Mikrotik, не открывается порт

Обсуждение ПО и его настройки
Babayka
Сообщения: 25
Зарегистрирован: 08 фев 2018, 18:10

enzain писал(а):
Babayka писал(а):Я не большой специалист в этом, поэтому могу путаться в формулировках: тогда тот ip, который вылазит как мой на том же 2ip.ru, это разве не мой внешний адрес ?

Нет, особенно если адрес на ether1 и тот что вы видите разные.

Это адрес провайдера, а вы сидите за натом, так же как и ваши компы относительно сети провайдера.

Понял, о чем речь.

Спасибо вам обоим за терпение и уделенное время!)


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

enzain писал(а):
kursy_po_it_ru писал(а):Вы байку про рака, лебедя и щуку, которые телегу в разные стороны тянут помните? Вы уж определитесь кого Вы слушаете. Потому, что я, когда даю дальнейшие советы исхожу из того, что мои рекомендации выполнены. netmap нужно для других целей. Вам нужно dst-nat.

честно сказать, не вижу причин почему б не использовать нетмап, если оно работает.

В принципе понятно, что у него более широкие возможности, но мапить конкретный порт на конкретный порт - в общем то оно умеет, не объясните вашу позицию?
Везде - где я слышал про дстнат говорится что в общем то, все равно чем пользоваться.


Как говорится: "Не все йогурты одинаково полезны". В Интернете вообще много чего пишут. Это позиция самой компании MikroTik. Как пел Высоцкий: "Жираф большой ему видней".
Последний раз редактировалось kursy_po_it_ru 08 фев 2018, 21:56, всего редактировалось 1 раз.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Babayka писал(а):
enzain писал(а):
Babayka писал(а):Я не большой специалист в этом, поэтому могу путаться в формулировках: тогда тот ip, который вылазит как мой на том же 2ip.ru, это разве не мой внешний адрес ?

Нет, особенно если адрес на ether1 и тот что вы видите разные.

Это адрес провайдера, а вы сидите за натом, так же как и ваши компы относительно сети провайдера.

Понял, о чем речь.

Спасибо вам обоим за терпение и уделенное время!)


Да не за что.
И если вам нужен проброс - просите у провайдера белый ИП, и все будет как захотите :)


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

kursy_po_it_ru писал(а):
enzain писал(а):
kursy_po_it_ru писал(а):Вы байку про рака, лебедя и щуку, которые телегу в разные стороны тянут помните? Вы уж определитесь кого Вы слушаете. Потому, что я, когда даю дальнейшие советы исхожу из того, что мои рекомендации выполнены. netmap нужно для других целей. Вам нужно dst-nat.

честно сказать, не вижу причин почему б не использовать нетмап, если оно работает.

В принципе понятно, что у него более широкие возможности, но мапить конкретный порт на конкретный порт - в общем то оно умеет, не объясните вашу позицию?
Везде - где я слышал про дстнат говорится что в общем то, все равно чем пользоваться.


Это позиция самой компании MikroTik. Как пел Высоцкий: "Жираф большой ему видней".


Так для чего тогда предназначен нетмап? Для мапирования один к одному
По сути если речь про 1 адрес и порт - то работает и то и то одинаково. Или просто про один полный адрес на все порты.

нетмап имеет расширенный функционал мапинга сеть в сеть, адрес к адресу как говорится, но нигде не видел, в том числе и у микротик на сайте где то или в выступлениях их товарищей, что не рекомендуется нетмап для проброса портов, в данном же случае вопрос совершенно не актуален, в общем то ... если бы работало - работало б и так и так.

Но в общем и целом да, кому как больше нравится.... кто-то может применять просто для однообразия... а уж сеть там мапится или порт на одном ип - в общем все равно


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

enzain писал(а):
Так для чего тогда предназначен нетмап? Для мапирования один к одному
По сути если речь про 1 адрес и порт - то работает и то и то одинаково. Или просто про один полный адрес на все порты.

нетмап имеет расширенный функционал мапинга сеть в сеть, адрес к адресу как говорится, но нигде не видел, в том числе и у микротик на сайте где то или в выступлениях их товарищей, что не рекомендуется нетмап для проброса портов, в данном же случае вопрос совершенно не актуален, в общем то ... если бы работало - работало б и так и так.

Но в общем и целом да, кому как больше нравится.... кто-то может применять просто для однообразия... а уж сеть там мапится или порт на одном ип - в общем все равно


Не сочтите за грубость. Если Вы этого не видели, то это не значит, что этого не было. Это значит только, что Вы это не видели. Если хотите увидеть, то напишите на support@mikrotik.com и задайте вопрос. Если лень, то посмотрите через какую именно опцию они делают проброс портов на официальной wiki на которую Вы сами недавно ссылались, как на достоверный источник.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Nomad
Сообщения: 1
Зарегистрирован: 09 май 2022, 13:18

Всем привет.
Возможно аналогичная проблема с пробросом портов на микротике..
Ситуация такая:
Делаю проброс порта 2302 для подключения из внешки в локальную сеть до своей машины, где будет запущен сервер. Ip белый
Пакеты прилетают на роутер, но при проверки с 2ip.ru - порт закрыт. В "огненной стене" правило прописал на протокол tcp. Изменял разные настройки и отключал все правила в firewall - ничего не помогает.
Перечитал множество разных форумов и ютубов, там все просто описывают и все работает.
Подскажите, что делать, уже совсем отчаялся.

/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat dst-port=2256,2302 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
/ip firewall nat
add action=netmap chain=dstnat comment=dayz dst-port=2256,2302 in-interface=\
ether1 protocol=tcp to-addresses=192.168.88.253 to-ports=2302
add action=dst-nat chain=dstnat comment=rdp dst-port=3399 protocol=tcp \
to-addresses=192.168.88.253 to-ports=3389
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set h323 disabled=yes
set dccp disabled=yes


Аватара пользователя
hardrockbaby
Сообщения: 70
Зарегистрирован: 19 сен 2021, 16:11

Nomad писал(а): 09 май 2022, 13:30Делаю проброс порта 2302 для подключения из внешки в локальную сеть до своей машины, где будет запущен сервер. Ip белый
Пакеты прилетают на роутер, но при проверки с 2ip.ru - порт закрыт
dst-nat вместо netmap не пробовали?

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=dayz dst-port=2256,2302 in-interface=\
ether1 protocol=tcp to-addresses=192.168.88.253 to-ports=2302


Ответить