может быть в "белом" айпишнике, но хотелось бы попробовать сначала нормально настроить роутер. В любом случае уже что-то новенькое узнал, спасибо Вам.

________________

В общем все эти танцы с бубном помогли, я теперь стартовать могу, так что еще раз благодарю за помощь.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ммм. а адрес у вас выделенный, внешний? или "серый"?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А если будем плясать от печки? Я в том смысле, что в разделе Firewall filter отключаем ВСЕ правила. Пробуем стартовать. Если стартует, значит надо что-то разрешать на фильтрах. Если нет, значит будем искать далее. Давайте, пробуйте, мне стало интересно (сам гамаю часто, но не в red alert, конечно).


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Psilon
Сообщения: 0
Зарегистрирован: 18 июл 2013, 21:32

Афайк серый. Но я говорю, у меня проблема решилась: по сети могу играть, все замечательно. А вот у друга проблемы: не хочет ни в какую. Даже DMZ сделал, все равно никак. Но у него роутер asus rt-n12, а он уже в рамки дискуссии не попадает. Так что спасибо за советы и информацию, немного лучше стал разбираться в теме, будем пытаться разбираться дальше.


podarok66
еще раз, все решилось, все работает, спасибо за помощь :co_ol:


Ответить