Открыть - пробросить порт

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
excellion
Сообщения: 7
Зарегистрирован: 23 мар 2018, 17:44

Доброго времени суток всем участникам форума! Прошу вашей помощи в открытии - пробросе порта 3389
делал по вот такой инструкции https://lantorg.com/article/probros-portov-na-mikrotik но увы не помогло.
интернет через PPOE, я не знаю как вывести коды настроек роутера поэтому прикреплю скрин настроек. - https://yadi.sk/d/B2EXqFieWQPAkg
помогите люди добрые, что не так делаю - плиз заумными словечками швыряться не надо, по простому куда ткнуть и на что нажать (кроме сонной артерии) :-):


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Скрины малоинформативны, как прикрепить "коды настроек" описано в шапке, красным цветом, в пункте 5.
Из скринов пока понятно, что нат правило отрабатывает, значит проблема теоритически в фаерволе, выключайте все правила и пробуйте. И да, изнутри проброс при текущих настройках работать не будет, проверяйте только снаружи.
А так же вы очень неудачно выбрали адреса для лок. сети. Ознакомьтесь - https://ru.wikipedia.org/wiki/%D0%A7%D0 ... 0%B5%D1%81


excellion
Сообщения: 7
Зарегистрирован: 23 мар 2018, 17:44

Пробовал отключать все правила в FireWall во вкладке FilterRules - не помогло (Пробовал из вне)

Код: Выделить всё

# dec/16/2019 14:18:04 by RouterOS 6.38.4
# software id = Q0CN-Z5F0
#
/interface ethernet
set [ find default-name=ether1 ] comment=INET2 name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-WAN
set [ find default-name=ether3 ] name=ether3-LAN
set [ find default-name=ether4 ] master-port=ether3-LAN
set [ find default-name=ether5 ] master-port=ether3-LAN
/interface pppoe-client
add add-default-route=yes comment=INET1 default-route-distance=1 disabled=no \
    interface=ether2-WAN keepalive-timeout=3 name=INTERNET use-peer-dns=yes \
    user=admshar
/ip firewall layer7-protocol
add name=SocSeti regexp="^.+(vk.com|ok.ru|facebook.com).*\$"
add name=RADIO regexp="^.+(online-red.com|onlayn-radio.ru|zvooq.online|slushat-r\
    adio.online|101.ru|onlineradiobox.com|tv-radio.online|rusradio.ru|wwwfm.ru|a\
    vtoradio.ru|europaplus.ru|dfm.ru|veseloeradio.ru|dorognoe.ru|hitfm.ru|likefm\
    .ru|radio.yandex.ru|radioshanson.fm|top-radio.ru|radiopotok.ru).*\$"
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool2 ranges=\
    192.168.0.1-192.168.0.100,192.168.0.102-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool2 interface=ether3-LAN lease-time=5d name=dhcp1
/system logging action
add name=WebProxyLog remote=192.168.0.254 target=remote
/interface pppoe-server server
add interface=ether1-WAN keepalive-timeout=30 one-session-per-host=yes \
    service-name="PPoE VPN"
/ip address
add address=192.168.0.101/24 interface=ether3-LAN network=192.168.0.0
add address=172.18.49.102/24 interface=ether1-WAN network=172.18.49.0
add address=172.18.49.102/24 disabled=yes interface=ether3-LAN network=\
    172.18.49.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=\
    109.236.208.14,109.236.209.14,192.168.0.101 gateway=192.168.0.101
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes max-concurrent-queries=150 \
    max-concurrent-tcp-sessions=150 servers=10.0.12.2,10.0.12.3,8.8.8.8
/ip firewall filter
add action=reject chain=forward comment=SOCSETI disabled=yes layer7-protocol=\
    SocSeti protocol=tcp reject-with=tcp-reset src-address=192.168.0.0/24
add action=accept chain=input comment="VPN SERVER" disabled=yes dst-port=1723 \
    in-interface=INTERNET protocol=tcp
add action=drop chain=input comment=\
    "Drop All ports and protocols in input chain by default" disabled=yes
add action=drop chain=forward comment=\
    "Drop All ports and protocols in forward chain by default" disabled=yes
add action=reject chain=forward comment=Radio layer7-protocol=RADIO protocol=\
    tcp reject-with=tcp-reset src-address=192.168.0.0/24
add action=drop chain=forward comment="BLOCK RAIONA" src-address-list=Raion
add action=drop chain=input src-address-list=Raion
add action=drop chain=input comment="\C4\F0\EE\EF \E8\ED\E2\E0\EB\E8\E4\EE\E2" \
    connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections, forward chain" \
    connection-state=invalid
add action=accept chain=input comment=\
    "\D3\E4\E0\EB\E5\ED\ED\FB\E9 \F0\E0\E1\EE\F7\E8\E9 \F1\F2\EE\EB" dst-port=\
    3389 in-interface=INTERNET protocol=tcp
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward comment="Allow Ping" protocol=icmp
add action=accept chain=forward comment=\
    "Accept all established and related connections, forward chain" \
    connection-state=established,related
add action=accept chain=input comment=\
    "Accept all established and related connections, input chain" \
    connection-state=established,related
add action=accept chain=forward comment="\C4\EE\F1\F2\F3\EF \E2 \E8\ED\F2\E5\F0\
    \ED\E5\F2 \E4\EB\FF \ED\E0\F8\E5\E9 \EB\EE\EA\E0\EB\EA\E8" src-address=\
    192.168.0.0/24
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF \EA \EC\E8\EA\F0\EE\F2\
    \E8\EA\F3 \F1 \ED\E0\F8\E5\E9 \EB\EE\EA\E0\EB\EA\E8" src-address=\
    192.168.0.0/24
add action=drop chain=input comment="\C4\F0\EE\EF\E0\E5\EC \E2\F1\E5\F5 \EA\F2\
    \EE \ED\E5 \E2 \F5\EE\E4\E8\F2 \E2 \F1\E5\F2\FC" in-interface=!ether3-LAN
add action=drop chain=input comment="\CE\E1\F0\F3\E1\E0\E5\EC \F2\E5\F5 \EA\F2\
    \EE \EF\FB\F2\E0\E5\F2\F1\FF \E1\F0\F3\F2\E8\F2\FC 22 \EF\EE\F0\F2" \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1h chain=input comment="\C7\E0\EF\E8\F1\FB\E2\E0\E5\EC \
    IP \E0\E4\F0\E5\F1\E0 \F2\E5\F5 \EA\F2\EE \EF\FB\F2\E0\E5\F2\F1\FF \E1\F0\F3\
    \F2\E8\F2\FC 22 \EF\EE\F0\F2" dst-port=22 log=yes log-prefix=\
    " --- SSH ATTEMPT --- " protocol=tcp
add action=drop chain=forward comment=\
    "\ED\E5\EF\EE\ED\FF\F2\ED\FB\E9 \EA\EE\EC\EF" src-address=192.168.0.99
add action=drop chain=forward src-address=192.168.0.112
add action=reject chain=forward comment=TEST content=adm-sharya.ru disabled=yes \
    protocol=tcp reject-with=tcp-reset src-address=192.168.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
add action=masquerade chain=srcnat out-interface=INTERNET
add action=netmap chain=dstnat comment=\
    "\D3\E4\E0\EB\E5\ED\ED\FB\E9 \F0\E0\E1\EE\F7\E8\E9 \F1\F2\EE\EB" dst-port=\
    3389 in-interface=INTERNET protocol=tcp to-addresses=192.0.168.222 \
    to-ports=3389
/ip proxy
set enabled=yes
/ip route
add check-gateway=ping comment=ISP1 distance=1 gateway=INTERNET
add check-gateway=ping comment=ISP2 distance=2 gateway=172.18.49.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes
/ip smb
set allow-guests=no enabled=yes interfaces=ether3-LAN
/ip smb shares
set [ find default=yes ] max-sessions=50
/ip smb users
add name=admin
/ppp secret
add disabled=yes name=excellion service=pppoe
/system clock
set time-zone-name=Europe/Moscow
/system logging
add action=WebProxyLog prefix=proxy topics=web-proxy
add action=WebProxyLog prefix=proxy topics=!debug
/tool netwatch
add disabled=yes down-script="/ip route set [find comment=\"ISP1\"] disable=yes \
    \r\
    \n/ip route set [find comment=\"ISP2\"] disable=no" host=8.8.4.4 interval=\
    10s up-script="/ip route set [find comment=\"ISP1\"] disable=no \r\
    \n/ip route set [find comment=\"ISP2\"] disable=yes"


