Я же написал, перенесите локальный адрес роутера с порта2 на бридж!
Просите советы, а некоторые (или многие) не выполняете.
Веб-доступ давно надо закрыть, а не планировать.
Откройте логи, по идеи они там красные должны быть, китайцы быстро
и упорно "щупают" роутеры открытые.
Да и по ВиФи - включать на адаптерах вифи все бэнды, плохое дело.
На 2.4 оставьте только N-only
На 5 - АС-only
НЕ увидел авторизацию у ВиФИ? В конфиге нет или у Вас пароль на ВиФи не задан?
по DHCP - не вижу в настройках, чтобы он (DHCP сервер) клиентам в локальной сети отдавал
значения DNS'ов ? Хотя ДНС-кеширование (на микротике) включено.
Доделайте эту настройку, так будет кошерно, правильно, логично.
На счёт портов (ну вообще на микротике я бы выключил всё, и телнет и ssh и веб и фтп), тем самым,
порты и службы на микротике не будут атакованы, и в будущем и Вам не будут мешать для
проброса. Оставьте винбокс лишь и всё. Опять же, службы у Вас многие включены на роутере,
логи роутера ну реально должны быть красные от попыток входа, Вы что логи не смотрите??????)
P.S.
Что в рамках (подчёркиваю) в рамках микротика fail2ban означает ???
Внешний доступ на NAS, подключённый по WiFi
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
-
- Сообщения: 3
- Зарегистрирован: 10 янв 2020, 23:00
Столкнулся с похожей проблемой и не могу победить. Идеи кончились.
Все тоже самое, что и у топик стартера, но NAS на шнурке на адресе 192.168.88.251.
Все службы из вне работают, но на веб морду из вне по ddns зайти никак не выходит :( из локалки все на ура (порт 8080)
прилагаю конфиг:
Прошу подсказать, где может быть косяк?
Все тоже самое, что и у топик стартера, но NAS на шнурке на адресе 192.168.88.251.
Все службы из вне работают, но на веб морду из вне по ddns зайти никак не выходит :( из локалки все на ура (порт 8080)
прилагаю конфиг:
Код: Выделить всё
# model = RBD52G-5HacD2HnD
# serial number = BEEB0AA5A511
/interface bridge
add admin-mac=************ auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
EvilZone wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=ukraine distance=indoors frequency=auto mode=ap-bridge \
ssid=******** wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.251 client-id=1:24:5e:be:8:49:45 mac-address=24:5E:BE:08:49:45 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1 log=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
in-interface-list=WAN log=yes
add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 \
protocol=tcp src-port=!3131
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24
add action=netmap chain=dstnat dst-address=192.168.88.251 dst-port=8080 in-interface=ether1 log=yes protocol=tcp src-port=8080 to-addresses=\
192.168.88.251
add action=netmap chain=dstnat comment=NAS dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
/ip firewall service-port
set ftp disabled=yes
/ip proxy
set port=8088
/ip service
set ftp disabled=yes
set www address=0.0.0.0/0 disabled=yes port=3131
set www-ssl disabled=no
/ip smb
set enabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
/system clock
set time-zone-name=Europe/Kiev
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
-
- Сообщения: 3
- Зарегистрирован: 10 янв 2020, 23:00
оказывается DDNS не открывает через веб 8080 если пытаться это сделать из сети с роутером из внешнего мира все работает..mayzer100500 писал(а): ↑11 янв 2020, 00:20 Столкнулся с похожей проблемой и не могу победить. Идеи кончились.
Все тоже самое, что и у топик стартера, но NAS на шнурке на адресе 192.168.88.251.
Все службы из вне работают, но на веб морду из вне по ddns зайти никак не выходит :( из локалки все на ура (порт 8080)
прилагаю конфиг:Прошу подсказать, где может быть косяк?Код: Выделить всё
# model = RBD52G-5HacD2HnD # serial number = BEEB0AA5A511 /interface bridge add admin-mac=************ auto-mac=no comment=defconf name=bridge /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=**** /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\ EvilZone wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=ukraine distance=indoors frequency=auto mode=ap-bridge \ ssid=******** wireless-protocol=802.11 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server lease add address=192.168.88.251 client-id=1:24:5e:be:8:49:45 mac-address=24:5E:BE:08:49:45 server=defconf /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1 log=yes add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \ in-interface-list=WAN log=yes add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 \ protocol=tcp src-port=!3131 /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 add action=netmap chain=dstnat dst-address=192.168.88.251 dst-port=8080 in-interface=ether1 log=yes protocol=tcp src-port=8080 to-addresses=\ 192.168.88.251 add action=netmap chain=dstnat comment=NAS dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080 add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080 /ip firewall service-port set ftp disabled=yes /ip proxy set port=8088 /ip service set ftp disabled=yes set www address=0.0.0.0/0 disabled=yes port=3131 set www-ssl disabled=no /ip smb set enabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=ether1 type=external add interface=bridge type=internal /system clock set time-zone-name=Europe/Kiev /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
удалят вопрось не буду, вдруг кому то поможет, два вечера убил на решение несуществующей проблемы
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Во первых измените правило проброса портов вместо netmap поставьте dst-nat
Во вторых почитайте про Harpian NAT и все получится
В третьих добавьте в настройки DHCP адрес DNS сервера.
