Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

shaihkritzer писал(а): 10 мар 2020, 17:39 а решения окромя по пути наименьшего сопротивления и на поводу у маркетологов, как я понимаю, нет?
Вы сидели на белом ip, сменили провайдера на, скорее всего, повыгодней, аля больше скорость и меньше стоимость, но без белого ip, о каких маркетологах идет речь? Если вам нужен был белый адрес, а он вам нужен, судя по запросам и хотелкам, то нужно было заранее узнавать, у провайдера, на форуме провайдера, у клиентов-соседей, каким образом и что именно предоставляет провайдер за данную плату и отталкиваясь от этого уже выбирать лучшее решение. Как итог, у вас на данный момент, без смены провайдера, выходов всего 2 - использование услуги "белый ip" от провайдера, что обычно составляет в районе +150 рублей в месяц, либо аренда забугорного вдс с поднятием на нем какой-то о.с., например того же chr и связыванием вашего домашнего хозяйства с этим вдс, второй вариант дороже - chr в бесплатном релизе ограничивает скорость 1 мегабитом, вам этого не хватит, а лицензия стоит от 2к рублей, (либо учитесь в бесплатные о.с. и работе с сетями на них, зато бесплатно), но это разовый платеж, а вот за сам вдс придется платить еще от 77 рублей в месяц (самое дешевое решение что нашел за бугром), плюс небольшой препон в виде настройки всего этого добра. Но есть 1 плюс, с просто белым ip вы просто получаете доступ к своим железкам извне, а вот с вдс вы еще получаете потенциальною возможность обхода блокировок ркн, т.е. все что вам было недоступно вы можете начать маршрутизировать через этот вдс (если он забугорный, отеч. бессмысленно) и получать доступ куда захотите.


shaihkritzer
Сообщения: 9
Зарегистрирован: 15 май 2019, 20:56
Контактная информация:

смена провайдера связана со сменой помещения. впрочем, ростелеком выдавал динамический белый айпи в рамках одного тарифа. зато награждал его насильной сменой раз в сутки (и сопутствующим реконнектом).

ладно, вернёмся к вопросу о настройке L2TP подключения. возможно ли его разграничить как-либо по целям использования? чтобы определённые сайты или сервисы шли через него, а остальной траффик - через билайн?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да конечно можно. Например, составляете адрес-лист с нужными сайтами и в правилах NAT оговариваете, что
1. через основного провайдера идут все, кроме нужных.
2. через L2TP идут нужные.
Этого достаточно...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
PolarBear
Сообщения: 1
Зарегистрирован: 21 янв 2017, 22:37

Друзья, подскажите пожалуйста, имею такую задачу ...
Долго гуглил, но пока не получается её решить.

mikrotik ip 10.200.200.1/24
домашняя сеть 10.200.200.0/24

есть прокси сервер squid, на который я хочу завернуть трафик из домашней сети.
proxy ip 192.168.1.2/24
mikrotik alias 192.168.1.1/24 (он же интернет шлюз для прокси)

Домашняя сеть видит прокси, прокси видит домашнюю сеть. Все пингуется, трафик ходит.
Но через dstnat у меня не получается завернуть трафик.

Мне нужно чтобы весь трафик src 10.200.200.0 dst port 80 завернулся на 192.168.1.2 порт 3128

Буду благодарен за любые советы


Derbrent
Сообщения: 5
Зарегистрирован: 24 май 2017, 01:09

Всем привет!
Застрял на выводе FTP сервера в сеть, через микротик.
Имеется микротик (6.46) и ФТП сервер FreeNAS в локальной сети. Есть выделенный (белый) IP адрес от провайдера.
Нужно из внешней сети интернет работать с ФТП сервером.
На микротике настроены правила выхода юзеров сеть, т.е. DHCP раздает всем адреса, но только те кто прописаны в NAT могут выйти в сеть (получить интернет).

При пробросе юзал данный манул, и не только, они все похоже - lantorg.com/article/kak-my-nastraivali-ftp-server-na-mikrotik . Загвоздка в том что по выделенному ИПу на сервер можно зайти из локальной сети, но из внешней сети ни как. В чем загвоздка ?

Если на микротике вкл. в сервис листе ФТП то из внешки по ИПу можно попасть на микротик.

Уже многое перепробовал, но в сеть не вывести ни как.... хелп плз.

p.s. есть удаленка и дискорд если что для связи, выручайте :)


slavchan
Сообщения: 2
Зарегистрирован: 14 апр 2020, 12:36

Добрый день. Мучаюсь уже третий день. Перерыл все, делаю по инструкцию в итоге все никак.
Ситуация такая. Имеется Mikrotik RB951Ui-2HnD, инет от провайдера по DHCP. Прошивка (6.45.8 пробовал другую, без изменений)
Адрес роутера в локалке 192.168.3.10
В сети две камера и обе по rtsp отдают поток порт 554
первая камера 192.168.3.15 подключена по Lan (с внешки порт 8010 на 554)
вторая камера 192.168.3.17 подключена по Wifi (с внешки порт 8020 на 554)

