Добрый день. Возник непонятная проблема.
Имеется 2 провайдера, который ранее настраивался 1 как резервный. В случае отказа первого провайдера, поднимается второй.
Ранее нужно было перебрасывать udp порт на определенный локальный адрес. Вроде методом тыка перебросил, настроил несколько правил, но незнаю на какую правилу опирается микротик чтобы перебросить порт.
Теперь нужно еще раз перебросить порт чтобы из вне могли достать. Но теперь никак не получается. Из вне никакие порты не открыты.
Не открывается порт микротик RB 951G-2Hnd
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Мало понятно. И мало информации.
1) делайте адрес-лист интерфейсов куда объединяйте внешние интерфейсы
Ваших 2-х провайдеров.
То есть создаёте ls0-WANs куда привязываете обеих провайдеров.
2) в правиле проброса указываете этот адрес-лист как входящий,
и номер порта и куда (локальный) адрес.
Такое правило будет обобщённое и будет срабатывать при любом провайдере.
(конечно если правильно всё сделаете).
1) делайте адрес-лист интерфейсов куда объединяйте внешние интерфейсы
Ваших 2-х провайдеров.
То есть создаёте ls0-WANs куда привязываете обеих провайдеров.
2) в правиле проброса указываете этот адрес-лист как входящий,
и номер порта и куда (локальный) адрес.
Такое правило будет обобщённое и будет срабатывать при любом провайдере.
(конечно если правильно всё сделаете).
-
Miss
- Сообщения: 5
- Зарегистрирован: 06 авг 2019, 11:08
У меня 2 провайдер будет отключен, если работает 1 провайдер. Наверно нужно считать что работаем только 1 провайдером.Vlad-2 писал(а): ↑06 авг 2019, 12:32 Мало понятно. И мало информации.
1) делайте адрес-лист интерфейсов куда объединяйте внешние интерфейсы
Ваших 2-х провайдеров.
То есть создаёте ls0-WANs куда привязываете обеих провайдеров.
2) в правиле проброса указываете этот адрес-лист как входящий,
и номер порта и куда (локальный) адрес.
Такое правило будет обобщённое и будет срабатывать при любом провайдере.
(конечно если правильно всё сделаете).
Меня волнует почему из вне не доступно. Даже по винбоксу не могу зайти.
-
bst-botsman
- Сообщения: 188
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
-
Miss
- Сообщения: 5
- Зарегистрирован: 06 авг 2019, 11:08
# aug/07/2019 14:45:19 by RouterOS 6.34.4bst-botsman писал(а): ↑06 авг 2019, 19:07 Вам же уже намекнули...
Показали бы конфигурацию что-ли для начала...
# software id = 8NRL-71FC
#
/interface bridge
add name=bridge_lan|wifi
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no mode=ap-bridge name=wlan2 ssid=Ai-bi
/interface ethernet
set [ find default-name=ether1 ] comment="wan qazaqtelecom" mac-address=\
**************
set [ find default-name=ether2 ] comment="wan bilain" mac-address=\
****************
set [ find default-name=ether5 ] comment=lan mac-address=*************
/ip neighbor discovery
set ether1 comment="wan qazaqtelecom"
set ether2 comment="wan bilain"
set ether5 comment=lan
/interface ethernet
set [ find default-name=ether3 ] comment=lan3 mac-address=D4:CA:6D:26:D9:9C \
master-port=ether5
set [ find default-name=ether4 ] comment=lan2 mac-address=D4:CA:6D:26:D9:9D \
master-port=ether5
/ip neighbor discovery
set ether3 comment=lan3
set ether4 comment=lan2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=\
wpa-psk,wpa2-psk,wpa-eap,wpa2-eap eap-methods="" mode=dynamic-keys \
wpa-pre-shared-key=********** wpa2-pre-shared-key=*******
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.254
add name=dhcp_pool2 ranges=192.168.1.100-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=bridge_lan|wifi lease-time=\
3d name=dhcp2
/interface bridge port
add bridge=bridge_lan|wifi interface=ether5
add bridge=bridge_lan|wifi interface=wlan2
/ip address
add address=**************/30 interface=ether2 network=***********
add address=192.168.1.1/24 interface=bridge_lan|wifi network=192.168.1.0
add address=*************** interface=ether1 network=***************
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=\
*************************************gateway=\
192.168.1.1
/ip dns
set allow-remote-requests=yes servers=\
*******************************
/ip firewall filter
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=\
192.168.1.110
