Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
berserkerKZ
Сообщения: 3
Зарегистрирован: 20 янв 2022, 12:36

Paul_83 писал(а): 23 янв 2022, 20:36 Здравствуйте! Подскажите, пожалуйста, как открыть порты 1036 и 1037 на выход? Так написано буквально в инструкции к охранному комплексу. Интернет через СИМ-карту я настроил в интерфейсе охранной панели, Ethernet настройки тоже вбил. Но как я понимаю, теперь дело толко в настройке роутера. Через 2ip.ru проверял, открыты ли эти порты. Они закрыты.
Пробовал настраивать через firewall - nat. Создал правило в general src-nat, верно?! А вот далее разными путями пробовал, но не получается настроить. Прошу помощи у опытных. Скрин из инструкции прилагаю. Кстати, почему-то изначально по DHCP не получает адрес Ethernet-адаптер этой панели. Хотя, диоды на этом адаптере мигают.

Изображение
Попробуй сделай правило в фаирволе на forward и input с логом и увидишь где что застревает


Paul_83
Сообщения: 14
Зарегистрирован: 17 дек 2021, 23:38

berserkerKZ писал(а): 25 янв 2022, 08:37
Paul_83 писал(а): 23 янв 2022, 20:36 Здравствуйте! Подскажите, пожалуйста, как открыть порты 1036 и 1037 на выход? Так написано буквально в инструкции к охранному комплексу. Интернет через СИМ-карту я настроил в интерфейсе охранной панели, Ethernet настройки тоже вбил. Но как я понимаю, теперь дело толко в настройке роутера. Через 2ip.ru проверял, открыты ли эти порты. Они закрыты.
Пробовал настраивать через firewall - nat. Создал правило в general src-nat, верно?! А вот далее разными путями пробовал, но не получается настроить. Прошу помощи у опытных. Скрин из инструкции прилагаю. Кстати, почему-то изначально по DHCP не получает адрес Ethernet-адаптер этой панели. Хотя, диоды на этом адаптере мигают.

Изображение
Попробуй сделай правило в фаирволе на forward и input с логом и увидишь где что застревает
Спасибо. Попробую так.


Glebbro
Сообщения: 2
Зарегистрирован: 25 мар 2022, 12:16

всем привет, опыт работы с микротиком есть, сам настраивал по инфе с инета.

столкнулся с такой проблемой:
есть сервис на серваке на локальном адресе с пробросом на внешний (белый ip) порт 3001 настроен доступ на внешние адреса по листу svod
также разрешен трафик на эту машину только с листа svod и обратно только на машины из листа svod
ether1 это wan

add action=netmap chain=dstnat comment="arenda vm svod" dst-port=3001 in-interface=ether1 log=yes protocol=tcp \
src-address-list=svod to-addresses=192.168.2.90 to-ports=3001

add action=accept chain=forward comment="arenda vm svod" \
dst-address=192.168.2.0/24 src-address=192.168.2.90

add action=drop chain=forward comment="arenda vm svod" dst-address-list=!svod src-address=192.168.2.90
также имеется запись
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

вопрос в том что сейчас нужно чтоб из локалки можно было подключаться не по внутреннему ip, а ко внешнему, ну вы поняли. Ранее просто не нужно было вот я и не замарачивался, но сейчас нужно и делаю все по инфе с гугла и не проходит, даже неpнаю что делать, прошивка MikroTik RouterOS 6.49.5
как например всем локальным машинам подключаться к внешнему порту на который селан проброс?


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Glebbro писал(а): 25 мар 2022, 13:06 всем привет, опыт работы с микротиком есть, сам настраивал по инфе с инета.

столкнулся с такой проблемой:
есть сервис на серваке на локальном адресе с пробросом на внешний (белый ip) порт 3001 настроен доступ на внешние адреса по листу svod
также разрешен трафик на эту машину только с листа svod и обратно только на машины из листа svod
ether1 это wan

add action=netmap chain=dstnat comment="arenda vm svod" dst-port=3001 in-interface=ether1 log=yes protocol=tcp \
src-address-list=svod to-addresses=192.168.2.90 to-ports=3001

add action=accept chain=forward comment="arenda vm svod" \
dst-address=192.168.2.0/24 src-address=192.168.2.90

add action=drop chain=forward comment="arenda vm svod" dst-address-list=!svod src-address=192.168.2.90
также имеется запись
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

вопрос в том что сейчас нужно чтоб из локалки можно было подключаться не по внутреннему ip, а ко внешнему, ну вы поняли. Ранее просто не нужно было вот я и не замарачивался, но сейчас нужно и делаю все по инфе с гугла и не проходит, даже неpнаю что делать, прошивка MikroTik RouterOS 6.49.5
как например всем локальным машинам подключаться к внешнему порту на который селан проброс?
1. dst-nat, netmap для другого
2. https://help.mikrotik.com/docs/display/ROS/NAT


Glebbro
Сообщения: 2
Зарегистрирован: 25 мар 2022, 12:16

KaNelam писал(а): 25 мар 2022, 16:02
Glebbro писал(а): 25 мар 2022, 13:06 всем привет, опыт работы с микротиком есть, сам настраивал по инфе с инета.

