Перестал работать проброс портов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Kyrs161
Сообщения: 21
Зарегистрирован: 25 апр 2019, 17:09

Имеется два роутера : 1.Keenetic 192.168.1.1- на него приходит защищённая изолирования сеть (можно считать изернет, подключение PPTP через WAN), 2. Mikrotic 192.168.6.110 работает на внутреннюю сеть.
Раньше без проблем работал проброс портов по белому ip через Keenetic в Mikrotic, после обновления прошивки на микроте через некоторое время перенаправление перестало работать. Незнаю могло ли это как то повлиять.
Причём если пробросить машину которая подключена к Keenetic то без проблем подключаемся к ней и видим её, всё что стоит за микротом не пробрасывает... очень странно второй день не могу найти проблему.
И ещё в вкладке Connections видно что я пытаюсь подключится из вне но подключение повесит пару секунд и закончится.
Если мы захотим с Кенетика достучатся по ip wan микротика 192.168.1.66 то проброс работает, оборудование за микротом открывается по портам.
В общем суть проблемы заключается в том что микрот не хочет пускать если ты стучишься именно из вне.
Переадресация портом настроена через dstnat, правильность проверял много раз.
Подскажите плз, может кто сталкивался с подобной ситуацией.


Kyrs161
Сообщения: 21
Зарегистрирован: 25 апр 2019, 17:09

Код: Выделить всё

admin@MikroTik] > /export hide-sensitive
# dec/19/2019 16:30:59 by RouterOS 6.46.1
# software id = 5I6N-4QFZ
#
# model = 493G
# serial number = 602004E4AE14
/interface bridge
add admin-mac=4C:5E:0C:EA:0E:86 auto-mac=no fast-forward=no name=LAN
/interface ethernet
set [ find default-name=ether1 ] name=ether1_propojeni speed=100Mbps
set [ find default-name=ether2 ] name=ether2_PC speed=100Mbps
set [ find default-name=ether3 ] full-duplex=no name=ether3_ANPR1 speed=100Mbps
set [ find default-name=ether4 ] full-duplex=no name=ether4_ANPR2 speed=100Mbps
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full full-duplex=no name=ether5_OVW2 \
    speed=100Mbps
set [ find default-name=ether6 ] name=ether6_GPS speed=100Mbps
set [ find default-name=ether7 ] name=ether7_OVW1/SU speed=100Mbps
set [ find default-name=ether8 ] name=ether8_PSU speed=100Mbps
set [ find default-name=ether9 ] name=ether9_WAN speed=100Mbps
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=no_country_set \
    frequency=auto frequency-mode=superchannel mode=ap-bridge rx-chains=0,1 \
    ssid=MikroTik tx-chains=0,1
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge=LAN hw=no interface=ether1_propojeni
add bridge=LAN hw=no interface=ether2_PC
add bridge=LAN interface=ether6_GPS
add bridge=LAN hw=no interface=ether3_ANPR1
add bridge=LAN hw=no interface=ether4_ANPR2
add bridge=LAN hw=no interface=ether5_OVW2
add bridge=LAN interface=ether7_OVW1/SU
add bridge=LAN interface=ether8_PSU
add bridge=LAN disabled=yes interface=wlan1
/ip address
add address=192.168.6.110/24 interface=LAN network=192.168.6.0
/ip arp
add address=192.168.6.40 interface=LAN mac-address=00:04:A3:01:02:40
/ip dhcp-client
add disabled=no interface=ether9_WAN
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether9_WAN
add action=dst-nat chain=dstnat dst-port=3389 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.111 to-ports=3389
add action=dst-nat chain=dstnat dst-port=5900 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.111 to-ports=5900
add action=dst-nat chain=dstnat dst-port=8085 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.70 to-ports=80
add action=dst-nat chain=dstnat dst-port=5000 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.111 to-ports=5000
add action=dst-nat chain=dstnat dst-port=21 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.111 to-ports=21
add action=dst-nat chain=dstnat disabled=yes dst-port=161 protocol=udp \
    to-addresses=192.168.6.111 to-ports=161
add action=dst-nat chain=dstnat dst-port=8081 in-interface=ether9_WAN protocol=\
    tcp to-addresses=192.168.6.111 to-ports=80
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip service
set api disabled=yes
/ipv6 nd
set [ find default=yes ] advertise-dns=no
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=192.168.6.40 secondary-ntp=195.113.144.201


Kyrs161
Сообщения: 21
Зарегистрирован: 25 апр 2019, 17:09

И тишина
Прикреплю лог подключения по 8081
Я не увидел ничего критичного, всё правильно пишет, мой адрес 10.176.82.33 перенаправляет на микрот на 8081
Помогитее!! что не так с ним ?