add action=dst-nat chain=dstnat in-interface=ether2 to-addresses=\
192.168.1.110
add action=dst-nat chain=dstnat dst-port=1001 protocol=udp to-addresses=\
192.168.1.110 to-ports=1001
add chain=srcnat dst-port=1001 protocol=udp src-address=192.168.1.110 \
src-port=1001
add action=dst-nat chain=dstnat dst-port=10005 protocol=tcp to-addresses=\
192.168.1.192
add action=dst-nat chain=dstnat disabled=yes dst-port=2222 log=yes protocol=\
tcp to-addresses=192.168.1.147 to-ports=2222
add action=dst-nat chain=dstnat disabled=yes dst-port=1122 protocol=tcp \
to-addresses=192.168.1.147 to-ports=1122
add action=dst-nat chain=dstnat dst-address=37.151.45.162 dst-port=1235 \
in-interface=ether1 log=yes protocol=tcp src-address=192.168.1.147 \
to-addresses=192.168.1.147 to-ports=2256
/ip route
add comment=ISP1 distance=3 gateway=**************
add comment=ISP2 disabled=yes distance=2 gateway=**************
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=*************
/ip service
set telnet disabled=yes
set ssh disabled=yes
set www-ssl disabled=no
/system clock
set time-zone-name=Asia/Qyzylorda
/system routerboard settings
set protected-routerboot=disabled
/tool netwatch
add down-script="/ip route enable [find comment=\"ISP2\"]" host=8.8.4.4 \
interval=5s up-script="/ip route disable [find comment=\"ISP2\"] "
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ваш конфиг не смотрел, показываю как я использую
Как пример (лишь):
1) (создаём адрес-лист интерфейс)
2) (привязываем интерфейсы провайдеров (у меня они на виланах) к нужному адрес-лист интерфейсу)
3) (используем данный созданный и объявленный адрес-лист интерфейс в правилах файрволах)
Как пример (лишь):
1) (создаём адрес-лист интерфейс)
Код: Выделить всё
/interface list
add comment="All WANs connections" name=list1-WANs-iface
2) (привязываем интерфейсы провайдеров (у меня они на виланах) к нужному адрес-лист интерфейсу)
Код: Выделить всё
/interface list member
add comment="ISP1-Rostelecom (speed: 50 Mbit/s)" interface=vlan1-W-id11 list=list1-WANs-iface
add comment="ISP2-Beeline (speed: 1 Mbit/s)" interface=vlan2-W-id12 list=list1-WANs-iface
add comment="ISP4-IKS (speed: 10 Mbit/s)" interface=vlan4-W-id14 list=list1-WANs-iface
3) (используем данный созданный и объявленный адрес-лист интерфейс в правилах файрволах)
Код: Выделить всё
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-to-IVANOV" dst-port=1277 in-interface-list=list1-WANs-iface protocol=tcp to-addresses=192.168.15.36 to-ports=1277
add action=dst-nat chain=dstnat comment="DST-to-IVANOV" dst-port=1277 in-interface-list=list1-WANs-iface protocol=udp to-addresses=192.168.15.36 to-ports=1277
-
Miss
- Сообщения: 5
- Зарегистрирован: 06 авг 2019, 11:08
Прошу посмотреть мой код. Ни чем не отличается проброс портов.Vlad-2 писал(а): ↑07 авг 2019, 22:54 Ваш конфиг не смотрел, показываю как я использую
Как пример (лишь):
1) (создаём адрес-лист интерфейс)Код: Выделить всё
/interface list add comment="All WANs connections" name=list1-WANs-iface
2) (привязываем интерфейсы провайдеров (у меня они на виланах) к нужному адрес-лист интерфейсу)Код: Выделить всё
/interface list member add comment="ISP1-Rostelecom (speed: 50 Mbit/s)" interface=vlan1-W-id11 list=list1-WANs-iface add comment="ISP2-Beeline (speed: 1 Mbit/s)" interface=vlan2-W-id12 list=list1-WANs-iface add comment="ISP4-IKS (speed: 10 Mbit/s)" interface=vlan4-W-id14 list=list1-WANs-iface
3) (используем данный созданный и объявленный адрес-лист интерфейс в правилах файрволах)Код: Выделить всё
/ip firewall nat add action=dst-nat chain=dstnat comment="DST-to-IVANOV" dst-port=1277 in-interface-list=list1-WANs-iface protocol=tcp to-addresses=192.168.15.36 to-ports=1277 add action=dst-nat chain=dstnat comment="DST-to-IVANOV" dst-port=1277 in-interface-list=list1-WANs-iface protocol=udp to-addresses=192.168.15.36 to-ports=1277
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну давайте разбираться, а то замечания делаете, итак:
и второе правило такое же, всё с порта2 - на адрес 1.110
эти правила и не будут работать, потому что вверху, Ваши правила более
обобщённые, и они срабатывают сразу, и до правил с портами 1001
пакеты не доходят.
