Проброс порта

Обсуждение ПО и его настройки
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

Полный конфиг Р2. Может и другие косяки увидите.

Код: Выделить всё

/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled name="2.4 AUTO" reselect-interval=5d12h
add band=5ghz-onlyac control-channel-width=20mhz name="5 AUTO" reselect-interval=5d12h
/interface bridge
add arp=reply-only fast-forward=no name="Guest WLAN"
add admin-mac=xx arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] rx-flow-control=auto tx-flow-control=auto
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mtu=1500 name=Internet password=xx user=xx
/interface l2tp-client
add allow-fast-path=yes connect-to=xx disabled=no ipsec-secret=xx name="Home Connect" password=xx! use-ipsec=yes user=xx
/interface wireless
# managed by CAPsMAN
# channel: 2462/20/gn(27dBm), SSID: Lemurs, CAPsMAN forwarding
set [ find default-name=wlan1 ] country=no_country_set frequency-mode=superchannel ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac(14dBm), SSID: xx, CAPsMAN forwarding
set [ find default-name=wlan2 ] country=no_country_set frequency-mode=superchannel ssid=MikroTik
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name="LAN Datapath"
add bridge="Guest WLAN" client-to-client-forwarding=no local-forwarding=no name="Guest Data"
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=xx passphrase=gxx
add authentication-types=wpa2-psk encryption=aes-ccm name=GuestWiFi passphrase=xx
add authentication-types=wpa-psk encryption=aes-ccm,tkip name=CameraOlder passphrase=xxx
/caps-man configuration
add channel="5 AUTO" country=no_country_set datapath="Guest Data" distance=indoors hw-protection-mode=rts-cts installation=indoor mode=ap name="xx" rx-chains=0,1,2,3 security=GuestWiFi ssid="xx" tx-chains=0,1,2,3
add channel="2.4 AUTO" country=no_country_set datapath="LAN Datapath" distance=indoors hw-protection-mode=rts-cts installation=indoor mode=ap multicast-helper=full name="xx" rx-chains=0,1,2,3 security=xx ssid=xx tx-chains=\
    0,1,2,3
add channel="2.4 AUTO" country=no_country_set datapath="LAN Datapath" hw-protection-mode=rts-cts installation=indoor mode=ap name="xx" rx-chains=0,1,2,3 security=xx ssid=xxx tx-chains=0,1,2,3
add channel="5 AUTO" country=no_country_set datapath="LAN Datapath" distance=indoors hw-protection-mode=rts-cts installation=indoor mode=ap name="xx" rx-chains=0,1,2,3 security=xx ssid=xx tx-chains=0,1,2,3
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xx wpa2-pre-shared-key=xx
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="Guest WiFi" supplicant-identity="" wpa-pre-shared-key=xx wpa2-pre-shared-key=xx
add authentication-types=wpa2-psk mode=dynamic-keys name="Lemurs Wifi" supplicant-identity=MikroTik wpa2-pre-shared-key=xx
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.90
add name="Guest WLAN" ranges=192.168.77.10-192.168.77.20
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name="DHCP Dacha"
add add-arp=yes address-pool="Guest WLAN" disabled=no interface="Guest WLAN" name="Guest DHCP"
/port
set 0 name=usb1
/interface ppp-client
add add-default-route=no apn=internet.mts.ru data-channel=1 dial-on-demand=no modem-init="" name=MTS-4G password=mts phone=*99***1# port=usb1 use-peer-dns=no user=mts
/queue simple
add max-limit=2M/2M name=Guest-que target="Guest WLAN"
/snmp community
set [ find default=yes ] addresses=192.168.1.0/24,192.168.0.0/24
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration="xx" name-format=identity slave-configurations="xx"
