Mikrotik, не открывается порт

Обсуждение ПО и его настройки
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

enzain писал(а):
kursy_po_it_ru писал(а):Должно быть так: add action=accept chain=forward in-interface=ether1 protocol=tcp dst-port=12345


Разрешить форвардинг на любой ИП в сети локальной на порт 12345?
Не надо так.


Правило разрешает на любой адрес, но по факту пройдет только на тот на который есть проброс.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Babayka
Сообщения: 25
Зарегистрирован: 08 фев 2018, 18:10

kursy_po_it_ru писал(а):IP-адрес на который Вы подключаетесь настроен на этот интерфейс?
Да, в 1й порт входит провод от провайдера.
kursy_po_it_ru писал(а):Приведите настройки IP-адресации с хоста на который Вы делаете проброс.
Это что конкретно сделать надо ?
kursy_po_it_ru писал(а):Из локальной сети подключиться получается?
Имеется в виду виден ли в локальной сети порт 12345 на машине 192.168.0.2 ? Даже не знаю, как проверить.
enzain писал(а):
Babayka писал(а): Указал непосредственно интерфейс, толку нет :(
сделайте нам лучше из корня консоли:
/export terse
потому как мне кажется - что где то там собака порылась ...
И да даже если ПК не принимает коннект само правило должно показывать увеличение коунтеров

