Нестабильная работа проброшенного порта

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Koc
Сообщения: 7
Зарегистрирован: 06 ноя 2019, 21:42

Добрый день! Это мой первый пост на форуме, по этому прошу не судить строго.
Появилась необходимость запустить сайт который хостится на локальном сервере и открыть к нему доступ из вне.
Настройки проброса dstnat:
Изображение
Изображение
Настройки проброса srcnat:
Изображение
Изображение

С такими настройками подключение происходит, но не каждый раз. Вообщем подключение то есть то нет.
В локальной сети сервер отвечает стабильно. Подключен по wifi.
IP динамический, белый. Между подключениям не меняется. Что может мешать подключению?
P.S.В микротике буквально неделю, по этому даже не знаю куда копать.
Последний раз редактировалось Koc 07 дек 2019, 19:50, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А что за "проброс src-nat"?
Зачем это вообще?


Telegram: @thexvo
Koc
Сообщения: 7
Зарегистрирован: 06 ноя 2019, 21:42

xvo писал(а): 07 дек 2019, 18:12 А что за "проброс src-nat"?
Зачем это вообще?
Как было сказано в донате по которому настраивал - это правило для того, что бы из локальной сети по текущему порту сервер мог обращаться в глобальную сеть.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Koc писал(а): 07 дек 2019, 19:38 Как было сказано в донате по которому настраивал - это правило для того, что бы из локальной сети по текущему порту сервер мог обращаться в глобальную сеть.
Вообще это похоже недоделанный hairpin-nat, то есть нужен он совсем для другого: чтобы можно было из локальной сети обращаться к серверу по его внешнему адресу.
Но в данном виде под это правило попадает и трафик идущий снаружи, чего быть не должно.

Так что либо доделайте это правило, добавив условие src-address=192.168.88.0/24, либо выключите его совсем.


Telegram: @thexvo
Koc
Сообщения: 7
Зарегистрирован: 06 ноя 2019, 21:42

xvo писал(а): 07 дек 2019, 20:16
Koc писал(а): 07 дек 2019, 19:38 Как было сказано в донате по которому настраивал - это правило для того, что бы из локальной сети по текущему порту сервер мог обращаться в глобальную сеть.
Вообще это похоже недоделанный hairpin-nat, то есть нужен он совсем для другого: чтобы можно было из локальной сети обращаться к серверу по его внешнему адресу.
Но в данном виде под это правило попадает и трафик идущий снаружи, чего быть не должно.

Так что либо доделайте это правило, добавив условие src-address=192.168.88.0/24, либо выключите его совсем.
Если выключить данное правило тогда сервер вообще не отвечает. Внесение параметра src-address, как вы сказали, проблему не решает.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Koc писал(а): 07 дек 2019, 20:58 Если выключить данное правило тогда сервер вообще не отвечает. Внесение параметра src-address, как вы сказали, проблему не решает.
Не отвечает при запросе откуда: снаружи или изнутри?

А вообще, приложите конфиг:

Код: Выделить всё

/export hide-sensitive


Telegram: @thexvo
Koc
Сообщения: 7
Зарегистрирован: 06 ноя 2019, 21:42

xvo писал(а): 07 дек 2019, 22:38
Koc писал(а): 07 дек 2019, 20:58 Если выключить данное правило тогда сервер вообще не отвечает. Внесение параметра src-address, как вы сказали, проблему не решает.
Не отвечает при запросе откуда: снаружи или изнутри?

А вообще, приложите конфиг:

Код: Выделить всё

/export hide-sensitive
Вот вывод команды /export hide-sensitive
 hide-sensitive
# dec/07/2019 23:04:48 by RouterOS 6.46
# software id = B94U-I7AD
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = xxxxxxxxxxxxxxx
/interface bridge
add admin-mac=C2:5D:E7:21:59:07 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=xxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no distance=indoors \
frequency=auto hide-ssid=yes mode=ap-bridge ssid=Constalgo-2GHz wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia disabled=no distance=indoors \
frequency=auto hide-ssid=yes mode=ap-bridge ssid=Constalgo-5GHz wireless-protocol=802.11 wps-mode=disabled
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.88.100 client-id=1:95:64:9d:51:8f:20 mac-address=94:65:2D:51:3F:59 server=defconf
add address=192.168.88.200 client-id=1:b8:248:eb:36:50:4a mac-address=B8:27:EB:90:20:5A server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-address=58.139.157.105 dst-port=80 protocol=tcp to-addresses=192.168.88.200 \
to-ports=80
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.88.200 dst-port=80 log=yes protocol=tcp src-address=\
192.168.88.0/24 to-ports=80
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Moscow
/system scheduler
/tool mac-server
Последний раз редактировалось Koc 11 дек 2019, 22:22, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Единственное замечание по конфигу: наличие на ether1 dhcp-клиента, при том, что выход наружу у вас через pppoe.
Сомневаюсь, что у вас этот dhcp-клиент реально получает откуда-то адрес, но лучше его удалить или выключить.

Больше я ничего не вижу.

На самом сервере не может быть проблема?
Firewall например.

Ну и ещё варианты: ваш провайдер, провайдер устройства с которого тестируете доступ снаружи.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Koc писал(а): 07 дек 2019, 23:53

Код: Выделить всё

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
Измените этот параметр, а если по-русски,
адрес роутера локальный, сейчас он задан(установлен) на порту2, а Вы адрес ПЕРЕМЕСТИТЕ
на бридж. Поверьте, этот способ решает кучу мелких неприятных проблем.

А перенести просто, зайти в IP - Addresses и там увидев свой адрес 88.1/24, кливнув по нему,
выбрать внизу (в поле) не порт2, а бридж Ваш.
Сохранить и применить, и лучше (как бы это не звучало банально) перезагрузить роутер.
И проверить проброс.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Koc
Сообщения: 7
Зарегистрирован: 06 ноя 2019, 21:42

xvo писал(а): 08 дек 2019, 10:59 Единственное замечание по конфигу: наличие на ether1 dhcp-клиента, при том, что выход наружу у вас через pppoe.
Сомневаюсь, что у вас этот dhcp-клиент реально получает откуда-то адрес, но лучше его удалить или выключить.

Больше я ничего не вижу.

На самом сервере не может быть проблема?
Firewall например.

Ну и ещё варианты: ваш провайдер, провайдер устройства с которого тестируете доступ снаружи.
При отключении клиента напрочь обрубает интернет.


Ответить