Внешний доступ на NAS, подключённый по WiFi

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
csq
Сообщения: 5
Зарегистрирован: 08 окт 2019, 16:35

Добрый день, я новичок в использовании Microtik. Ранее работал с гораздо более простыми роутерами типа D-link и с задачами проброса портов на NAS справлялся. Теперь вот решил освоить новое оборудование. Почитал, конечно, мануалы, но остались вопросы:

Что имеется:
  1. Роутер MicroTik RBD52G-5HacD2HnD, RouterOS 6.45.6, адрес 192.168.88.1
  • Выделенный белый IP от провайдера, никакие порты на уровне провайдера не блокируются. Идентификация доступа в интернет по MAC адресу.
  • NAS QNAP, из-за особенностей расположения подключён по Wifi (wlan1) к роутеру. Внутри сети есть полный доступ. Присвоен постоянный ip 192.168.88.200
  • Сделал стандартные настройки Quick setup чтобы получить доступ в интернет
Что хотелось бы иметь:
1. Удалённый доступ к роутеру через winbox -> получилось, сделал следующее:

Код: Выделить всё

add action=accept chain=input comment="Rule for outside access to the router via winbox" dst-address=!192.168.88.1 dst-port=8291 protocol=tcp src-port=!8291
2. Удалённый доступ к web интерфейсу роутера (сменил порт 80 на 3131) -> получилось, сделал следующее:

Код: Выделить всё

add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 protocol=tcp src-port=!3131

Код: Выделить всё

/ip service
set www address=0.0.0.0/0 port=3131
Многие советуют запретить доступ из вне или оставить доступ от отдельных сетей, но в моём случае нужен доступ ото всюду т.к. часто в разъездах. VPN буду уже потом поднимать.

3. Удалённый доступ к NAS (порты 80 (web), 8080 (web interface), 443, ssh, webdav). Пока пытаюсь получить доступ хоть к web интерфейсу (порты 80 или 8080). -> никак не получается. Сделал:

Код: Выделить всё

add action=accept chain=input comment="Rule for outside access to web interface of NAS-119" dst-address=192.168.88.200 dst-port=8080 protocol=tcp src-port=8080
Внутри сети всё работает, из внешней сети связи нет (несколько провайдеров и устройств).

Вопросы:
1. Как делать правильно проброс портов в microtik? Рекомендуют через dstnat, но у меня не получилось, а вот через Filter Rules заработало. Это влияет как-то на безопасность и / или производительность?
2. Как подключить удалённый доступ на NAS? Проброс портов через filter rules не помог :-(
3. Если я в сети wlan2, то доступа на NAS (он в wlan1) нет. Это не критично, но можно ли исправить?
4. Порт 3131 смотрит наружу. Поставлю конечно потом fail2ban. На сколько это критично с т.з. безопасности? Как исправить?

Заранее большое спасибо!
 /export
# oct/08/2019 16:33:35 by RouterOS 6.45.6
# software id = FAGH-CT77
#
# model = RBD52G-5HacD2HnD
# serial number = A9740A84EE26
/interface bridge
add admin-mac=74:4D:28:01:D0:9E auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=D4:BF:7F:72:08:B9
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid="Home-net mctk 2GHz" wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid="Home-net mctk 5GHz" wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.200 client-id=1:b8:ec:a3:d8:c1:df mac-address=B8:EC:A3:D8:C1:DF server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="Rule for outside access to the router via winbox" dst-address=!192.168.88.1 dst-port=8291 protocol=tcp src-port=!8291
add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 protocol=tcp src-port=!3131
add action=accept chain=input comment="Rule for outside access to web interface of NAS-119" dst-address=192.168.88.200 dst-port=8080 protocol=tcp src-port=8080
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip service
set www address=0.0.0.0/0 port=3131
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Filter Rules не пробрасывает порты - это firewall, он только разрешает или запрещает соединения.
Проброс портов - это NAT.

Вам нужно:
1) Одно правило dstnat для каждого порта, которое при обращении на внешний адрес роутера по этому порту, пробрасывает его на внутренний адрес NAS'а.

Код: Выделить всё

/ip firewall nat add action=dst-nat chain=dstnat dst-port=КАКОЙ-ТО-ПОРТ in-interface=ВАШ-WAN-ИНТЕРФЕЙС protocol=tcp to-addresses=192.168.88.200 to-ports=8080
2) Одно правило в firewall'е для всех пробросов сразу, которое разрешает такие соединения.
Например самый простой вариант добавить выше запрещающих правил:

Код: Выделить всё

/ip firewall filter add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ВАШ-WAN-ИНТЕРФЕЙС


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

csq писал(а): 08 окт 2019, 17:12 3. Если я в сети wlan2, то доступа на NAS (он в wlan1) нет. Это не критично, но можно ли исправить?
НЕ должно быть такой проблемы. У Вас wlan1 и wlan2 = в составе локального бриджа,
а значит они логически вместе работают. Не знаю как и что, но всё должно быть доступно.

(у Вас локальный адрес роутера стоит на ether2, перенесите его (адрес локальный роутера)
на локальный бридж, так правильнее и возможно с доступами между wlanXX уйдёт проблема).

Так же не совсем понял, зачем имея доступ по Винбоксу, делать доступ по ВЕБу на роутер?
Винбоксом можно почти всё настроить. СОВЕТУЮ ВЕБ отключить на роутере, и лишний сервис
не будет светиться, и порт освободиться и атак будет меньше.