Настроил два правила для проброса с внешки. Без проблем захожу на них. А вот из локалки с телефона переадресация не происходит. Делал по инструкции как здесь
https://www.technotrade.com.ua/Articles ... entitstart

Обращения из локальной сети к внешнему IP-адресу x.x.x.x. и порту 8020 перенаправляем в локальную сеть на устройство 192.168.3.17 и порт 554, а не в интернет.
/ip firewall nat add action=netmap chain=dstnat dst-address=x.x.x.x dst-port=8020 in-interface=bridge protocol=tcp src-address=192.168.3.0/24 to-addresses=192.168.3.17 to-ports=554

и все тоже самое для второй камеры прописано. В итоге не заходит. Если в телефоне прописываю локальные айпи камер, без проблем подrлючаюсь.

Смотрел также и здесь https://asp24.com.ua/blog/reshenie-prob ... herez-wan/
Итог такой же.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

slavchan писал(а): 14 апр 2020, 12:51 Обращения из локальной сети к внешнему IP-адресу x.x.x.x. и порту 8020 перенаправляем в локальную сеть на устройство 192.168.3.17 и порт 554, а не в интернет.
тут почитайте

https://lantorg.com/article/kak-zajti-p ... a-mikrotik


slavchan
Сообщения: 2
Зарегистрирован: 14 апр 2020, 12:36

Erik_U писал(а): 14 апр 2020, 14:08
slavchan писал(а): 14 апр 2020, 12:51 Обращения из локальной сети к внешнему IP-адресу x.x.x.x. и порту 8020 перенаправляем в локальную сеть на устройство 192.168.3.17 и порт 554, а не в интернет.
тут почитайте

https://lantorg.com/article/kak-zajti-p ... a-mikrotik
Сделал по аналогии, все без изменений. Видать и правда... Дома не дома так и будет.
И там еще сервер в сети, которого у меня нет.


konkistador2007
Сообщения: 7
Зарегистрирован: 28 апр 2020, 13:39

Здравствуйте уважаемые гуру.
Поставил в офис микротик (hex). И теперь пытаюсь победить SIP на исходящие.

Интернет: pppoe - белый Ip. локалка, НАТ, за ним АТСка.
В АТСке включена опция что она за НАТ и прописан белый Ip.
В микротике отключен sip (ip - firewal -service ports). - вычитал что он дико мешает.
сделаны пробросы на машину с АТСкой: ( в микроте есть еще пробросы - они нормально работают. есть еще маскарад - который позволяет из локалки входить по внешнему адресу на web сервер внутри локалки)
TCP/UDP - 5060, 5061
UDP - 8000 - 48000

Схема телефонии:
Вирт номер -> Роистат (по сипу соединяется с АТС) -> АТС -> zadarma (по сипу соединяется с АТС).

