Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
hellbalzer
Сообщения: 4
Зарегистрирован: 05 сен 2019, 10:37

Категорически приветсвую! С Микротиками сталкиваюсь первый раз, сетевого опыта тоже мало :(
Прошу о помощи! На входе (в подъезде) есть Акадовский humax hg100re-ak (192.168.0.1) со статикой, от него кабелек идет до CRS125-24G-1S-2HnD (192.168.88.1).
В Микротик уже воткнуты все сетевые устройства, включая сервер (192.168.88.2), к которому дюже нужно открыть доступ извне по 3389 RDP порту.
Что я пробовал сделать на входящем роутере:
1. проброс порта tcp-3389 на 192.168.88.1 (Микротик) на Микротике с правилом NAT - dtsnat - опишу ниже.
2. проброс порта tcp-3389 на 192.168.88.2 (Сервер) на Микротике без правила NАТ

Что я делал на Микротике :
1. Стандартную настройку по инструкции (https://help.powernet.com.ru/MikroTik_Settings.pdf)
2. Проброс порта 3389 с интерфейса WAN на сервер (192.168.88.2)
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN24 protocol=tcp to-addresses=192.168.88.2 to-ports=3389

Все эти телодвижения ни к чему не приводят :(

Код: Выделить всё

# sep/05/2019 15:19:46 by RouterOS 6.45.5
# software id = W5BP-B8B5
#
# model = CRS125-24G-1S-2HnD
# serial number = 944B07838D95
/interface bridge
add admin-mac=64:D1:54:FB:31:1A auto-mac=no name=Bridge-LOCAL
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no distance=indoors frequency-mode=regulatory-domain \
    guard-interval=long hw-protection-mode=rts-cts keepalive-frames=disabled mode=ap-bridge multicast-helper=full ssid=***** wireless-protocol=802.11 wmm-support=enabled
/interface ethernet
set [ find default-name=ether1 ] name=LAN1-MASTER speed=100Mbps
set [ find default-name=ether2 ] name=LAN2-SLAVE speed=100Mbps
set [ find default-name=ether3 ] name=LAN3-SLAVE speed=100Mbps
set [ find default-name=ether4 ] name=LAN4-SLAVE speed=100Mbps
set [ find default-name=ether6 ] name=LAN6-SLAVE speed=100Mbps
set [ find default-name=ether7 ] name=LAN7-SLAVE speed=100Mbps
set [ find default-name=ether8 ] name=LAN8-SLAVE speed=100Mbps
set [ find default-name=ether9 ] name=LAN9-SLAVE speed=100Mbps
set [ find default-name=ether10 ] name=LAN10-SLAVE speed=100Mbps
set [ find default-name=ether11 ] name=LAN11-SLAVE speed=100Mbps
set [ find default-name=ether12 ] name=LAN12-SLAVE speed=100Mbps
set [ find default-name=ether24 ] name=WAN24 speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether13 ] speed=100Mbps
set [ find default-name=ether14 ] speed=100Mbps
set [ find default-name=ether15 ] speed=100Mbps
set [ find default-name=ether16 ] speed=100Mbps
set [ find default-name=ether17 ] speed=100Mbps
set [ find default-name=ether18 ] speed=100Mbps
set [ find default-name=ether19 ] speed=100Mbps
set [ find default-name=ether20 ] speed=100Mbps
set [ find default-name=ether21 ] speed=100Mbps
set [ find default-name=ether22 ] speed=100Mbps
set [ find default-name=ether23 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=Bridge-LOCAL name=dhcp1
/interface bridge port
add bridge=Bridge-LOCAL interface=LAN1-MASTER
add bridge=Bridge-LOCAL interface=wlan1
add bridge=Bridge-LOCAL interface=LAN2-SLAVE
add bridge=Bridge-LOCAL interface=LAN3-SLAVE
add bridge=Bridge-LOCAL interface=LAN4-SLAVE
add bridge=Bridge-LOCAL interface=LAN6-SLAVE
add bridge=Bridge-LOCAL interface=LAN7-SLAVE
add bridge=Bridge-LOCAL interface=LAN8-SLAVE
add bridge=Bridge-LOCAL interface=LAN9-SLAVE
add bridge=Bridge-LOCAL interface=LAN10-SLAVE
add bridge=Bridge-LOCAL interface=LAN11-SLAVE
add bridge=Bridge-LOCAL interface=LAN12-SLAVE
/ip address
add address=192.168.88.1/24 interface=Bridge-LOCAL network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=WAN24
add dhcp-options=hostname,clientid interface=sfp1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.88.2,217.10.36.5,217.10.44.35,217.10.39.4
/ip firewall filter
add action=accept chain=input connection-state=established,related disabled=yes in-interface=Bridge-LOCAL
add action=accept chain=forward comment="Rule for RDP port" disabled=yes dst-address=192.168.88.2 dst-port=3389 in-interface=WAN24 protocol=tcp
add action=accept chain=input protocol=igmp
/ip firewall nat
add action=masquerade chain=srcnat comment="LAN TO WAN" out-interface=WAN24
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN24 protocol=tcp to-addresses=192.168.88.2 to-ports=3389
add action=src-nat chain=srcnat comment="Open port for RDP" disabled=yes dst-address=192.168.88.2 dst-port=3389 protocol=tcp to-addresses=192.168.88.1
add action=dst-nat chain=dstnat disabled=yes dst-port=23 in-interface=WAN24 protocol=tcp to-addresses=192.168.88.2 to-ports=23
/ip service
set telnet address=192.168.88.0/24
set ftp address=192.168.88.0/24
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set www-ssl address=5.134.223.6/32 disabled=no
set api address=192.168.88.0/24
set winbox address=5.134.223.6/32
set api-ssl address=192.168.88.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=Bridge-LOCAL type=internal
add interface=WAN24 type=external
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=WAN24 upstream=yes
add interface=Bridge-LOCAL
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.232
/system package update
set channel=development