P.S.
Печально что Вы формально мало что освоили, роутер настроили через быструю настройку,
и как бы всё. В будущем возможно будут глюки (если поверх пре-заводских настроек,
делать свои, а ещё - если Вы нажмёте опять быструю установку, ряд параметров даже
без запросов меняются/делаются опять пре-заводскими).

NAS по вифи = это жесть (моё мнение личное). С NAS'а будете качать, и всё вифи (любая работа)
всех других устройств почти встанет. Потом точно напишите, хочу скорости, всё плохо с ВиФи у микротика.
Не уж то NAS нельзя перенести к роутеру и подключить кабелем по гигабиту ?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Удалённый доступ к web интерфейсу роутера
уж дучше через мобильное приложение, и то удобнее


Atomic79
Сообщения: 125
Зарегистрирован: 25 сен 2017, 19:07

А почему NAS по кабелю не подключить? по WIFI толку от него как от кофеварки...


Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
csq
Сообщения: 5
Зарегистрирован: 08 окт 2019, 16:35

Atomic79 писал(а): 09 окт 2019, 13:07 А почему NAS по кабелю не подключить? по WIFI толку от него как от кофеварки...
Нету там места вообще, чтобы разместить NAS и протянуть провод.
Ищу решение, но пока временно сделал через WiFi свисток. По производительности не очень, но на первое время сойдёт.
Вот пинг от роутера до NAS :ze_le_ny:
 
admin@MikroTik] > ping 192.168.88.200
SEQ HOST SIZE TTL TIME STATUS
0 192.168.88.200 56 64 71ms
1 192.168.88.200 56 64 100ms
2 192.168.88.200 56 64 19ms
3 192.168.88.200 56 64 41ms
4 192.168.88.200 56 64 72ms
5 192.168.88.200 56 64 130ms
6 192.168.88.200 56 64 47ms
7 192.168.88.200 56 64 1ms
8 192.168.88.200 56 64 63ms
9 192.168.88.200 56 64 81ms
10 192.168.88.200 56 64 111ms
11 192.168.88.200 56 64 32ms
12 192.168.88.200 56 64 58ms
sent=13 received=13 packet-loss=0% min-rtt=1ms avg-rtt=63ms max-rtt=130ms


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Пинг это мелочи, когда начнете качать с/на NAS скорость Вас порадует и все остальные wifi не получат совсем :sh_ok:


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Atomic79
Сообщения: 125
Зарегистрирован: 25 сен 2017, 19:07

Ну да он весь канал забьет, ну раз некуда то придется выворачиваться.


Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
csq
Сообщения: 5
Зарегистрирован: 08 окт 2019, 16:35

Ca6ko писал(а): 09 окт 2019, 16:10 Пинг это мелочи, когда начнете качать с/на NAS скорость Вас порадует и все остальные wifi не получат совсем :sh_ok:
Чтобы хоть как-то нивелировать негативный эффект, я "повесил" NAS на wifi 2 GHz, а домашние планшеты и телефоны - на 5 GHz.


csq
Сообщения: 5
Зарегистрирован: 08 окт 2019, 16:35

xvo писал(а): 08 окт 2019, 17:37 Filter Rules не пробрасывает порты - это firewall, он только разрешает или запрещает соединения.
Проброс портов - это NAT.

Вам нужно:
1) Одно правило dstnat для каждого порта, которое при обращении на внешний адрес роутера по этому порту, пробрасывает его на внутренний адрес NAS'а.

Код: Выделить всё

/ip firewall nat add action=dst-nat chain=dstnat dst-port=КАКОЙ-ТО-ПОРТ in-interface=ВАШ-WAN-ИНТЕРФЕЙС protocol=tcp to-addresses=192.168.88.200 to-ports=8080
2) Одно правило в firewall'е для всех пробросов сразу, которое разрешает такие соединения.
Например самый простой вариант добавить выше запрещающих правил:

Код: Выделить всё

/ip firewall filter add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ВАШ-WAN-ИНТЕРФЕЙС
Большое спасибо! Получился удалённый доступ на NAS
 /express

[admin@MikroTik] > /export hide-sensitive
# oct/11/2019 11:36:11 by RouterOS 6.45.6
# software id = FAGH-CT77
#
# model = RBD52G-5HacD2HnD
# serial number = A9740A84EE26
/interface bridge
add admin-mac=74:4D:28:01:D0:9E auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=D4:BF:7F:72:08:B9
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid="Home-net mctk 2GHz" wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid="Home-net mctk 5GHz" wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.200 client-id=1:b8:ec:a3:d8:c1:df mac-address=B8:EC:A3:D8:C1:DF server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="Rule for outside access to the router via winbox" dst-address=!192.168.88.1 dst-port=8291 protocol=tcp src-port=!8291
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1
add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 protocol=tcp src-port=!3131
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=8080
/ip service
set www address=0.0.0.0/0 port=3131
/ip smb
set enabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Буду благодарен за советы по безопасности. Вот что планирую сделать:
1. Закрыть web-доступ к роутеру
2. Сделать fail2ban
3. Переназначить порты (ssh, ftp) на нестандартные

Что-то ещё?
Применение NAS: бэкап данных


Ответить