add action=create-dynamic-enabled hw-supported-modes=an master-configuration="xx" name-format=identity slave-configurations="xx"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=Internet list=WAN
add interface="Home Connect" list=LAN
/interface wireless cap
# 
set bridge=bridge certificate=request discovery-interfaces=bridge enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
add address=192.168.77.1/24 interface="Guest WLAN" network=192.168.77.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.92 client-id=1:xx mac-address=xx server="DHCP Dacha"
add address=192.168.1.99 client-id=1:xx mac-address=xx server="DHCP Dacha"
add address=192.168.1.16 client-id=1:xx mac-address=xx server="DHCP Dacha"
add address=192.168.1.93 client-id=1:34:ce:0:d1:61:ae mac-address=xx server="DHCP Dacha"
add address=192.168.1.8 client-xx5 mac-address=xx server="DHCP Dacha"
/ip dhcp-server network
add address=192.168.1.0/24 comment="Dacha NET" dns-server=192.168.0.10 domain=xx.local gateway=192.168.1.1 netmask=24
add address=192.168.77.0/24 comment="Guest WiFi" dns-server=8.8.8.8 gateway=192.168.77.1
/ip dns
set allow-remote-requests=yes servers=192.168.0.10,8.8.8.8,4.4.4.4
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan type=A
/ip firewall address-list
add address=192.168.77.0/24 list=Guests
add address=192.168.1.90-92 list=Cameras
add address=192.168.0.0/24 list=internal
add address=192.168.1.0/24 list=internal
add address=10.10.15.1 list=internal
add address=10.10.15.2 list=internal
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-mark=!con-r1 connection-state=established,related
add action=accept chain=input comment="Local CAPSMAN" src-address-type=local
add action=accept chain=input comment=PINGS protocol=icmp
add action=log chain=input log=yes log-prefix=DACHA src-address=192.168.1.8
add action=accept chain=forward comment=Kvartira dst-address=192.168.1.0/24 in-interface="Home Connect" src-address=192.168.0.0/24
add action=accept chain=forward disabled=yes dst-address=10.10.15.2 in-interface="Home Connect" src-address=192.168.0.0/24
add action=accept chain=input dst-port=8291 in-interface="Home Connect" protocol=tcp
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=log chain=forward disabled=yes log=yes log-prefix=CAMERA out-interface-list=!LAN src-address-list=Cameras
add action=accept chain=forward disabled=yes dst-address=192.168.1.8 dst-port=8125 log=yes log-prefix="DACHA PORT ACCEPT" protocol=tcp
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=DROP
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN log=yes log-prefix=DROP2
add action=drop chain=input in-interface-list=!LAN log-prefix=DROOP3
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=con-r1 in-interface-list=LAN new-routing-mark=via-r1 passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface="Home Connect" new-connection-mark=con-r1 passthrough=no src-address-list=!internal
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log-prefix=SNAT out-interface-list=WAN
/ip route
add distance=1 gateway="Home Connect" routing-mark=via-r1
add distance=1 dst-address=192.168.0.0/24 gateway=10.10.15.1 pref-src=10.10.15.2 scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=4000
/ip ssh
set strong-crypto=yes
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/snmp
set contact=Support enabled=yes location=Home trap-generators="" trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=BLACK
/system logging
add prefix=CAPS topics=caps
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 26 авг 2020, 00:37 Только затрите там всякое: внешние адреса и т.д.
И на всякий случай сразу R1