НАДО же понимать, что роутер ищет для каждого пакета какое правило
сработает, и как первое правило срабатывает, дальше правила не проверяются.
и на порт1 и по ТСП, и самое главное ещё чтобы запрос пришёл с (локального!) 192.168.1.147
ЭТО как так?
Убирайте обобщённые правила(где не указаны порты), делайте пробросы более корректные,
и явные, указывайте порты явно, но также надо понимать логически, что чем больше
данных в пробросе указано - тем реже что он сработает, но в тоже время надо проверить,
а смогут вообще эти данные все вместе в данном правиле проброса сработать когда-нибудь?
Про последнее правило - я не уверен в этом!
Вот тут простые пробросы: всё что придёт с порта1 - на адрес 1.110,
и второе правило такое же, всё с порта2 - на адрес 1.110
А тут Вы уже делаете пробросы с указанием портов, НО скорее всего
эти правила и не будут работать, потому что вверху, Ваши правила более
обобщённые, и они срабатывают сразу, и до правил с портами 1001
пакеты не доходят.
НАДО же понимать, что роутер ищет для каждого пакета какое правило
сработает, и как первое правило срабатывает, дальше правила не проверяются.
Эти правила ВЫКЛЮЧЕНЫ
А этот проброс я не понял: тут надо чтобы запрос пришёл на адрес 37.151.45.162,
и на порт1 и по ТСП, и самое главное ещё чтобы запрос пришёл с (локального!) 192.168.1.147
ЭТО как так?
Убирайте обобщённые правила(где не указаны порты), делайте пробросы более корректные,
и явные, указывайте порты явно, но также надо понимать логически, что чем больше
данных в пробросе указано - тем реже что он сработает, но в тоже время надо проверить,
а смогут вообще эти данные все вместе в данном правиле проброса сработать когда-нибудь?
Про последнее правило - я не уверен в этом!
-
Miss
- Сообщения: 5
- Зарегистрирован: 06 авг 2019, 11:08
Спасибо. Что уделили время. Настроил по конкретней, заработал. Убрал Вышестоящую правилу.Vlad-2 писал(а): ↑08 авг 2019, 13:46 Ну давайте разбираться, а то замечания делаете, итак:
Вот тут простые пробросы: всё что придёт с порта1 - на адрес 1.110,
и второе правило такое же, всё с порта2 - на адрес 1.110
А тут Вы уже делаете пробросы с указанием портов, НО скорее всего
эти правила и не будут работать, потому что вверху, Ваши правила более
обобщённые, и они срабатывают сразу, и до правил с портами 1001
пакеты не доходят.
НАДО же понимать, что роутер ищет для каждого пакета какое правило
сработает, и как первое правило срабатывает, дальше правила не проверяются.
Эти правила ВЫКЛЮЧЕНЫ
А этот проброс я не понял: тут надо чтобы запрос пришёл на адрес 37.151.45.162,
и на порт1 и по ТСП, и самое главное ещё чтобы запрос пришёл с (локального!) 192.168.1.147
ЭТО как так?
Убирайте обобщённые правила(где не указаны порты), делайте пробросы более корректные,
и явные, указывайте порты явно, но также надо понимать логически, что чем больше
данных в пробросе указано - тем реже что он сработает, но в тоже время надо проверить,
а смогут вообще эти данные все вместе в данном правиле проброса сработать когда-нибудь?
Про последнее правило - я не уверен в этом!