HELP! Непонятные проблемы с маршрутизацией.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
sarge
Сообщения: 8
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

14 авг 2019, 00:10

Здравствуйте,
Настроил в удаленном офисе RB2011UIAS и когда все клиенты получили инет, успокоился.
Покой длился ровно до вечера, когда мне понадобилось форварднуть порт снаружи(9999) на RDP сервер.
Захожу, делаю dst-nat - никакого результата. Пробую нетмапом - никак!
Ну думаю, ладно, настрою ка я VPN. Сделал, коннект VPN клиента прошел, но локалка никак не пингуется!
Причем внутри офиса все ОК видно. И к серверу RDP внутри все прекрасно ходят :-(
Куда копать - не понимаю, смотрю на другие шлюзы, настройки такие же... Прихожу к выводу что дело в роутинге.
Подскажите в чем может быть проблема? Может фаервол мешает?:

/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN

/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=ether10 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether10 protocol=tcp
add action=accept chain=input in-interface=ether10 protocol=gre
add action=accept chain=input connection-state=new dst-port=80,8291,22 in-interface=ether1 protocol=tcp src-address=192.168.0.0/24
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.0.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether9 out-interface=ether1
add action=drop chain=input
add action=drop chain=input in-interface=ether10
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10
add action=masquerade chain=srcnat out-interface=ether10 src-address=192.168.0.0/24
/ip route
add distance=1 gateway=XXX.XX.XXX.114

Куда и чем копать?
Смотрю на правила и торчем, вроде как пакеты идут...:-(
Последний раз редактировалось sarge 14 авг 2019, 00:31, всего редактировалось 2 раза.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2159
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 авг 2019, 00:23

А где водные?
Интернет статика?
Я так понимаю Интернет на порту 10 ?
sarge писал(а):
14 авг 2019, 00:10
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10
1) У Вас один внешний адрес? Если да, то зачем явно указывать внешний в правиле проброса?
2) Ну и я советую явно указать порт локальный проброса (то есть в закладке Action - там где указан адрес 0.10 внизу поле порт явно описать локальный порт)
3) Счётчик правил хоть срабатывает? Что со счётчиком правил?
4) Шлюз у компа 0.10 надеюсь стоит локальный адрес микротика?
5) Брандмаур очень любит такое блокировать, разрешение сделали явно в файрволе на компа 0.10 ?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2159
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 авг 2019, 00:27

sarge писал(а):
14 авг 2019, 00:10
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN
ООО, добавили данне:
мастер-порт :sh_ok: , давно не обновлялись?
Старая прошивка?

P.S.
Давайте весь конфиг....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
sarge
Сообщения: 8
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

14 авг 2019, 00:40

Вот кстати про обновление то и забыл скорее всего.
Даю весь конфиг:
# aug/14/2019 00:33:39 by RouterOS 6.37
# software id = 1UPI-LX4G
#
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN
/ip neighbor discovery
set ether1 comment=LAN
set ether10 comment=WAN
/ip pool
add name="local dhcp" ranges=192.168.0.10-192.168.0.200
/ip dhcp-server
add address-pool="local dhcp" disabled=no interface=ether1 name="local net"
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 comment="Local net" interface=ether1 network=192.168.0.0
add address=XXX.XX.XXX.115/29 interface=ether10 network=XXX.XX.XXX.113
/ip dhcp-server lease
add address=192.168.0.10 mac-address=38:D5:47:00:77:76 server="local net"
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=77.88.8.8,77.88.8.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1
/ip firewall address-list
add address=XXX.XX.XXX.25 list=to1Cserver
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=ether10 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether10 protocol=tcp
add action=accept chain=input in-interface=ether10 protocol=gre
add action=accept chain=input connection-state=new dst-port=80,8291,22 in-interface=ether1 protocol=tcp src-address=192.168.0.0/24
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.0.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward comment="test add" connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether10 out-interface=ether1
add action=drop chain=input
add action=drop chain=input in-interface=ether10
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10 to-ports=3389
add action=masquerade chain=srcnat out-interface=ether10 src-address=192.168.0.0/24
/ip route
add distance=1 gateway=XXX.XX.XXX.114
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes port=11994
set api disabled=yes
set api-ssl disabled=yes
/ip socks
set port=1620
/ppp secret
add local-address=172.16.0.1 name=1cadmin password=r434tW# profile=default-encryption remote-address=172.16.0.10 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled