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вы в ЛС меня спросили, я там Вам ответил.
И тут повторюсь: мало информации.

1) Нужна схема, что куда как и зачем подключено.
(вот даже сейчас читаю, у Вас проброс осуществляется с внешки или надо с внешки на закрытую сеть
ещё попадать?).
2) зачем у Вас используется схема двойного НАТ (при 2х НАТ делать проброс - очень НЕ желательно)
3) файрволы/антивирусники на компах?
(тот же Касперский ой как видит такие пакеты пробросов и не очень их любит).
4) вывод трассировок с компов, а также проверить что порты, которые Вы пробрасываете,
не заняты, ну и прочее.
5) иногда одного TCP проброса мало, надо пере-страховаться, сделать и UDP.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
mariya
Сообщения: 1
Зарегистрирован: 04 янв 2020, 10:56

Приветствую.

Столкнулся с аналогичной проблемой - не достучаться до микрота извне.

Схема простая: интернет (белый статический ip) подключен на ONT Huawei HG8245, на нём в свою очередь настроен DMZ на hAP AC lite. Дальше за микротом, за НАТом локалка. На микроте настроен проброс нескольких портов в локалку, к этому вопросов нет, всё работает как надо. Проблема - сам микрот недоступен из интернета никак - ни ssh, ни winbox, ни через web. При этом в торче видно, что пакеты на нужные порты прилетают, но дальше не происходит ничего. В фаерволе вообще нет правил с дропами. Фаервол/антивирус на устр-ве, с которого пытаюсь подключиться, не причём, т.к. проверял с разных девайсов, с разных ОС.

Код: Выделить всё

[admin@MikroTik] /ip> export hide-sensitive  
# jan/04/2020 11:14:08 by RouterOS 6.46.1
# software id = D8WD-U1AF
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.200-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=192.168.88.0
add address=91.122.30.89 interface=ether1 network=91.122.30.89
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.250 client-id=1:90:2b:34:a0:3b:8d mac-address=90:2B:34:A0:3B:8D server=defconf
add address=192.168.88.251 client-id=1:8c:89:a5:83:7:e9 mac-address=8C:89:A5:83:07:E9 server=defconf
add address=192.168.88.252 client-id=1:14:9f:3c:2c:96:77 mac-address=14:9F:3C:2C:96:77 server=defconf
add address=192.168.88.249 client-id=1:68:14:1:b7:74:a5 mac-address=68:14:01:B7:74:A5 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1,8.8.8.8 gateway=192.168.88.1
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=ether1 log=yes log-prefix=!!! protocol=tcp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes log-prefix=DROP
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN log-prefix=DROPALL
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24
add action=netmap chain=dstnat comment="OpenHAB port forwarding" dst-port=8080 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=8080
add action=netmap chain=dstnat comment="VNC port forwarding to Maria-PC" dst-port=5901 in-interface=ether1 protocol=tcp to-addresses=192.168.88.251 to-ports=5900
add action=masquerade chain=srcnat comment=masque dst-address=192.168.88.250 dst-port=8080 out-interface=bridge protocol=tcp src-address=192.168.88.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
/ip upnp
set enabled=yes
[admin@MikroTik] /ip>  


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

mariya писал(а): 04 янв 2020, 11:19 Проблема - сам микрот недоступен из интернета никак - ни ssh, ни winbox, ни через web.

Код: Выделить всё

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
:ya_hoo_oo:

Сначала всё отключаем потом удивляемся почему не работает
Задавать таким образом IP адреса для winbox не совсем корректно, лучше включить по умолчанию или явную подсеть.
У Вас наружу открыт только порт для winbox все остальные службы отключены


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить