Нужно сделать проброс порта до локальной машины. Вроде делаю все по инструкции, но различные сайты с онлайн проверкой говорят, что порт закрыт.
ether1 - это интерфейс, куда заходит провод от провайдера. Что не так делаю ?
Mikrotik, не открывается порт
-
Babayka
- Сообщения: 25
- Зарегистрирован: 08 фев 2018, 18:10
Добрый вечер!
Нужно сделать проброс порта до локальной машины. Вроде делаю все по инструкции, но различные сайты с онлайн проверкой говорят, что порт закрыт.
ether1 - это интерфейс, куда заходит провод от провайдера. Что не так делаю ?
Нужно сделать проброс порта до локальной машины. Вроде делаю все по инструкции, но различные сайты с онлайн проверкой говорят, что порт закрыт.
ether1 - это интерфейс, куда заходит провод от провайдера. Что не так делаю ?
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
В файрволе правило есть разрешающее форвард из интернета до адреса 192.168.0.2?
или просто по признаку dst-nat?
или просто по признаку dst-nat?
-
Babayka
- Сообщения: 25
- Зарегистрирован: 08 фев 2018, 18:10
enzain писал(а):В файрволе правило есть разрешающее форвард из интернета до адреса 192.168.0.2?
или просто по признаку dst-nat?
Не было ничего подобного.
Сделал, но видимо не правильно, ибо не помогло.
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Вообще было, у вас дефолт конфигурация. Последнее правило - как раз должно исключать дстнат (даже судя комменту)
В правиле ната еще dst адрес укажите, ваш белый типа
И INPUT нужен а не forward - сразу не понял в чем там затык :)
В правиле ната еще dst адрес укажите, ваш белый типа
И INPUT нужен а не forward - сразу не понял в чем там затык :)
-
Babayka
- Сообщения: 25
- Зарегистрирован: 08 фев 2018, 18:10
enzain писал(а):Вообще было, у вас дефолт конфигурация. Последнее правило - как раз должно исключать дстнат (даже судя комменту)
В правиле ната еще dst адрес укажите, ваш белый типа
И INPUT нужен а не forward - сразу не понял в чем там затык :)
У меня динамический внешний ип, в этом случае мануал говорит, что надо в In. interface надо указать порт, куда у меня кабель провайдера приходит. Указан.
Input пробовал, тоже без результата :(
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Babayka писал(а):У меня динамический внешний ип, в этом случае мануал говорит, что надо в In. interface надо указать порт, куда у меня кабель провайдера приходит. Указан.
Input пробовал, тоже без результата :(
/ip firewall nat add action=dst-nat chain=dstnat comment="Transmission at 65534" dst-port=65534 in-interface=ether1 protocol=tcp to-addresses=10.254.0.253
У меня такое работает, + в файрволе разрешен дстнат.
Если не работает у вас - могу только посоветовать сбросить конфу дефолтную и настроить руками с нуля
-
Babayka
- Сообщения: 25
- Зарегистрирован: 08 фев 2018, 18:10
А правило в файрволе покажите пожалуйста.
-
kursy_po_it_ru
- Сообщения: 37
- Зарегистрирован: 24 ноя 2016, 11:52
- Контактная информация:
Если Вам надо разрешить для проброса портов, то Вам нужна цепочка Forward.
Из того, что я вижу сходу, то Вам надо удалить параметр dst-address и указать in-interface=внешний-интерфейс. Если это какой-то виртуальный интерфейс (например PPPoE), то должен быть указан именно он.
Если не поможет, то выложите сюда выдачу команды /ip firewall export
Из того, что я вижу сходу, то Вам надо удалить параметр dst-address и указать in-interface=внешний-интерфейс. Если это какой-то виртуальный интерфейс (например PPPoE), то должен быть указан именно он.
Если не поможет, то выложите сюда выдачу команды /ip firewall export
Последний раз редактировалось kursy_po_it_ru 08 фев 2018, 20:24, всего редактировалось 1 раз.
===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
-
Babayka
- Сообщения: 25
- Зарегистрирован: 08 фев 2018, 18:10
# feb/08/2018 22:23:00 by RouterOS 6.41
# software id = 45JH-XAK2
#
# model = 951G-2HnD
# serial number = 642E075333C9
/ip firewall filter
add action=accept chain=input connection-type="" disabled=yes dst-port=12345 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward protocol=icmp src-address-list=""
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-port=12345 in-interface=ether1 \
protocol=tcp to-addresses=192.168.0.2
# software id = 45JH-XAK2
#
# model = 951G-2HnD
# serial number = 642E075333C9
/ip firewall filter
add action=accept chain=input connection-type="" disabled=yes dst-port=12345 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward protocol=icmp src-address-list=""
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-port=12345 in-interface=ether1 \
protocol=tcp to-addresses=192.168.0.2
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30