Песочница. Проброс портов для E-mail сервера.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

Здравствует !
Я купил и осознавал, что я покупаю СТАБИЛЬНОСТЬ роутер Mikrotik RB951

Имеется почтовый сервер iRedMail на Centose 7 - поднял, настроил работает ( сертификаты, учетки и т д ) все норм.

купил белый IP.
подключил его в 4 порт
его адрес прописан на карточке 192.168.0.15

в НАТе указал порты проброса ДС-НАТ 25,587,110,995,143,993,465 на ip 192.168.0.15

письма уходят и доходят до адресата, но не приходят ответы т.е. письма не приходят.

где что пропустил ?

Спасибо

P.S.: интернет по рррое на 1 порту

Nat вот так выглядит:

add action=dst-nat chain=dstnat dst-port=25 log=yes log-prefix="===EM25===" protocol=tcp to-addresses=192.168.0.15 to-ports=25
add action=dst-nat chain=dstnat dst-port=465 log=yes log-prefix="===EM465===" protocol=tcp to-addresses=192.168.0.15 to-ports=465
add action=dst-nat chain=dstnat dst-port=587 log-prefix="===EM587==" protocol=tcp to-addresses=192.168.0.15 to-ports=587
add action=dst-nat chain=dstnat dst-port=995 log=yes log-prefix="===EM995===" protocol=tcp to-addresses=192.168.0.15 to-ports=995
add action=dst-nat chain=dstnat dst-port=110 log=yes log-prefix="===EM110===" protocol=tcp to-addresses=192.168.0.15 to-ports=110
add action=dst-nat chain=dstnat dst-port=143 log=yes log-prefix="===EM143===" protocol=tcp to-addresses=192.168.0.15 to-ports=143
add action=dst-nat chain=dstnat dst-port=993 log=yes log-prefix="===EM993===" protocol=tcp to-addresses=192.168.0.15 to-ports=993

P.S.1: с мобильного телнетом проверял порты отвечают, так же телнетом на майл пробивался на 25 порт проходит


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1) Надо в NAT правила добавить либо dst-address=ваш_внешний-адрес либо in-interface=ваш_внешний_интерфейс в зависимости от того, что лучше подходит по логике, иначе получается, что роутер вообще все пакеты по данным портам перенаправляет на 192.168.0.15
2) В firewall'е есть правило разрешающее все то же самое?
Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?

И ещё пару замечаний:
3) если в NAT правиле порт не меняется, его можно не указывать.
4) если не нужна будет статистика по пакетам по каждому порту, это все можно одним правилом описать:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15


Telegram: @thexvo
Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

xvo писал(а): 25 сен 2019, 23:08 1) Надо в NAT правила добавить либо dst-address=ваш_внешний-адрес либо in-interface=ваш_внешний_интерфейс в зависимости от того, что лучше подходит по логике, иначе получается, что роутер вообще все пакеты по данным портам перенаправляет на 192.168.0.15
т.е. dst-address=1.1.1.1 или in-interface=pppoe
xvo писал(а): 25 сен 2019, 23:08 2) В firewall'е есть правило разрешающее все то же самое?
В firewall'е -нет правил для почтовика.
Типа: ip firewall filter add chain=forward src-address=192.168.0.15/32 protocol=tcp dst-port=25 action=accept
Я думал, что тоже самое что пробросить 3389 на его примере и сделал.
xvo писал(а): 25 сен 2019, 23:08 Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?
нет такого, а это как?
xvo писал(а): 25 сен 2019, 23:08

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15
Ааааа.... что так можно было ?!
Последний раз редактировалось Loma64 26 сен 2019, 07:23, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Можно :-)
2) когда много адресов(внешних), порой явно указание в правиле проброса нужногоо адреса = позволяет более правильно
и в нужное место сделать проброс

Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

Vlad-2 писал(а): 26 сен 2019, 07:19 1) Можно :-)
наверное тут все от меня угорают :-))))

Vlad-2 писал(а): 26 сен 2019, 07:19 Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.
рекомендуете каждый порт отдельно прописать ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Loma64 писал(а): 26 сен 2019, 07:25 наверное тут все от меня угорают :-))))
Были "кадры" очень похлеще.
Loma64 писал(а): 26 сен 2019, 07:25 рекомендуете каждый порт отдельно прописать ?
И это в том числе, но рекомендую через таблицу MAGLE
сделать PREROUTING каждого порта, и тогда при внешнем
обращения с IP внешнего на Ваш порт скажем 25,
роутер не будет делать DST (и обращение на Ваш почтовик придёт
уже не от локального адреса роутера), а придёт прямо прямой внешний адрес
на Ваш сервер почтовой в этот 25-й порт.

Говорю обобщённо, сам так не делал, у меня почтовые сервера сами с реальными адресами,
но коллега (на линуксе шлюз у него) он так сделал. И у него в почтовике реальные адреса подключения.
А файрволл линукса и микротика в общем-то одинаковы.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Loma64 писал(а): 26 сен 2019, 07:14 В firewall'е -нет правил для почтовика.
Типа: ip firewall filter add chain=forward src-address=192.168.0.15/32 protocol=tcp dst-port=25 action=accept
Я думал, что тоже самое что пробросить 3389 на его примере и сделал.
Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:

Код: Выделить всё

add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoe
В дефолтном варианте из коробки используется другое. Там последнее drop правило просто сбрасывает не всё: в нем условие connection-nat-state=!dstnat добавлено.

Или можно просто дублировать правила из NAT.

Ну в общем, так или иначе, но что-то такое должно быть.
Тот факт, что пакет был подвергнут обработке в NAT совсем не означает, что он автоматом избавляется от необходимости пройти firewall.


Telegram: @thexvo
Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

xvo писал(а): 26 сен 2019, 08:55
Loma64 писал(а): 26 сен 2019, 07:14 Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:

Код: Выделить всё

add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoe
xvo писал(а): 26 сен 2019, 08:55 Или можно просто дублировать правила из NAT.
У меня в NATe вот так:

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.0.223 protocol=tcp dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes 
      log-prefix="===EM===" 
где 8*.1**.2**.1** - мой белый IP адрес

в файрволе

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes log-prefix="===EM_ALL===" protocol=tcp to-addresses=192.168.0.15
если что то пойдет не так вечером скину

время +2 МСК


Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

Loma64 писал(а): 26 сен 2019, 13:13
xvo писал(а): 26 сен 2019, 08:55
если что то пойдет не так вечером скину

время +2 МСК
Все норм, пошло все...
Спасибо Всем за поддержку !


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

:co_ol:


Telegram: @thexvo
Ответить