столкнулся с такой проблемой:
есть сервис на серваке на локальном адресе с пробросом на внешний (белый ip) порт 3001 настроен доступ на внешние адреса по листу svod
также разрешен трафик на эту машину только с листа svod и обратно только на машины из листа svod
ether1 это wan

add action=netmap chain=dstnat comment="arenda vm svod" dst-port=3001 in-interface=ether1 log=yes protocol=tcp \
src-address-list=svod to-addresses=192.168.2.90 to-ports=3001

add action=accept chain=forward comment="arenda vm svod" \
dst-address=192.168.2.0/24 src-address=192.168.2.90

add action=drop chain=forward comment="arenda vm svod" dst-address-list=!svod src-address=192.168.2.90
также имеется запись
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

вопрос в том что сейчас нужно чтоб из локалки можно было подключаться не по внутреннему ip, а ко внешнему, ну вы поняли. Ранее просто не нужно было вот я и не замарачивался, но сейчас нужно и делаю все по инфе с гугла и не проходит, даже неpнаю что делать, прошивка MikroTik RouterOS 6.49.5
как например всем локальным машинам подключаться к внешнему порту на который селан проброс?
1. dst-nat, netmap для другого
2. https://help.mikrotik.com/docs/display/ROS/NAT
сменил netmap в ACTION на dst-nat, проброс по прежнему доступен только с внешки(


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Glebbro писал(а): 25 мар 2022, 17:02
KaNelam писал(а): 25 мар 2022, 16:02
Glebbro писал(а): 25 мар 2022, 13:06 всем привет, опыт работы с микротиком есть, сам настраивал по инфе с инета.

столкнулся с такой проблемой:
есть сервис на серваке на локальном адресе с пробросом на внешний (белый ip) порт 3001 настроен доступ на внешние адреса по листу svod
также разрешен трафик на эту машину только с листа svod и обратно только на машины из листа svod
ether1 это wan

add action=netmap chain=dstnat comment="arenda vm svod" dst-port=3001 in-interface=ether1 log=yes protocol=tcp \
src-address-list=svod to-addresses=192.168.2.90 to-ports=3001

add action=accept chain=forward comment="arenda vm svod" \
dst-address=192.168.2.0/24 src-address=192.168.2.90

add action=drop chain=forward comment="arenda vm svod" dst-address-list=!svod src-address=192.168.2.90
также имеется запись
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

вопрос в том что сейчас нужно чтоб из локалки можно было подключаться не по внутреннему ip, а ко внешнему, ну вы поняли. Ранее просто не нужно было вот я и не замарачивался, но сейчас нужно и делаю все по инфе с гугла и не проходит, даже неpнаю что делать, прошивка MikroTik RouterOS 6.49.5
как например всем локальным машинам подключаться к внешнему порту на который селан проброс?
1. dst-nat, netmap для другого
2. https://help.mikrotik.com/docs/display/ROS/NAT
сменил netmap в ACTION на dst-nat, проброс по прежнему доступен только с внешки(
ссылка в пункте 2....


morien
Сообщения: 1
Зарегистрирован: 26 апр 2022, 10:37

Доброго времени суток!
Столкнулся с проблемой. Есть 2 роутера: один SXT LTE KIT, второй rb2011uias-2hnd-in.
Есть 2 провайдера: первый домру, основной канал, витая пара заходит в первый порт rb2011uias-2hnd-in;
второй мегафон, резервный канал, симка установлена в роутере SXT LTE KIT, от него вита пара идёт в девятый порт rb2011uias-2hnd-in.
Оба провайдера выдают белые ip-адреса.
С объекта идёт трансляция ip-камер по DDNS-имени rb2011uias-2hnd-in по основному каналу домру. При падении основного канала включается резервный, и трансляция с камер падает, т.к. SXT LTE KIT имеет свой NAT, который не пропускает DDNS-имя rb2011uias-2hnd-in.
Вопрос - как настроить SXT LTE KIT, чтобы его NAT пропускал DDNS-имя rb2011uias-2hnd-in и, соответственно, траффик с ip-камер?


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

morien писал(а): 26 апр 2022, 11:13 Доброго времени суток!
Столкнулся с проблемой. Есть 2 роутера: один SXT LTE KIT, второй rb2011uias-2hnd-in.
Есть 2 провайдера: первый домру, основной канал, витая пара заходит в первый порт rb2011uias-2hnd-in;
второй мегафон, резервный канал, симка установлена в роутере SXT LTE KIT, от него вита пара идёт в девятый порт rb2011uias-2hnd-in.
Оба провайдера выдают белые ip-адреса.
С объекта идёт трансляция ip-камер по DDNS-имени rb2011uias-2hnd-in по основному каналу домру. При падении основного канала включается резервный, и трансляция с камер падает, т.к. SXT LTE KIT имеет свой NAT, который не пропускает DDNS-имя rb2011uias-2hnd-in.
Вопрос - как настроить SXT LTE KIT, чтобы его NAT пропускал DDNS-имя rb2011uias-2hnd-in и, соответственно, траффик с ip-камер?
https://wiki.mikrotik.com/wiki/Manual:I ... gh_Example


oleg.ohotnikov
Сообщения: 12
Зарегистрирован: 12 фев 2019, 17:37

Добрый день. Помогите разобраться с задачкой.
Есть вэб-сервер в локальной сети с портом 80.
Делаю на него проброс извне

Код: Выделить всё

add action=netmap chain=dstnat dst-port=8019 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80
И всё работает. Извне по порту 8019 попадаю на сервер.
Меняю только внешний порт на 80 и больше ничего

Код: Выделить всё

add action=netmap chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80
И по порту 80 извне уже не пускает. Ну значит провайдер блочит порты предположил я. Но если включить логирование правила, то вижу такое:

Изображение

Пакеты до микрота доходят по порту 80. Таки в его настройках что-то?


Аватара пользователя
hardrockbaby
Сообщения: 70
Зарегистрирован: 19 сен 2021, 16:11

oleg.ohotnikov писал(а): 06 май 2022, 15:09Пакеты до микрота доходят по порту 80. Таки в его настройках что-то?
Если убрать to-ports поведение изменится?

Код: Выделить всё

add action=netmap chain=dstnat dst-port=80 in-interface=pppoe-out1 \
protocol=tcp to-addresses=10.110.210.252


Ответить