Во вторых почитайте про Harpian NAT и все получится
В третьих добавьте в настройки DHCP адрес DNS сервера.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 3
- Зарегистрирован: 28 авг 2022, 12:41
Добрый день.
Столкнулся с проблемой проброса портов - 2 года назад настроил микротик через квиксет хомАП и просто пробросил порт в nat - всё сработало, несколько дней назад (4 - борюсь уже с ним) просто сменил to addresses и порты вобще все закрыты, вернуть/изменить/создать новый и тд не получается.
Перечитал и перепробовал всё до чего руки дотянулись (даже воспроизвел все настройки что показали выше).
На данный момент уже в отчаянии.
Столкнулся с проблемой проброса портов - 2 года назад настроил микротик через квиксет хомАП и просто пробросил порт в nat - всё сработало, несколько дней назад (4 - борюсь уже с ним) просто сменил to addresses и порты вобще все закрыты, вернуть/изменить/создать новый и тд не получается.
Перечитал и перепробовал всё до чего руки дотянулись (даже воспроизвел все настройки что показали выше).
На данный момент уже в отчаянии.
Последний раз редактировалось fastuser 29 авг 2022, 12:36, всего редактировалось 1 раз.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А куда вы это все пробрасываете?
Вижу правило - disabled, вижу так же, что этот адрес самому микротику назначен - и тоже disabled.
Текущая конфигурация которая "не работает" - она какая?
А то в таком виде оно выключено, поэтому работать не может.
И да, вы секцию с firewall сознательно вырезали из экспорта, или он у вас "голый" наружу смотрит?
Вижу правило - disabled, вижу так же, что этот адрес самому микротику назначен - и тоже disabled.
Текущая конфигурация которая "не работает" - она какая?
А то в таком виде оно выключено, поэтому работать не может.
И да, вы секцию с firewall сознательно вырезали из экспорта, или он у вас "голый" наружу смотрит?
Telegram: @thexvo
-
- Сообщения: 3
- Зарегистрирован: 28 авг 2022, 12:41
этот конфиг (без правил фаервола, я там всё ковырял как мог) сливал после все возможных манипуляций. вот текущий
Пробрасываю на ноутбук по воздуху. Фаервол сознательно выпиливал чтоб хоть както достучаться. Всё что могло блокировать выпилил.
Был интересный момент когда начал тыкать везде и по нужному адресу начала открываться админка роутера, потыкав еще она начала открываться по всем портам хоть и была отключена и перенесена на рандомный порт.
Возможно поле обновления прошивки с 4й версии на 6ю какие то моменты при пробросе портов изменились( раньше только в nat прописать и работало(
Был интересный момент когда начал тыкать везде и по нужному адресу начала открываться админка роутера, потыкав еще она начала открываться по всем портам хоть и была отключена и перенесена на рандомный порт.
Возможно поле обновления прошивки с 4й версии на 6ю какие то моменты при пробросе портов изменились( раньше только в nat прописать и работало(
Последний раз редактировалось fastuser 29 авг 2022, 12:36, всего редактировалось 1 раз.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну вообще, так как вы внешний IP-шник не замазали, то я просто попробовал на него зайти, и вполне нормально попал на заглушку для reverse proxy.
Так что либо вы пробуете зайти по внешнему адресу изнутри (для чего должен быть настроен hairpin nat), либо проблема не в том куда вы стучитесь, а в том - откуда.
Так что либо вы пробуете зайти по внешнему адресу изнутри (для чего должен быть настроен hairpin nat), либо проблема не в том куда вы стучитесь, а в том - откуда.
Telegram: @thexvo
-
- Сообщения: 3
- Зарегистрирован: 28 авг 2022, 12:41
да нет, это магия - как только написал сюда то отключил всё от роутера, сделал сброс, повторил всё сначала и всё заработало. Что в первый раз мудохался с перезагрузками - обрадовался что настроил и больше не лез, но вот пришлось и я проклял эту железяку.