1) У Вас один внешний адрес? Если да, то зачем явно указывать внешний в правиле проброса?
> да, один, для теста указал, но ни так ни эдак...
2) Ну и я советую явно указать порт локальный проброса (то есть в закладке Action - там где указан адрес 0.10 внизу поле порт явно описать локальный порт)
> указал, безрезультатно
3) Счётчик правил хоть срабатывает? Что со счётчиком правил?
> На правиле байтики видны при попвтке коннекта, на этом и все..:-(
4) Шлюз у компа 0.10 надеюсь стоит локальный адрес микротика?
> дак на всей локалке одинаковый шлюз, это микротовский.
5) Брандмаур очень любит такое блокировать, разрешение сделали явно в файрволе на компа 0.10 ?
> Это было первой же версией, сделал отдельное правило, потом попробовал с другими компами для теста, та же ситуация....
Последний раз редактировалось sarge 14 авг 2019, 00:54, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2159
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 авг 2019, 00:54

sarge писал(а):
14 авг 2019, 00:40
Вот кстати про обновление то и забыл скорее всего.
Даю весь конфиг:
# aug/14/2019 00:33:39 by RouterOS 6.37
Ну не серьёзно то! На коробке, в инструкции написано = обновить перед
использованием, старые прошивки имеют уязвимости, а ВЫ ?
СРОЧНО обновлять прошивку, и загрузчик, но лучше это делать
локально у роутера.
Сейчас 6.45.3
sarge писал(а):
14 авг 2019, 00:40
/ip dhcp-server
add address-pool="local dhcp" disabled=no interface=ether1 name="local net"
DHCP должен быть на бридже
sarge писал(а):
14 авг 2019, 00:40
/ip address
add address=192.168.0.1/24 comment="Local net" interface=ether1 network=192.168.0.0
Адрес локальный перенесите с порт1 на бридж локальный
sarge писал(а):
14 авг 2019, 00:40
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10
Правило скорректировать, давал описание по нему в первом сообщении
sarge писал(а):
14 авг 2019, 00:40
/ip socks
set port=1620
Юзаете СОКС-сервер или Вас уже взломали?

И должно всё работать потом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2159
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 авг 2019, 00:59

Дополню свой ответ ещё отдельно:

Так как у Вас нет бриджа совсем, уточняю, что
НЕТ мастер порта больше, поэтому сейчас надо обновиться ВАМ
сделать бридж(он может сам создаться анализируя Ваши настройки),
в него включить Ваши локальные порты и бриджу задать адрес локальный
и уже на бридже делать DHCP сервер.

P.S.
Отстали от новшевств в микротике на год-полтора.
После обновления = мастер порт заменили на Hardware Offload (HW),
в будущем советую почитать об этом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
sarge
Сообщения: 8
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

14 авг 2019, 01:56

Переделал на бридж.
Прошивку закачал, но ребутать для обновления не рискнул, т.к. боюсь геморроя.
Утром кто нибудь будет в офисе, чтобы мог переткнуть, я ребутну.
По результату отпишусь.


Аватара пользователя
algerka
Сообщения: 388
Зарегистрирован: 14 дек 2011, 12:31

14 авг 2019, 08:01

sarge писал(а):
14 авг 2019, 00:40
Куда и чем копать?

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="test add" connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether10 out-interface=ether1
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10 to-ports=3389
разрешающего forward правила для проброса RDP не увидел


Александр
Аватара пользователя
sarge
Сообщения: 8
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

14 авг 2019, 08:11

Насколько я понимаю, сначала обрабатываются правила NAT, а потом уже firewall.
Так что никакого форварда для проброса порта не требуется.
Или я ошибаюсь?
Напишите тогда, пожалуйста, как это правило должно выглядеть.

P.S. Тупо добавил forward accept на порт 3389 и все взлетело! Значит я ошибаюсь :-(
Теперь осталось обновить прошивку.
Спасибо за ваш ответ.


Ответить