Так вот, если звоню (с мобильного) на вирт номер звонок успешно приходит в АТС. Соответственно можно поговорит с сип трубкой.
Как только пытаемся из офиса позвонить во внешку (через zadarma) - происходит обрыв связи. Звонки просто не идут.
АТСка знает что ей надо звонить через zadarma, она даже зарегистрировалась в нем. Но звонки не идут.
Такое ощущение, что АТС не может выпустить звонок внаружу.
 Конфиг
/interface list member
add comment=defconf interface="Bridge - LAN" list=LAN
add comment=defconf interface="ether1 - Parustelecom" list=WAN
add interface="pppoe-out1 - Parustelecom" list=WAN
add interface="ether2 - Rostelecom" list=WAN
/interface pptp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.3.1/24 interface="Bridge - LAN" network=192.168.3.0
/ip dhcp-client
add comment=defconf interface="ether1 - Parustelecom"
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf dns-server=192.168.3.1,8.8.8.8 \
gateway=192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.3.1 name=router.lan
/ip firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked disabled=yes
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
protocol=icmp
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward disabled=yes dst-port=4899 protocol=tcp
add action=accept chain=input disabled=yes dst-port=1723 port="" protocol=tcp
add action=accept chain=input disabled=yes protocol=gre
add action=accept chain=input disabled=yes port=1701,500,4500 protocol=udp
add action=accept chain=input disabled=yes protocol=ipsec-esp
add action=accept chain=forward disabled=yes dst-address=192.168.3.12 dst-port=\
5000 in-interface="ether1 - Parustelecom" protocol=tcp
add action=accept chain=forward disabled=yes dst-port=5000 in-interface=\
"ether1 - Parustelecom" protocol=tcp
add action=accept chain=forward comment=\
"\EF\E5\F0\E5\ED\E0\E7\ED\E0\F7\E8\EB rdp \EF\EE\F0\F2" disabled=yes \
dst-port=33389 protocol=tcp
add action=accept chain=forward disabled=yes src-address=185.45.152.0/24
add action=accept chain=forward disabled=yes src-address=185.45.155.0/24
add action=accept chain=forward disabled=yes src-address=37.139.38.0/24
add action=accept chain=forward disabled=yes src-address=195.122.19.0/27
add action=accept chain=forward disabled=yes src-address=103.109.103.64/28
add action=accept chain=forward disabled=yes src-address=212.116.121.63
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5060 in-interface=\
"ether1 - Parustelecom" protocol=tcp to-addresses=192.168.3.40 to-ports=\
5060
add action=dst-nat chain=dstnat dst-port=5060 in-interface=\
"ether1 - Parustelecom" protocol=udp to-addresses=192.168.3.40 to-ports=\
5060
add action=dst-nat chain=dstnat dst-port=5061 in-interface=\
"ether1 - Parustelecom" protocol=tcp to-addresses=192.168.3.40 to-ports=\
5061
add action=dst-nat chain=dstnat dst-port=5061 in-interface=\
"ether1 - Parustelecom" protocol=udp to-addresses=192.168.3.40 to-ports=\
5061
add action=dst-nat chain=dstnat dst-port=8000-48000 in-interface=\
"ether1 - Parustelecom" protocol=udp to-addresses=192.168.3.40
add action=dst-nat chain=dstnat dst-address-type=local dst-port=5000-5010 \
in-interface-list=WAN protocol=udp to-addresses=192.168.3.12 to-ports=5000
add action=dst-nat chain=dstnat dst-address-type=local dst-port=5000-5010 \
protocol=tcp to-addresses=192.168.3.12 to-ports=5000
add action=dst-nat chain=dstnat disabled=yes dst-port=4899 protocol=tcp \
to-ports=4899
add action=dst-nat chain=dstnat comment=\
"\EF\E5\F0\E5\ED\E0\E7\ED\E0\F7\E8\EB rdp \EF\EE\F0\F2" dst-port=33389 \
protocol=tcp to-ports=3389
add action=dst-nat chain=dstnat dst-port=23106 protocol=tcp to-addresses=\
192.168.3.249 to-ports=3306
add action=dst-nat chain=dstnat port=61443 protocol=tcp to-addresses=\
192.168.3.249 to-ports=443
add action=dst-nat chain=dstnat comment=PORTAL dst-address-type=local dst-port=\
80 protocol=tcp to-addresses=192.168.3.249 to-ports=80
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.249 \
dst-port=80 out-interface="Bridge - LAN" protocol=tcp src-address=\
192.168.3.0/24
add action=dst-nat chain=dstnat dst-address=БЕЛЫЙ IP.49 dst-port=22 protocol=\
tcp to-addresses=192.168.3.249 to-ports=22
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 protocol=\
tcp to-addresses=192.168.3.249 to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 protocol=\
udp to-addresses=192.168.3.249 to-ports=443
add action=masquerade chain=srcnat dst-address=192.168.3.249 dst-port=443 \
out-interface="Bridge - LAN" protocol=tcp src-address=192.168.3.0/24
add action=masquerade chain=srcnat dst-address=192.168.3.249 dst-port=443 \
out-interface="Bridge - LAN" protocol=udp src-address=192.168.3.0/24
add action=dst-nat chain=dstnat dst-address-type=local dst-port=8890-8895 \
protocol=tcp to-addresses=192.168.3.249
add action=dst-nat chain=dstnat dst-address-type=local dst-port=1935 protocol=\
tcp to-addresses=192.168.3.249
add action=dst-nat chain=dstnat dst-address-type=local dst-port=1935 protocol=\
udp to-addresses=192.168.3.249
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.249 \
dst-port=1935 out-interface="Bridge - LAN" protocol=tcp src-address=\
192.168.3.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.249 \
dst-port=1935 out-interface="Bridge - LAN" protocol=udp src-address=\
192.168.3.0/24
add action=dst-nat chain=dstnat dst-address-type=local dst-port=3478 protocol=\
tcp to-addresses=192.168.3.249
add action=dst-nat chain=dstnat dst-address-type=local dst-port=3478 protocol=\
udp to-addresses=192.168.3.249
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.249 \
dst-port=3478 out-interface="Bridge - LAN" protocol=tcp src-address=\
192.168.3.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.249 \
dst-port=3478 out-interface="Bridge - LAN" protocol=udp src-address=\
192.168.3.0/24
add action=dst-nat chain=dstnat comment=UNMS dst-address-type=local dst-port=\
55443 protocol=tcp to-addresses=192.168.3.156 to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=55443 protocol=\
udp to-addresses=192.168.3.156 to-ports=443
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.156 \
dst-port=55443 out-interface="Bridge - LAN" protocol=tcp src-address=\
192.168.3.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.3.156 \
dst-port=55443 out-interface="Bridge - LAN" protocol=udp src-address=\
192.168.3.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes sip-direct-media=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8888
set api disabled=yes
set winbox address=192.168.3.0/24,10.123.0.0/25


konkistador2007
Сообщения: 7
Зарегистрирован: 28 апр 2020, 13:39

Проблема была не на стороне Микротика, а на стороне Задарма. Сипнет вместо задарма завелся сразу.


Ответить