Mikrotik VirtualBox - проброс порта

Обсуждение ПО и его настройки
Аватара пользователя
Predator
Сообщения: 9
Зарегистрирован: 22 янв 2018, 04:48
Откуда: Москва
Контактная информация:

22 янв 2018, 04:57

Имеются две виртуальные машины в VirtualBox. На одной установлена Mikrotik RouterOS 6.41, включены два сетевых адаптера. Внешний и внутренний, соответственно. На второй - Win10 с одним сетевым адаптером. Mikrotik получает внешний адрес (192.168.0.8) на внешнем интерфейсе. На внутреннем интерфейсе (10.50.0.1) настроен DHCP-сервер. Win10 получает адрес (10.50.0.200) от DHCP-сервера Mikrotik. Успешно выходит в инет. С физической машины успешно подключаюсь к Mikrotik через веб-интерфейс на 80-й порт и через WinBox.
На Win10 расшарена папка - доступ для всех, отключена парольная защита.
На Mikrotik пробрасываю порт:
Chain: dstnat
Dst. Address: 192.168.0.8
Protocol: 6 (tcp)
Dst. Port: 445
Action: dst-nat
To Addresses: 10.50.0.200
To Ports: 445


Физическая машина лежит в той же подсети, что и внешняя сетевуха Mikrotik, и имеет адрес 192.168.0.2
С физической машины Telnet'ом к порту подключиться не могу:

Код: Выделить всё

PS C:\Windows\system32> telnet 192.168.0.8 445 
Подключение к 192.168.0.8...Не удалось открыть подключение к этому узлу, на порт 445: Сбой подключения


Через проводник к шаре виртуалки тоже подключиться не могу.

В логах Микротика следующее:

Код: Выделить всё

dstnat: in:ether1 out:(unknown 0), src-mac 70:4*:**:**:**:**, proto TCP (SYN), 192.168.0.2:58894->192.168.0.8:445, len 52 


Понимаю, что ему не нравится внутренний интерфейс. Но не понимаю, чем именно. У кого-нибудь есть идеи? Уже голову сломал над этим.

Код: Выделить всё

/ip firewall filter
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=input comment="allow established connections" \
    connection-state=established disabled=yes in-interface=ether1
add action=accept chain=input comment="allow related connections" \
    connection-state=related disabled=yes in-interface=ether1
add action=accept chain=input disabled=yes in-interface=ether1
add action=jump chain=forward comment="forward smb" disabled=yes in-interface=\
    ether1 jump-target=customer
add action=accept chain=customer connection-state=established disabled=yes
add action=accept chain=customer connection-state=related disabled=yes
add action=drop chain=input comment="drop invalid connections" \
    connection-state=invalid disabled=yes log=yes log-prefix=drp_inv
add action=accept chain=forward disabled=yes dst-address=192.168.0.8 dst-port=\
    445 log=yes protocol=tcp src-address=192.168.0.2

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 out-interface-list=WAN
add action=dst-nat chain=dstnat comment=SMB dst-address=192.168.0.8 dst-port=445 log=yes log-prefix=fwd_445 protocol=tcp to-addresses=10.50.0.200 to-ports=445


ip service export = пусто.


vqd
Модератор
Сообщения: 3604
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 янв 2018, 06:38

А для чего вы что то пробрасываете если у вас обе машины работают через один роутер то?

То бы доступ к шаре получить достаточно зайти на \\shara_address


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Predator
Сообщения: 9
Зарегистрирован: 22 янв 2018, 04:48
Откуда: Москва
Контактная информация:

22 янв 2018, 07:10

Не совсем так. Есть физический роутер со внутренним адресом 192.168.0.1, есть машина с адресом 192.168.0.2, на которой запущены эти две виртуалки, одна из которых выступает роутером для второй. Подсеть внутри подсети.
И для того, чтобы получить доступ к шаре на виртуалке 10.50.0.200, нужно пробросить оттуда порт 445 и заходить на \\192.168.0.8.


vqd
Модератор
Сообщения: 3604
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 янв 2018, 07:14

если у вас прямая маршрутизация то ничего пробрасывать ненадо


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Predator
Сообщения: 9
Зарегистрирован: 22 янв 2018, 04:48
Откуда: Москва
Контактная информация:

22 янв 2018, 07:38

Вот схема. Нужно с 192.168.0.2 заходить на шару 10.50.0.200.


Изображение


vqd
Модератор
Сообщения: 3604
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 янв 2018, 07:43

По вашей схеме в принципе не нужен проброс если нормально оба роутера настроить


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Predator
Сообщения: 9
Зарегистрирован: 22 янв 2018, 04:48
Откуда: Москва
Контактная информация:

22 янв 2018, 07:48

Вы имеете в виду настроить всё в одной подсети? Да, тогда пробрасывать не нужно будет. Но дело в том, что нужно настроить именно так - подсеть внутри подсети.
Вопрос в другом: почему не работает проброс порта?


vqd
Модератор
Сообщения: 3604
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 янв 2018, 08:06

Нет не в одной, маршрутизацию надо нормально настроить, вам там даже нат то нужен только на роутере который в сторону оператора смотрит


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Predator
Сообщения: 9
Зарегистрирован: 22 янв 2018, 04:48
Откуда: Москва
Контактная информация:

22 янв 2018, 08:34

Задача как раз в том, чтобы настроить через NAT и пробросить порт.


vqd
Модератор
Сообщения: 3604
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 янв 2018, 08:42

ну так вы конфиг покажите весь, а там дальше видно будет


Есть интересная задача и бюджет? http://mikrotik.site
Ответить