Несколько вопросов новичка по RouterOS

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

Digweed писал(а):Не получается пробросить не стандартный RDP порт
Делаю так:

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=3389
add action=accept chain=forward dst-port=3389 protocol=tcp


все работает, а если меняю на не стандартный порт:

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=37838
add action=accept chain=forward dst-port=37838 protocol=tcp


не работает уже, в чем я ошибаюсь? RDP сервер на компьютере 192.168.1.2 слушает порт 3389 но мы же на него и пробрасываем с 37838

Так же, в гайде по фаерволлу который писал podarok66 написано chain=input, а с input вообще не работает.





chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838

это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Как я и говорил. Остался один шаг к результату. :-):


Digweed
Сообщения: 0
Зарегистрирован: 18 июн 2014, 19:11

kulibin01 писал(а):
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838

это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838

И так и так попробовал. Не пускает.

Решил вот так:
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp in-interface=ukrtelecom dst-port=37838
chain=forward action=accept protocol=tcp dst-port=3389

Из того что я прочел и мне объяснили - открывать внешний порт 37838 через фаерволл не надо т.к. НАТ открывает его раньше чем срабатывают правила фаера. Но требуется открыть мой внутренний IP (и не сильно понимаю почему так. Возможно из за того что я обращаюсь по сути к моему ПК а не роутеру?) 3389. Т.е. в любом случае не используется input и я все еще не
знаю почему :)
И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Digweed писал(а):И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)


Не стоит недооценивать снифферы и людей, которые их используют. Кроме сканирования открытых портов, программы сразу же пробуют открывать стандартные сессии, типа, telnet, ssh и rdp в том числе. Иными словами, перенос rdp на другой порт - отсрочит попытку взлома (если конечно она вообще будет) секунд на 10-15.


kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

Digweed писал(а):
kulibin01 писал(а):
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838

это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838

И так и так попробовал. Не пускает.

Решил вот так:
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp in-interface=ukrtelecom dst-port=37838
chain=forward action=accept protocol=tcp dst-port=3389

Из того что я прочел и мне объяснили - открывать внешний порт 37838 через фаерволл не надо т.к. НАТ открывает его раньше чем срабатывают правила фаера. Но требуется открыть мой внутренний IP (и не сильно понимаю почему так. Возможно из за того что я обращаюсь по сути к моему ПК а не роутеру?) 3389. Т.е. в любом случае не используется input и я все еще не
знаю почему :)
И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)



filter не нужен, потому как цепочка prerouting срабатывает первой в которой как тебе правильно сказали идет вначале таблица mangle, а затем nat в которой ты и указываешь свой проброс.
не знаю как ты проверял и какие у тебя там правила, но рабочий вариант для тебя это
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838
в твоем варианте ты указал на какой интерфейс должно приходить соединение (укртелеком).

а вообще ты либо указывай от кого можно принимать соединения. в данном примере это 80.111.120.14
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp src-address=80.111.120.14 dst-port=37838

либо поднимай vpn, а то с изменением порта, как уже было сказано ранее это порнуха.


Digweed
Сообщения: 0
Зарегистрирован: 18 июн 2014, 19:11

kulibin01
Я вот какраз начал с VPN разбираться и что оно такое. Если он работает точно так же как я себе представляю и как например в Tunnelbear & Cyberghost то по сути он отключает мой остальной интернет и пускает весь трафик через свой тунель, а мне надо только 1 соединение на определенный IP, а все остальное пусть работает как обычно.

Пробовал заодно upnp, ох он не приятную штуку делает. Создает правила динамические и потом их не удаляет даже когда они уже не нужны. В итоге куча мусора создается.


Digweed
Сообщения: 0
Зарегистрирован: 18 июн 2014, 19:11

Народ, а что Микротик так халтурит с OpenVPN? компрессию не поддерживает, tls не поддерживает, utp не поддерживает.
Порекомендуйте на какой VPN сервер смотреть?
ppptp дырявый, ipsec с l2tp какой то монструозный вроде как (мало что про него знаю)...
Мне по сути с работы на домашний ПКа подключаться (rdp и все дела) (win & linux) и с мобильных устройств (IOS, они там поддерживают ppptp, ipsec & для опенвпн тоже есть апп).


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

:-)
Мне по сути с работы на домашний ПКа подключаться (rdp и все дела) (win & linux) и с мобильных устройств (IOS, они там поддерживают ppptp, ipsec & для опенвпн тоже есть апп).



Порекомендуйте на какой VPN сервер смотреть?
ppptp дырявый, ipsec с l2tp какой то монструозный вроде как (мало что про него знаю)...


ну SSTP только остался


Есть интересная задача и бюджет? http://mikrotik.site
Digweed
Сообщения: 0
Зарегистрирован: 18 июн 2014, 19:11

vqd
Ну я же серьезно :smu:sche_nie: да и вроде SSTP он для windows в основном.
Я просто хочу узнать на чем опытные люди в этих делах строят свои сетки.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

не параноики PPtP или L2TP
Если того требуется то + IPSEC
Параноики исключительно IPsec

Я лично пользуюсь голым L2TP Если клиенты виндовые то PPtP


Есть интересная задача и бюджет? http://mikrotik.site
Ответить