Код: Выделить всё

[admin@MikroTik] > /export terse
# feb/08/2018 23:20:10 by RouterOS 6.41
# software id = 45JH-XAK2
#
# model = 951G-2HnD
# serial number = 642E075333C9
/interface bridge add admin-mac=64:D1:54:53:1C:C3 auto-mac=no comment=defconf name=bridge
/interface ethernet set [ find default-name=ether1 ] comment=WAN
/interface ethernet set [ find default-name=ether2 ] comment=LAN
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless security-profiles add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-
ciphers=tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=bobo supplicant-identity=""
 unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=156156263 wpa2-pre-shared-key=156156263
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n comment=WIFI default-authenticati
on=no disabled=no distance=indoors frequency=2472 frequency-mode=superchannel hw-retries=9 mode=ap-br
idge security-profile=bobo ssid=babayka tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=8
02.11 wps-mode=disabled
/interface wireless manual-tx-power-table set wlan1 comment=WIFI
/interface wireless nstreme set wlan1 comment=WIFI enable-polling=no
/ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip pool add name=dhcp_pool1 ranges=192.168.0.100-192.168.0.254
/ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge lease-time=10h10m name=dhcp1
/queue simple add max-limit=3M/3M name=kitchen target=192.168.0.3/32 time=0s-1d,sun,mon,tue,wed,thu,f
ri,sat
/queue simple add max-limit=1M/1M name=Humster target=192.168.0.7/32
/queue simple add max-limit=3M/3M name=masha_phone target=192.168.0.12/32
/queue simple add max-limit=3M/3M name=IPad target=192.168.0.11/32
/queue simple add max-limit=3M/3M name=masha_tablet target=192.168.0.13/32
/queue simple add max-limit=1M/1M name=tablet target=192.168.0.10/32
/queue simple add disabled=yes max-limit=2M/2M name=test target=192.168.0.2/32
/queue type add kind=pcq name=dwnl_2M pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-rate=2M
 pcq-src-address6-mask=64
/queue type add kind=pcq name=upld_2M pcq-classifier=src-address pcq-dst-address6-mask=64 pcq-rate=2M
 pcq-src-address6-mask=64
/queue simple add disabled=yes max-limit=15M/15M name=all_dwnl_2M queue=upld_2M/dwnl_2M target=192.16
8.0.0/24
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/interface wireless access-list add comment=Me_pc mac-address=10:4A:7D:DC:C6:E8 time=0s-1d,sun,mon,tu
e,wed,thu,fri,sat vlan-mode=no-tag
/interface wireless access-list add comment=Kitchen mac-address=78:92:9C:46:67:64 vlan-mode=no-tag
/interface wireless access-list add comment=TV_PC mac-address=00:25:D3:CD:15:17 vlan-mode=no-tag
/interface wireless access-list add comment=Me_phone mac-address=78:02:F8:21:2A:07 vlan-mode=no-tag
/interface wireless access-list add comment=Hamster mac-address=B0:E2:35:CB:FF:07 vlan-mode=no-tag
/interface wireless access-list add comment=Father mac-address=E4:46:DA:EE:B8:37 vlan-mode=no-tag
/interface wireless access-list add comment=Mother mac-address=2C:56:DC:09:CD:7F vlan-mode=no-tag
/interface wireless access-list add comment=Printer mac-address=7C:E9:D3:AA:0D:20 vlan-mode=no-tag
/interface wireless access-list add comment=Tablet mac-address=A0:2C:36:84:FB:EA vlan-mode=no-tag
/interface wireless access-list add comment=IPad mac-address=7C:C3:A1:CF:12:CA vlan-mode=no-tag
/interface wireless access-list add comment=Masha_phone mac-address=AC:C1:EE:3B:CB:64 vlan-mode=no-ta
g
/interface wireless access-list add comment=Masha_tablet mac-address=60:D9:A0:1C:D3:90 vlan-mode=no-t
ag
/ip address add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
/ip address add address=10.2.4.220/24 interface=ether1 network=10.2.4.0
/ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridge
/ip dhcp-server lease add address=192.168.0.2 lease-time=59w3d15h mac-address=10:4A:7D:DC:C6:E8
/ip dhcp-server lease add address=192.168.0.4 lease-time=59w3d15h mac-address=00:25:D3:CD:15:17
/ip dhcp-server lease add address=192.168.0.3 lease-time=59w3d15h mac-address=78:92:9C:46:67:64
/ip dhcp-server lease add address=192.168.0.6 lease-time=59w3d15h mac-address=78:02:F8:21:2A:07
/ip dhcp-server lease add address=192.168.0.7 lease-time=59w3d15h mac-address=B0:E2:35:CB:FF:07
/ip dhcp-server lease add address=192.168.0.8 lease-time=59w3d15h mac-address=E4:46:DA:EE:B8:37
/ip dhcp-server lease add address=192.168.0.9 lease-time=59w3d15h mac-address=2C:56:DC:09:CD:7F
/ip dhcp-server lease add address=192.168.0.5 lease-time=59w3d15h mac-address=7C:E9:D3:AA:0D:20
/ip dhcp-server lease add address=192.168.0.10 lease-time=59w3d15h mac-address=A0:2C:36:84:FB:EA
/ip dhcp-server lease add address=192.168.0.11 lease-time=59w3d15h mac-address=7C:C3:A1:CF:12:CA
/ip dhcp-server lease add address=192.168.0.12 lease-time=59w3d15h mac-address=AC:C1:EE:3B:CB:64
/ip dhcp-server lease add address=192.168.0.13 lease-time=59w3d15h mac-address=60:D9:A0:1C:D3:90
/ip dhcp-server network add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1
/ip dns set allow-remote-requests=yes servers=10.0.10.1,10.0.10.2
/ip dns static add address=192.168.88.1 name=router.lan
/ip firewall filter add action=accept chain=forward dst-port=12345 in-interface=ether1 protocol=tcp
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untrac
ked" connection-state=established,related,untracked disabled=yes
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=inva
lid disabled=yes
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protoco
l=icmp
/ip firewall filter add action=accept chain=forward disabled=yes protocol=icmp src-address-list=""
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" disab
led=yes in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" disable
d=yes ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" disabl
ed=yes ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connec
tion-state=established,related disabled=yes
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, unt
racked" connection-state=established,related,untracked disabled=yes
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=in
valid disabled=yes
/ip firewall filter add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" 
connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether
1
/ip firewall nat add action=netmap chain=dstnat dst-port=12345 in-interface=ether1 protocol=tcp to-ad
dresses=192.168.0.2
/ip route add distance=1 gateway=10.2.4.1
/system clock set time-zone-autodetect=no
/system clock manual set time-zone=+05:00
/system watchdog set watch-address=10.2.4.1 watchdog-timer=no
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Каким образом у Вас action=dst-nat превратилось в action=netmap?

Дайте IP-адрес, маску и шлюз с хоста на который сделан проброс портов. Как Вы это выясните? Я не знаю.

Прежде всего убедитесь, что у Вас сервис вообще из локальной сети работает.