Код: Выделить всё

/interface bridge
add arp=reply-only fast-forward=no name="Guest WLAN"
add arp=proxy-arp name=bridge1
/interface ethernet
set [ find default-name=ether1 ] mac-address=xx name=Internet rx-flow-control=auto tx-flow-control=auto
/interface l2tp-server
add name=Dacha user=xx
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 country=no_country_set disabled=no distance=indoors frequency-mode=superchannel hw-protection-mode=rts-cts mode=ap-bridge ssid=xx station-roaming=enabled \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 country=no_country_set disabled=no frequency-mode=superchannel mode=ap-bridge ssid=xx5 station-roaming=enabled wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xx wpa2-pre-shared-key=xx
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="Guest Wifi" supplicant-identity=MikroTik wpa-pre-shared-key=xxx wpa2-pre-shared-key=xxx
/interface wireless
add arp=reply-only default-forwarding=no disabled=no keepalive-frames=disabled mac-address=xx master-interface=wlan1 multicast-buffering=disabled name="Guest WiFi" security-profile="Guest Wifi" ssid="xx Guest" station-roaming=\
    enabled wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=policy_group
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=vpn ranges=192.168.0.30-192.168.0.40
add name="Guest WiFi" ranges=192.168.100.50-192.168.100.60
/ip dhcp-server
add add-arp=yes address-pool="Guest WiFi" disabled=no interface="Guest WLAN" name="Guest WiFi"
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none stop-bits=1
set 1 name=usb2
/interface ppp-client
add apn=internet info-channel=3 name=ppp-out1 port=usb1
add apn=internet name=ppp-out2 port=usb2
/ppp profile
add change-tcp-mss=yes local-address=vpn name=l2tp_profile remote-address=vpn
add change-tcp-mss=yes local-address=10.10.15.1 name=dachal2tp only-one=yes use-compression=no use-encryption=no
/snmp community
set [ find default=yes ] addresses=192.168.1.0/24,192.168.0.0/24
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=wlan1
add bridge="Guest WLAN" interface="Guest WiFi" pvid=10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap1,mschap2 default-profile=dachal2tp enabled=yes ipsec-secret=xx use-ipsec=yes
/interface list member
add interface=Internet list=WAN
add interface=bridge1 list=LAN
add interface=Dacha list=LAN
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.100.1/24 interface="Guest WLAN" network=192.168.100.0
/ip dhcp-client
add disabled=no interface=Internet
/ip dhcp-relay
add dhcp-server=192.168.0.10 disabled=no interface=bridge1 name="Relay to ччч"
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=8.8.8.8 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.0.1 name=router type=A
add address=192.168.0.65 name=ввв.ввв.ру type=A
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward comment=Dacha dst-address=192.168.0.0/24 in-interface=Dacha src-address=192.168.1.0/24
add action=accept chain=forward comment=Dacha dst-address=10.10.15.1 in-interface=Dacha src-address=192.168.1.0/24
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="IPSEC ESP" protocol=ipsec-esp
add action=accept chain=forward comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment="Established allow" connection-state=established
add action=accept chain=input comment="Related Allow" connection-state=related
add action=accept chain=input comment=web dst-port=80 protocol=tcp
add action=log chain=forward dst-address=192.168.1.8 log=yes log-prefix="FIRE OUT" src-address=!192.168.0.0/24
add action=log chain=forward dst-address=!192.168.0.0/24 log=yes log-prefix="FIRE IN" src-address=192.168.1.8
add action=accept chain=input comment=web dst-port=8080 protocol=tcp
add action=drop chain=forward comment="Guest WiFi only WAN" disabled=yes in-interface="Guest WLAN" log=yes log-prefix="GUEST WIFI" out-interface=!Internet
add action=drop chain=input in-interface-list=!LAN log=yes log-prefix=DROP
add action=drop chain=forward comment="defcon OLD  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=Internet log=yes log-prefix=DROPNAT
/ip firewall nat
add action=dst-nat chain=dstnat comment=DACHA dst-address-type=local dst-port=8125 log=yes log-prefix=DACH protocol=tcp to-addresses=192.168.1.8 to-ports=8125
add action=dst-nat chain=dstnat comment=DNAT-HASS dst-address=!192.168.0.1 dst-address-type=local dst-port=8123 log-prefix=HPOME protocol=tcp to-addresses=192.168.0.8 to-ports=8123
add action=redirect chain=dstnat dst-address=белый_айпи dst-port=80 log-prefix=PROXY protocol=tcp to-ports=8080
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment=SNAT-HASS dst-port=8123 out-interface=bridge1 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="CERTBOT HASS" disabled=yes dst-address=!192.168.0.1 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.0.8 to-ports=80
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=*3 src-address=192.168.0.0/24 tunnel=yes
/ip proxy
set enabled=yes src-address=0.0.0.0
/ip proxy access
add action=deny comment="Block telnet and spam" dst-port=23-25
add dst-port=80
add disabled=yes dst-host=project.lemgel.ru dst-port=80
add action=deny disabled=yes
/ip route
add comment="Dacha VPN" distance=1 dst-address=192.168.1.0/24 gateway=10.10.15.2 pref-src=10.10.15.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24,192.168.1.0/24 port=8899
set ssh port=4000
/ip smb
set allow-guests=no domain=яяяя
/ip ssh
set strong-crypto=yes
/ip upnp
set show-dummy-rule=no
/ppp l2tp-secret
add
/ppp secret
add name=ччч password=ссс profile=l2tp_profile service=l2tp
add local-address=10.10.15.1 name=ччч password=ссс profile=dachal2tp remote-address=10.10.15.2
/snmp
set contact=Support enabled=yes location=Home trap-generators="" trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroFlat
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Понял в чем ещё один косяк: у вас и "Home connect" тоже добавлен в LAN.

