Страница 1 из 3

Глупые вопросы.

Добавлено: 14 ноя 2011, 23:06
KARaS'b
Думаю я уже далеко не единственный "чайник" которому вздумалось приобрести ваше оборудование и который считает своим долгом замучить форум и поддержку в частности. :D
В общем к делу:
Роутерборт 750gl, роутерос 5.2.
Достал долгожданную железку из коробки, открыл гугл, вбил "mikrotik pppoe" Первая же видюшка с ютуба, настраиваю почти все по ней, кроме внутренних адресов и в DHCP убиваю адрес пул, потому что в моем случае все должно выдаваться статично(может я тут не прав?) Но суть в том что после проделанной работы тик тырнет видит - яндекс пингует, а вот пк нет. И дальше, как это водится методом научного тыка я выхожу в винбоксе на IP>DNS>Settings и вот там пока не поставлю галочку "Allow Remote Requests" тырнета я не вижу, если потом я убираю эту галку то страницы снова перестают открываться... Если это важно, то на машинах которые получали адреса по dhcp(вначале я не трогал адрес пул и бук получал адреса от тика) имели тырнет(вроде), а вот пк с которого я настраиваю, со статичным адресом всегда, вбитым руками, в качестве DNSа указан тик(192.168.11.11)интернета не видел. Вот и хотелось бы задавать глупый вопрос - это нормально, можно ли так делать, может именно так делать и надо, за что вообще отвечает эта галка?))) Заранее спасибо!)

Re: Глупые вопросы.

Добавлено: 15 ноя 2011, 00:27
KARaS'b
И сразу же еще один глупый вопрос)
Не сочтите за рекламу, но необходимо было пробросить пару тройку портов и наткнулся на вот эту ссылку http://aboutmikrotik.info/publ/avtorskie_stati/kak_probrosit_porty_na_mikrotike/7-1-0-56, по ней все работает, но с одним Но. Извне я действительно могу попасть на все то что задумал, а именно это вэбморда уторента и rdp одной из домашних машин. Но есть потребность делать это даже сидя у себя в локалке(мне лично не лень вбивать локальные адреса, но вэбмордой уторента будут пользоваться люди которым не нравится такой способ. То есть принципиальная схема такая есть ddns - xxx.dlinkddns.com и если я где то в гостях вбиваю в адресную строку xxx.dlinkddns.com я вижу вебморду, а если я сижу дома то нет, страница просто не открывается. Вот и родился вопрос как это поправить? И снова заранее спасибо.
З.Ы. Оба вопрос если не сложно, надо объяснить прям как для тупых)))

Re: Глупые вопросы.

Добавлено: 16 ноя 2011, 11:53
iSupport
По первому вопросу. Смотрим в Микротик Вики (кстати очень полезный сайт)

http://wiki.mikrotik.com/wiki/Manual:IP/DNS

видим

Description

A MikroTik router with DNS feature enabled can be set as a DNS server for any DNS-compliant client. Moreover, MikroTik router can be specified as a primary DNS server under its dhcp-server settings. When the remote requests are enabled, the MikroTik router responds to TCP and UDP DNS requests on port 53.


allow-remote-requests (yes | no; default: no) specifies whether to allow network requests



Переводим (используем Гугл переводчик, правим результат с русского на русский)

Маршрутизатор MikroTik с включенной функцей DNS может быть установлен как сервер DNS для любого DNS-совместимого клиента. Более того, MikroTik маршрутизатор может быть определен как первичный сервер DNS от его DHCP-сервера. Когда удаленные запросы разрешены, маршрутизатор MikroTik отвечает на TCP и UDP DNS запросы на порт 53.

То есть работает как DNS сервер для клиентов


Если хотите интернет без *галочки* allow-remote-requests = пропишите на клиентах DNS провайдера

Re: Глупые вопросы.

Добавлено: 16 ноя 2011, 12:35
iSupport
касаемо второго вопроса = необходима дополнительная информация

выложите ip firewall nat print и ip firewall filter print

Re: Глупые вопросы.

Добавлено: 16 ноя 2011, 14:46
KARaS'b
ip firewall nat print
0 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=domolink

1 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9091
protocol=tcp dst-port=9091

2 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=3389
protocol=tcp dst-port=3389

ip firewall filter print
0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domolink

3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
in-interface=!ether1 dst-port=9091

4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
in-interface=!ether1 dst-port=3389

5 ;;; Added by webbox
chain=input action=drop in-interface=domolink

6 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink

Оно?)

Re: Глупые вопросы.

Добавлено: 17 ноя 2011, 11:20
iSupport
попробуйте убрать

in-interface=!ether1

Re: Глупые вопросы.

Добавлено: 17 ноя 2011, 12:56
KARaS'b
0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domolink

3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9091

4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=3389

5 ;;; Added by webbox
chain=input action=drop in-interface=domolink

6 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink

Так? Все по старому, издалека могу, из дома нет :cry:

Re: Глупые вопросы.

Добавлено: 18 ноя 2011, 16:54
KARaS'b
Всплыла еще одна фигня, оказывается тот способ для проброса, которым я воспользовался, сотворил что то такое, что теперь блокирует порт 3389(rdp), пока есть правило в нате я не могу из дома подключиться к машине на работе, как только убиваю правило(помему в фаерволе то же надо) все становится нормально, но соответственно извне то не смогу к дому подключиться.

Re: Глупые вопросы.

Добавлено: 21 ноя 2011, 01:54
KARaS'b
Возможно я уже общаюсь сам с собой, но! За выходные проведенные в состоянии алкогольного опьянения, выяснил следующее:
Нат, с в моем случае, блокировал проброшенные мной порты, пока в правила не были добавлены "ининтерфейс". У меня это pppoe подключение с названием "domolink". Теперь нат не блокирует исходящие по проброшенным портам. Но из лан сети я попрежнему не могу попасть на втнутренние ресурсы посредстван dns запросов. Если не хватает какой то информации и есть возможно более тесно пообщаться то буду только рад, ибо проброс портов впринципе последнее чем я озадачен, все остальное уже реализовал и пока что меня роутер устраивает процентов так на 200 минимум. Посему молю!) помогите пробросить порты так как я хочу!
0 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=domolink

1 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9091
protocol=tcp in-interface=domolink dst-port=9091

2 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=3389
protocol=tcp in-interface=domolink dst-port=3389

0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domol

3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
in-interface=!ether1 dst-port=3389

4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
in-interface=!ether1 dst-port=9091

5 ;;; Added by webbox
chain=input action=drop in-interface=domolink

6 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink

Re: Глупые вопросы.

Добавлено: 21 ноя 2011, 10:19
iSupport
Как вариант добавть DST-nat

in interface = ваша локалка

DST Адрес = твой внешник

ДСТ порт = порт проброса

Действие = DST nat

ip сервера куда

порт сервера