Проброс портов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
impulse
Сообщения: 2
Зарегистрирован: 30 май 2013, 17:17

Всем привет. Знаю избитая тема, но до сего дня проблем с пробросом у меня раньше не возникало. :-(
Хочу пробросить RDP порт, с внешнего белого статического ip на внутренний. (RB751G-2HnD, RouteOS 6.17)

Код: Выделить всё

[admin@MikroTik] > ip firewall nat print all 
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1

 1   chain=dstnat action=dst-nat to-addresses=10.0.8.5 to-ports=3389
     protocol=tcp dst-address=1.1.1.1 dst-port=33900

Код: Выделить всё

[admin@MikroTik] > ip firewall filter print all  
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=input action=accept protocol=icmp

 1   chain=input action=accept connection-state=established in-interface=ether1

 2   chain=input action=accept connection-state=related in-interface=ether1

 3 X chain=input action=accept protocol=tcp dst-port=33900

 4   chain=input action=drop in-interface=ether1

 5   chain=forward action=jump jump-target=customer in-interface=ether1

 6   chain=customer action=accept connection-state=established

 7   chain=customer action=accept connection-state=related

 8   ;;; RDP Rule
     chain=customer action=accept protocol=tcp dst-port=33900

 9   chain=customer action=drop


Подключение не происходит, где я ошибся?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Сколько раз уже писалось: когда не работает проброс портов, временно для проверки выключайте все правила фаерволла.

И еще очень важный момент: очень желательно, чтобы микротик был шлюзом на компе, к которому осуществляется RDP.


siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Тоже прошу помощи по пробросу.
Router OS v.6.19 (CRS109-8G-1S-2HnD)
Интернет по L2TP билайн на ether1 (corbina-l2tp)
Сеть: 192.168.1.0/24
Адрес роутера: 192.168.1.1
Адрес web сервера 192.168.1.2
Задача: пробросить порт 80 снаружи до web сервера в локалке. Номер порта стандартного веб интерфейса роутера изменён(не 80), и веб интерфейс роутера отключен. В /ip firewall - Filter Rules пусто.
Изображение

И так, сделано:
Изображение

Теперь сайт стал доступен из интернета, проброс работает. НО! Работает только из вне. Если я сидя из под роутера пытаюсь перейти на сайт, то не получается, ресурс не доступен. Как сделать, чтоб можно было и из локалки переходить на этот домен?

Пробовал так:
Изображение

И ещё так:
Изображение

В итоге:
Изображение

Но не работает. Что где я упустил? Где накосячил?
Вообще таких портов нужно пробросить около 15. Они не подряд идут. Так на каждый порт по три правила задавать, как-то не очень... Некоторые порты нужно оперативно перекрывать\открывать. Как-то проще можно сделать?


MikroTik CRS109-8G-1S-2HnD-IN
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:



Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Dragon_Knight писал(а):1) viewtopic.php?t=2922

Хватит жевать одну и туже тему...

Ну так не сделать ли отдельную ветку, с подробным описанием, скринами, примерами? Я пытался найти поиском, но как-то попадал только на вопросы. Было бы структурировано, не спрашивали, гуглить умеем. А то фиг наёдёшь чего.
P.S. Спасиб, то что я искал было тут: http://wiki.mikrotik.com/wiki/Hairpin_NAT


MikroTik CRS109-8G-1S-2HnD-IN
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Есть ещё способ, - маскарадить локальную сеть за исключением IP сервера. Так получим доступ к серверу используя одно правило. Из минусов это то, что сервер будет видеть IP не локального компа а IP роутера.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Dragon_Knight писал(а):Есть ещё способ, - маскарадить локальную сеть за исключением IP сервера. Так получим доступ к серверу используя одно правило. Из минусов это то, что сервер будет видеть IP не локального компа а IP роутера.

Блин! С утра с работы пошёл на сервер, а он мне "Доступ закрыт, обратись к админу". Чё за...
Оказалось, что всё идёт от 192.168.1.1. И так как на любую авторизацию есть защита от брута, это адрес заблокирован. Тоесть ВСЕ заблокированы!
Отключил вход из локалки по внешнему адресу, оставил только проброс. Теперь IP корректно видит. Но это не выход.
Как сделать по нормальному? Делал всё как тут: http://wiki.mikrotik.com/wiki/Hairpin_NAT , в моём случае даже IP совпадают, кроме внешнего.
Как подправить, чтоб и из локалки ходил, и IP корректно определял?


MikroTik CRS109-8G-1S-2HnD-IN
impulse
Сообщения: 2
Зарегистрирован: 30 май 2013, 17:17

Микротик является шлюзом. После отключения 5-го правила, проброс портов заработал. Теперь понятно, что проблема в цепочке customer, но как исправить теперь правило, не отключая цепочку?


impulse
Сообщения: 2
Зарегистрирован: 30 май 2013, 17:17

Вопрос решил. Указал в правилах файервола ошибочный порт.


siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Как быть, как только добавляю это:

Код: Выделить всё

/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade
add chain=srcnat src-address=192.168.1.0/24 \
  dst-address=192.168.1.2 protocol=tcp dst-port=80 \
  out-interface=LAN action=masquerade

Сразу перестаёт определять IP входящих клиентов:

Изображение

1 - правила выключены, но тогда из локалки нет доступа.
2 и 3 -правила включены, из локалки есть доступ, но не определяет реальный IP.

Что можно сделать?


MikroTik CRS109-8G-1S-2HnD-IN
Ответить