Port Forwarding - проброс портов не получается.

Обсуждение ОС и пр.
LEOLAINER
Сообщения: 17
Зарегистрирован: 03 янв 2017, 09:05

19 ноя 2017, 13:59

Имеется микротик который используется в качестве роутора, к нему подключён напрямую интернет, имеется белый ip типа 109.225.00.00,
во внутренней сети есть мост из двух Ubiquiti Powerbeam M2 c ip адресами: 192.168.78.241,192.168.78.243.
Необходимо подключатся на Ubiquiti через глобальную сеть по веб интерфейсу. По мануалам в сети, вроде бы,
всё понятно, были произведены настройки в разделе nat: add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80 (Первое устройство Ubiquiti)
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80 (Второе устройство Ubiquiti)
Общая картина в разделе nat:
add action=masquerade chain=srcnat comment=nat1 out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=ether2 to-addresses=0.0.0.0
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80
Также были произведены настройки в разделе firewall:
add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp
add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp
Общая картина в разделе firewall:
/ip firewall filter
add chain=input comment="access to winbox" dst-port=8291 in-interface=\
pppoe-out1 protocol=tcp
add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \
protocol=tcp
add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \
protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add chain=input connection-state=related in-interface=ether2
add chain=input connection-state=established in-interface=ether2
add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp
add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input disabled=yes in-interface=pppoe-out1
add action=drop chain=input in-interface=ether2
add chain=forward comment=erhov2 dst-address=192.168.78.13
add chain=forward comment=dvorecki dst-address=192.168.78.35
add action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward in-interface=ether2 jump-target=customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
Но почему то невозможно извне подключится к Ubiquiti Powerbeam M2. Что может быть не так? Заранее всем очень признателен!


user2k
Сообщения: 7
Зарегистрирован: 19 дек 2016, 14:16

19 ноя 2017, 21:21

на 192.168.78.241 и 192.168.78.243 80 порт открыт? service www enable?


KARaS'b
Сообщения: 563
Зарегистрирован: 29 сен 2011, 09:16

19 ноя 2017, 21:34

Обычно, для проброса в action используют dstnat. Плюс, ваше второе правило маскарада, зачем там 0.0.0.0? Достаточно просто интерфейса.
Ну и главная ошибка, в фаерволе, в разрешающем правиле для проброса вы указываете цепочка input, судя по портам, для разрешения прохождения к вашим убикютикам и это не правильно, убикютики за микротом, значит цепочка должна быть forward, т.к. он переправляет трафик, а не принимает.
Начните с правки в фильтрах, скорее всего именно оно вам и мешало.


LEOLAINER
Сообщения: 17
Зарегистрирован: 03 янв 2017, 09:05

19 ноя 2017, 22:49

user2k писал(а):на 192.168.78.241 и 192.168.78.243 80 порт открыт? service www enable?

Да всё открыто! По LAN управление нормально идёт.


LEOLAINER
Сообщения: 17
Зарегистрирован: 03 янв 2017, 09:05

19 ноя 2017, 22:55

KARaS'b писал(а):Обычно, для проброса в action используют dstnat. Плюс, ваше второе правило маскарада, зачем там 0.0.0.0? Достаточно просто интерфейса.
Ну и главная ошибка, в фаерволе, в разрешающем правиле для проброса вы указываете цепочка input, судя по портам, для разрешения прохождения к вашим убикютикам и это не правильно, убикютики за микротом, значит цепочка должна быть forward, т.к. он переправляет трафик, а не принимает.
Начните с правки в фильтрах, скорее всего именно оно вам и мешало.

netmap - это более усовершенствованный dstnat, но если вас это смущает, то и так и так уже пробовали. Второе правило маскарада здесь не при чём, это балансировка двух интернет каналов, но один канал просто не используется - он отсутствует. В фаерволе уже пробовали форвард, и правила запрещающие тоже пробовали отключать, а воз и ныне там.


