Настройка FireWall

[evgeniy.petrushin]

Добрый день!

Роутер RB760iGS.

Интернет подключен к первому порту. Интернет настроил, все работает. Далее начал делать настройки Firewall и Nat, для пробрасывая портов. Настройки:

0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN log=no
log-prefix="" ipsec-policy=out,none

1 ;;; OpenVpn service
chain=dstnat action=dst-nat to-addresses=192.168.1.32 to-ports=443
protocol=udp in-interface=ether1 dst-port=443 log=no log-prefix=""

2 ;;; test
chain=dstnat action=dst-nat to-addresses=192.168.1.49 to-ports=1280
protocol=tcp in-interface=ether1 dst-port=12807 log=no log-prefix=""

3 ;;; Leor BPM Prod SSL
chain=dstnat action=dst-nat to-addresses=192.168.1.49 to-ports=443
protocol=tcp dst-address-type=local dst-port=443 log=no log-prefix=""

4 X ;;; Block 80* Port
chain=dstnat action=dst-nat to-addresses=192.168.1.49 to-ports=80
protocol=tcp dst-address-type=local dst-port=80 log=no log-prefix=""

Суть заключается в том, что 1 ;;; OpenVpn service работает корректно, подключение проход и vpn работает правильно.
С данными настройками 3 и 4 переводят на сайт при обращении из вне, а также из локальной сети при обращении на 192.168.1.1
Если в конфиги 3 и 4 добавить in-interface=ether1, то подключение по порту 443 из вне не проходит, а при переходе на 80 порт кидает в настройки роутера. Подскажите, пожалуйста, в чем может быть проблема

[xvo]

Если в конфиги 3 и 4 добавить in-interface=ether1, то подключение по порту 443 из вне не проходит, а при переходе на 80 порт кидает в настройки роутера. Подскажите, пожалуйста, в чем может быть проблема

Тут под "из вне" понимается именно из глобальной сети или через впн?

[evgeniy.petrushin]

Тут под "из вне" понимается именно из глобальной сети или через впн?

Нет, имеется ввиду из глобальной сети. Через vpn работа корректная, попадаю в локальную сеть и ip меняется. Т.е все работает.

[xvo]

Счетчики на правилах не увеличиваются?
Ну вообще, раз вы на сам роутер попадаете, то вероятно нет.

Адрес внешний вы как получаете: он у вас на ether1, на каком-то другом порту, или провайдер вам 1:1 NAT делает?

[evgeniy.petrushin]

Счетчики на правилах не увеличиваются?
Ну вообще, раз вы на сам роутер попадаете, то вероятно нет.

Адрес внешний вы как получаете: он у вас на ether1, на каком-то другом порту, или провайдер вам 1:1 NAT делает?

На ether1 прописан статический адрес, который дает провайдер

До этого стоял простенький домашний роутер, на котором работал, если это как-то повлияет на вашу помощь..

[xvo]

Тогда по данной инфе не понятно, в чем может быть проблема.
Выложите нерабочий конфиг целиком.

[evgeniy.petrushin]

Тогда по данной инфе не понятно, в чем может быть проблема.
Выложите нерабочий конфиг целиком.

Подскажите, пожалуйста, как получить весь конфиг

[xvo]

Код: Выделить всё

/export hide-sensitive

[evgeniy.petrushin]

Код: Выделить всё

/export hide-sensitive

# nov/08/2019 23:37:02 by RouterOS 6.44.4
# software id = G5QF-1S2R
#
# model = RB760iGS
# serial number = A36A0A465821
/interface bridge
add admin-mac= auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.115
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=[Внешний ip от провайдера] interface=ether1 network=[Сеть от провайдера]
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.1.115 client-id=1:0:e:c6:aa:33:51 comment=e.petrushin \
mac-address=00:0E:C6:AA:33:51 server=defconf
add address=192.168.1.49 client-id=1:52:54:0:31:dd:7b comment=\
"Leor Windows IIS" mac-address=52:54:00:31:DD:7B server=defconf
add address=192.168.1.53 client-id=1:52:54:0:5d:1:9b comment=\
"Leor SQL Server" mac-address=52:54:00:5D:01:9B server=defconf
add address=192.168.1.47 client-id=\
ff:90:38:79:41:0:1:0:1:24:db:5c:d5:0:25:90:38:79:41 comment="Debian KVM" \
mac-address=00:25:90:38:79:41 server=defconf
add address=192.168.1.94 client-id=\
ff:56:50:4d:98:0:2:0:011:8e:55:35:8b:e9:a4:13:2c comment=\
"Leor PostgreSQL" mac-address=52:54:00:1D:ED:11 server=defconf
add address=192.168.1.78 client-id=\
ff:56:50:4d:98:0:2:0:011:14:c2:65:f6:1f:80:bb:9c comment=\
"Leor SVN Docs" mac-address=52:54:00:5C:4A:00 server=defconf
add address=192.168.1.32 client-id=\
ff:56:50:4d:98:0:2:0:011:83:40:32:d2:b5:c9:f5:9b comment=\
"Leor OpenVPN" mac-address=52:54:00:F7:8B:2D server=defconf
add address=192.168.1.62 client-id=\
ff:56:50:4d:98:0:2:0:011:32:f2:53:df23:36:43 comment="Leor Redis" \
mac-address=52:54:00:C0:C4:F8 server=defconf
add address=192.168.1.100 client-id=\
ff:56:50:4d:98:0:2:0:011:7c:79:d5:f2:4e:b6:1d:5f comment=\
"Leor SVN Dev" mac-address=52:54:00:62:2D:25 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=[DNS провайдера]
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="OpenVpn service" dst-port=443 \
in-interface=ether1 protocol=udp to-addresses=192.168.1.32 to-ports=443
add action=dst-nat chain=dstnat comment=test dst-port=12807 in-interface=\
ether1 protocol=tcp to-addresses=192.168.1.49 to-ports=1280
add action=dst-nat chain=dstnat comment="Leor BPM Prod SSL" dst-address-type=\
local dst-port=443 protocol=tcp to-addresses=192.168.1.49 to-ports=443
add action=dst-nat chain=dstnat comment="Block 80* Port" disabled=yes \
dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.49 \
to-ports=80
/ip route
add distance=1 gateway=[Шлюз провайдера]
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[xvo]

Я правильно понимаю, что в этом виде все как раз работает?