У Вас на ether1 настроен не тот адрес, который Вы засветили в предыдущем посте. У Вас на нем вообще "серый" адрес на который нельзя подключаться из интернета.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

kursy_po_it_ru писал(а):
enzain писал(а):
kursy_po_it_ru писал(а):Должно быть так: add action=accept chain=forward in-interface=ether1 protocol=tcp dst-port=12345


Разрешить форвардинг на любой ИП в сети локальной на порт 12345?
Не надо так.


Правило разрешает на любой адрес, но по факту пройдет только на тот на который есть проброс.


Опять возвращаемся к тому, что если у вас IPoE и кто-то укажет ваш внешний ИП как шлюз, то пройдет на любой адрес.
Потому адрес указывать все-таки надо.


Babayka
Сообщения: 25
Зарегистрирован: 08 фев 2018, 18:10

kursy_po_it_ru писал(а):Каким образом у Вас action=dst-nat превратилось в action=netmap?

Вычитал в интернетах, что это более расширенная штука, чем dst-nat. Пока жду от вас советов попутно читаю интернеты)

kursy_po_it_ru писал(а):Дайте IP-адрес, маску и шлюз с хоста на который сделан проброс портов.

192.168.0.2, 255.255.255.0, 192.168.0.1

kursy_po_it_ru писал(а):Прежде всего убедитесь, что у Вас сервис вообще из локальной сети работает.

Это просто проброс порта для торрента, ума ни приложу, как это из локалки можно проверить)

kursy_po_it_ru писал(а):У Вас на ether1 настроен не тот адрес, который Вы засветили в предыдущем посте. У Вас на нем вообще "серый" адрес на который нельзя подключаться из интернета.

Это не отменяет того факта, что в 1й порт приходит кабель от провайдера) Выход в интернет у него просто организован без всяких vpn'ов, просто статический адрес.

Вообще возможно, что порты закрыты на стороне провайдера ?


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Babayka писал(а):Вычитал в интернетах, что это более расширенная штука, чем dst-nat. Пока жду от вас советов попутно читаю интернеты)

Вы байку про рака, лебедя и щуку, которые телегу в разные стороны тянут помните? Вы уж определитесь кого Вы слушаете. Потому, что я, когда даю дальнейшие советы исхожу из того, что мои рекомендации выполнены. netmap нужно для других целей. Вам нужно dst-nat.

Babayka писал(а):Это не отменяет того факта, что в 1й порт приходит кабель от провайдера) Выход в интернет у него просто организован без всяких vpn'ов, просто статический адрес.


Подключение на этот адрес из Интернета проверить нельзя!
Сравните тот IP-адрес, который у Вас на MikroTik'е на первом порту и тот на который Вы пытались подключиться. Это разные адреса. Проверить возможность подключения на него из Интернета Вы не сможете.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Ну у вас нет внешнего ип по сути чем вам поможет проброс порта до торрента?


Babayka
Сообщения: 25
Зарегистрирован: 08 фев 2018, 18:10

Я не большой специалист в этом, поэтому могу путаться в формулировках: тогда тот ip, который вылазит как мой на том же 2ip.ru, это разве не мой внешний адрес ?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

kursy_po_it_ru писал(а):Вы байку про рака, лебедя и щуку, которые телегу в разные стороны тянут помните? Вы уж определитесь кого Вы слушаете. Потому, что я, когда даю дальнейшие советы исхожу из того, что мои рекомендации выполнены. netmap нужно для других целей. Вам нужно dst-nat.

честно сказать, не вижу причин почему б не использовать нетмап, если оно работает.

В принципе понятно, что у него более широкие возможности, но мапить конкретный порт на конкретный порт - в общем то оно умеет, не объясните вашу позицию?
Везде - где я слышал про дстнат говорится что в общем то, все равно чем пользоваться.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Babayka писал(а):Я не большой специалист в этом, поэтому могу путаться в формулировках: тогда тот ip, который вылазит как мой на том же 2ip.ru, это разве не мой внешний адрес ?

Нет, особенно если адрес на ether1 и тот что вы видите разные.

Это адрес провайдера, а вы сидите за натом, так же как и ваши компы относительно сети провайдера.


Ответить