KARaS'b
Сообщения: 563
Зарегистрирован: 29 сен 2011, 09:16

20 ноя 2017, 00:10

Еще раз, повторюсь, не важно, что вы пробовали, важно что убикютики за микротом и не являются им, значит цепочка однозначно forwar.
Дальше, если оно не помогло, вырубаете полностью все правила фаервола (даже касающиеся убикютиков) и проверяете без них, если завелось, значит что-то не так с вашими правилами фаервоа, если нет, значит что то не так с вашими правилами проброса. Не забывайте, очередность правил имеет значение.
И самое главное, судя по тому, что у вас балансировка, у вас большие проблемы! Настроить балансировку очень легко, но гораздо сложнее настроить проброс при балансировке. Так что скорее всего ваши проблемы кроются именно в этом. Если второго канала действительно нет, уберите все что касается балансировки и пробуйте так, иначе можно долго и упорно выяснять в чем у вас беда.


LEOLAINER
Сообщения: 17
Зарегистрирован: 03 янв 2017, 09:05

20 ноя 2017, 08:48

KARaS'b писал(а):Еще раз, повторюсь, не важно, что вы пробовали, важно что убикютики за микротом и не являются им, значит цепочка однозначно forwar.
Дальше, если оно не помогло, вырубаете полностью все правила фаервола (даже касающиеся убикютиков) и проверяете без них, если завелось, значит что-то не так с вашими правилами фаервоа, если нет, значит что то не так с вашими правилами проброса. Не забывайте, очередность правил имеет значение.
И самое главное, судя по тому, что у вас балансировка, у вас большие проблемы! Настроить балансировку очень легко, но гораздо сложнее настроить проброс при балансировке. Так что скорее всего ваши проблемы кроются именно в этом. Если второго канала действительно нет, уберите все что касается балансировки и пробуйте так, иначе можно долго и упорно выяснять в чем у вас беда.

Мой вариант баласировки, здесь ну не причём. Вот тогда ещё один миротик с белым адресом типа 195.112.00.00, и необходимостью сделать проброс портов до точки доступа Ubiquiti Rocket M2, с адресом 192.168.78.230. Никакой балансировки здесь, как вы увидите нет и правила фаервола - самые простые.
Общая картина в разделе nat:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=netmap chain=dstnat dst-address=195.112.00.00 dst-port=50230 \
in-interface=ether1 protocol=tcp to-addresses=192.168.78.230 to-ports=80
Общая картина в разделе firewall:
/ip firewall filter
add action=accept chain=input comment="access to winbox" dst-port=8291 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment="access to ssh" dst-port=65345 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment="access to web" dst-port=80 in-interface=\
ether1 protocol=tcp
add action=accept chain=input protocol=icmp
add action=accept chain=forward dst-port=50230 in-interface=ether1 protocol=tcp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
Происходит та же самая проблема, через внешний интерфейс не получается попасть во внутреннюю сеть.


user2k
Сообщения: 7
Зарегистрирован: 19 дек 2016, 14:16

20 ноя 2017, 09:43

правило маскарадинга в самый низ опустите.


LEOLAINER
Сообщения: 17
Зарегистрирован: 03 янв 2017, 09:05

20 ноя 2017, 19:09

user2k писал(а):правило маскарадинга в самый низ опустите.

Это просто уже какие то танцы с бубном! Ну не помогает это тоже, и не должно в nat разве есть понятие цепочки?


Аватара пользователя
Vlad-2
Сообщения: 1041
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

21 ноя 2017, 05:57

LEOLAINER писал(а):
user2k писал(а):правило маскарадинга в самый низ опустите.

Это просто уже какие то танцы с бубном! Ну не помогает это тоже, и не должно в nat разве есть понятие цепочки?

Ну приоритеты тоже никто не отменял.
Танцев нету, надо запускать торч, запускать другие утилиты и логически смотреть что куда и как идёт.
И по поводу НАТа ...не всегда надо всё пере-за-НАчивать.

И как хороший совет...на время (на 2-4 минуты) отключите почти все правила и смотрите, это
же проще всего, отключаем, смотрим, заработало, значит в наших отключенных праивилах
есть правила(о) которое нам через чур мешает.

Удалённо на форуме мы может подсказать, дать идею, мыслю, но не видя Вашу сеть,
логику и все подробности - гадать только можно. Такая у нас, у инженеров
работа: не только запустить, но ещё и быть детективом, искать и выявлять проблемы...
(и наши и чужие)


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Ответить