Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

p500 писал(а): 27 янв 2020, 12:32 Создаю правило в брандмауэре win 10 для порта 5900, разрешаю любые входящие подключения на 5900. При проверке показывает, что открыты все практически порты, более 30. По идее должен быть отрыт только тот порт, который я указывал в брандмауэре win 10 и на роутере? Почему открываются все порты сразу, в чем может быть проблема? Прошу совета, сильно только не пинайте.
На втором мкриншоте dst.port не указали, поэтому сейчас все "проходящие", на все порты отправляются на порт 5900 вашего компа, т.е. обратитесь вы к порту 22, а ваше правило отправит его на порт 5900, обратитесь на 8080 а правило отправит на 5900 и т.д. Что бы этого не было заполните поле Dst.Port на вкладке General и все у вас будет работать как надо.
З,ы, на будущее, скрины неудобны и неинформативны, пользуйтесь командой export и показывайте ее результат, по ней и понятней и объяснить помочь проще.


p500
Сообщения: 2
Зарегистрирован: 27 янв 2020, 11:41

Спасибо за помощь! Учту.


xlin
Сообщения: 7
Зарегистрирован: 17 фев 2020, 21:35

Доброго дня. Сразу прошу прощения, я мало работал с микротиком. Мне ближе шлюзы на линуксе.
Не могу понять. Смотрите. Я поднял в локалке ВКС сервер на одной виртуалке и сайт для создания комноты для ВКС на другом. В итоге есть два веб сервера работающие на 80 порту. Первый приходе на него, щёлкая зайти в ВКС перенаправляет на второй. В локалке все супер, но мне нужен доступ из вне. В фаирврле в разделе Ната сделал правило с перенаправление с 80 порта на ip первого веб сервера на тот же 80 пор и указал его ip. Всё бы хорошо, но у меня уже крутится другой сайт и микротик кидает на него. Стоит правила поменять местами и сразу мой сайт доступен, а тот отваливается. Как это решить?
Мне нужно что бы три сайта были доступны из вне. Все на 80 порту, но на разных серверах в локалке.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

http://mikrotik-pro.ru/2017/07/25/mikro ... ip-adrese/
А такое не находили?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
xlin
Сообщения: 7
Зарегистрирован: 17 фев 2020, 21:35

podarok66 писал(а): 17 фев 2020, 22:51 http://mikrotik-pro.ru/2017/07/25/mikro ... ip-adrese/
А такое не находили?
Нет. Инструкцию эту не видел. Спасибо. К сожалению не помогла. Все сделал как написано, но как открывался один сайт, так и открывается.
/ip firewall nat>> print

chain=srcnat action=src-nat to-addresses=XX.XX.XX.XX out-interface-list=WAN log=no log-prefix=""
chain=dstnat action=netmap to-addresses=172.16.5.17 to-ports=80 protocol=tcp in-interface-list=WAN dst-port=80 log=no log-prefix=""
chain=dstnat action=netmap to-addresses=172.16.0.164 to-ports=80 protocol=tcp in-interface-list=WAN dst-port=80 port="" log=no log-prefix=""
chain=dstnat action=redirect to-ports=8080 protocol=tcp in-interface-list=WAN dst-port=80
chain=input action=accept protocol=tcp in-interface-list=WAN dst-port=8080 log=no log-prefix=""
Вот такие правила у меня NAT. Вторая запись это тот сайт который открывается, а третья строчка, который нет. ((


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так не будет работать. Нельзя один и тот же порт пробосить дважы и более раз. Это невозможно в принципе. В вашем случае срабатывает первое правило с 80 портом. Поменяйте правила местами и все равно будет срабатывать то, которое выше.
Входящие порты должны быть разыми!


xlin
Сообщения: 7
Зарегистрирован: 17 фев 2020, 21:35

gmx писал(а): 18 фев 2020, 09:32 Так не будет работать. Нельзя один и тот же порт пробосить дважы и более раз. Это невозможно в принципе. В вашем случае срабатывает первое правило с 80 портом. Поменяйте правила местами и все равно будет срабатывать то, которое выше.
Входящие порты должны быть разыми!
Так что надо сделать? Убрать эти правила, что бы отработал прокси? Если это сделать, то сайт отваливается

З.Ы. И в инструкции метод только для http (( А как же быть с https? ВКС только через него работает.


xlin
Сообщения: 7
Зарегистрирован: 17 фев 2020, 21:35

Разобрался. Был закрыт порт 8080 в firewall. Как быть с https? (((


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Никак, микротиковсий проксик настолько убог, что https не обрабатывает от слова совсем. Вам с вашими запросами нужен маршрутизатор с более полным набором возможностей. Придётся вам ещё на одном сервере поднимать Squid или что-то того же плана и всё разруливать через него. И Микрот тут уже как бы и не нужен. Все на серваке разрулится. Вам придётся к Линуксоидам стучаться или к красноглазым... ;;-)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
xlin
Сообщения: 7
Зарегистрирован: 17 фев 2020, 21:35

podarok66 писал(а): 18 фев 2020, 15:00 Никак, микротиковсий проксик настолько убог, что https не обрабатывает от слова совсем. Вам с вашими запросами нужен маршрутизатор с более полным набором возможностей. Придётся вам ещё на одном сервере поднимать Squid или что-то того же плана и всё разруливать через него. И Микрот тут уже как бы и не нужен. Все на серваке разрулится. Вам придётся к Линуксоидам стучаться или к красноглазым... ;;-)))
Мы как раз только ушли от линуксового шлюза. Взяли себе mikrotik CCR1009-7G-1C-1S+ Такого не хватит что бы разрулить дурацкий https?

https://mikrotik.com/product/CCR1009-7G ... ifications


Ответить