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вы либо ошиблись в написания адреса, либо пробрасываете что-то не в свою сеть, т.к. судя по настройкам используете подсеть 192.168.0.0/24 а в правиле проброса почему-то указан адрес 192.0.168.222 который не имеет никакого отношения к вашей сети и скорее всего должно быть 192.168.0.222.
З.Ы. И в целом, в вашем конфиге присутствую и прочие ляпы и странности, плюс он основан на "дэфлотном", что не очень хорошо.


excellion
Сообщения: 7
Зарегистрирован: 23 мар 2018, 17:44

трындец надо же так опечататься =) все заработало! спасибо огромное что увидели мою ошибку. я несколько раз все проверял и даже внимания не обратил на это.
а какие ляпы и странности вы еще увидели ?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

excellion писал(а): 17 дек 2019, 09:08 трындец надо же так опечататься =) все заработало! спасибо огромное что увидели мою ошибку. я несколько раз все проверял и даже внимания не обратил на это.
а какие ляпы и странности вы еще увидели ?
Пулы 88 подсети, 2 штука и не используются, зачем-то один и тот же адрес на двух интерфейсах, хоть на одном и выключен, правило маскарада для интерфейса которого не существует и резервирование канала средствами вочдога, которое не будет работать адекватно.


excellion
Сообщения: 7
Зарегистрирован: 23 мар 2018, 17:44

1 маскарад для PPoE подключения, 2 маскарад для интернета с выделенным IP.
я не знаю что за резервирование средствами вотчдог. но работает у меня так:
если PPOE подключен, то все работает через него, если он отпадает, то автоматом все начинают , брать интернет через ither-1-Wan. я уже даже и не помню как я это сделал. =)


Ответить