Измените в этом mangle правиле:

Код: Выделить всё

add action=mark-routing chain=prerouting connection-mark=con-r1 in-interface-list=LAN new-routing-mark=via-r1 passthrough=no
in-interface-list=LAN на in-interface=bridge

Надеюсь это последний :)


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 26 авг 2020, 13:37 Надеюсь это последний :)
Действительно был последний!

Огромное спасибо!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

moskovskiy82 писал(а): 29 авг 2020, 12:34 Действительно был последний!

Огромное спасибо!
:co_ol:

Рад помочь :)


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 29 авг 2020, 12:51
:co_ol:

Рад помочь :)
Что то творится какая то магия.
Берем раутер 2 и пингуем с него машину .8
Все ок. пакеты идут на 10.10.15.1 и затем на машину

Пробуем .7
Пакеты идут на 10.10.15.1 и все

На .10 идут

на .5 не идут... Как то странно. Даже не пойму куда смотреть

arp proxy на бриджах включены


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А что за машины? Если там виндовые компы, то на них по-умолчанию firewall не даёт себя пинговать из других подсетей.


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 22 сен 2020, 10:59 А что за машины? Если там виндовые компы, то на них по-умолчанию firewall не даёт себя пинговать из других подсетей.
Разные.
CentOS, ESXi

Но вопрос решился сам собой. На них был указан старый default gateway .4 (сейчас .1)
Хотя все равно не совсем понятно. В моей логике получив пакет - они должны были ответить .1, а не ломится на default gateway. Пойти что Олиферов перечитать гуманитарию?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

moskovskiy82 писал(а): 22 сен 2020, 21:16 Но вопрос решился сам собой. На них был указан старый default gateway .4 (сейчас .1)
Хотя все равно не совсем понятно. В моей логике получив пакет - они должны были ответить .1, а не ломится на default gateway. Пойти что Олиферов перечитать гуманитарию?
Именно что получив пакет не из своей сети, отвечать они должны были как раз таки на default gateway, если никаких других маршрутов на них самих не прописано.
От кого пришел изначальный пакет значения вообще не имеет.
Более того, если в более общем случае смотреть: прямой и обратный пути для пакета вообще не обязаны совпадать, если это специально не запрещено.


Telegram: @thexvo
vadim.shimov
Сообщения: 18
Зарегистрирован: 06 ноя 2019, 20:28

подскажите с правилом, есть подобная схема сети как в теме, но на R2 в один из портов прописана другая подсеть, маршрут на R2 прописал, подсеть видна, но при подключении из вне не работает, хотя пакеты на правиле ходят


Ответить