Изображение


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

А роутер 1 (согласно вашего рисунка) вообще знает где сеть 192.168.88.0/24?


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

hellbalzer писал(а): 05 сен 2019, 11:42 Категорически приветсвую! С Микротиками сталкиваюсь первый раз, сетевого опыта тоже мало :(
Прошу о помощи! На входе (в подъезде) есть Акадовский humax hg100re-ak (192.168.0.1) со статикой,
Я не знаю что такое "Акадовский humax hg100re-ak",

но если это "роутер" то надо узнать:
а) на нём есть вообще реальный адрес?
б) Вы можете этот "роутер" видеть лишь со стороны локальной адресации?

В любом случаи, чтобы сделать проброс снаружи во внутрь, надо на том роутере, который
имеет внешний реальный адрес - лишь на нём описывать проброс (или сразу на нужный объект,
или на какой-то промежуточный)
Пока что я вижу что есть какой-то роутер, с неизвестными и с "серым" (локальным) адресом,
проброса наружу при таких данных в обычном контексте не сделать.
Если реальный адрес у провайдера, а у клиента(у Вас) адреса нет, то тоже невозможно сделать
проброс. Это основы сети.

Поэтому часто люди(клиенты) кому нужны доступы снаружи во внутрь покупают
статический(постоянный) реальный (публичный) IP адрес. Кто может/умеет схитрить,
покупают(арендуют) динамический(не постоянный) реальный (публичный) адрес.
(прочтите дважды это предложения, специально в скобках более по-русски описал чтобы Вы поняли).

Жду уточнений по роутеру и по схеме и в целом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
hellbalzer
Сообщения: 4
Зарегистрирован: 05 сен 2019, 10:37

Vlad-2 писал(а): 05 сен 2019, 13:16 но если это "роутер" то надо узнать:
а) на нём есть вообще реальный адрес?
Да есть.

Network Connection
Connection Status Connected
Connection Type CableModem
Switch Mode Router
Cable Modem MAC Address xx:xx:xx:xx:xx:xx
Cable Modem Serial Number 47310726603608
Cable Modem IP Address ---.---.---.---
WAN IP Address 87.167.222.777
Subnet Mask 255.255.255.0
Gateway 87.167.222.1
DNS Server 217.11.22.5 / 217.11.44.35 / 217.11.22.4
DDNS Status Disabled
Cable Modem Connectivity OK / Operational
Cable Modem Security Enabled / BPI+

Local Network
Gateway 192.168.0.1
Subnet Mask 255.255.255.0
Hardware Address 40:3D:EC:36:B2:4A
DHCP Enabled


б) Вы можете этот "роутер" видеть лишь со стороны локальной адресации?
Со стороны сети 192.168.88.0/24 - 192.168.0.1 пингуется. В обратную сторону (с веб интерфейса Humax на 192.168.88.1 или 2 - пинг не идет)

В любом случаи, чтобы сделать проброс снаружи во внутрь, надо на том роутере, который
имеет внешний реальный адрес - лишь на нём описывать проброс (или сразу на нужный объект,
или на какой-то промежуточный)
То есть, я на Хьюмаксе оставляю проброс сразу на 192.168.88.2 а на Микротике ничего не делаю?
bst-botsman » 56 минут назад

А роутер 1 (согласно вашего рисунка) вообще знает где сеть 192.168.88.0/24?
Похоже что нет


hellbalzer
Сообщения: 4
Зарегистрирован: 05 сен 2019, 10:37

bst-botsman писал(а): 05 сен 2019, 13:02 А роутер 1 (согласно вашего рисунка) вообще знает где сеть 192.168.88.0/24?
Как бы ему рассказать про эту сеть?
Менять в нем я могу только локальный шлюз. Если введу его в одну подсеть с микротиком (88.0), чувствую ничего доброго из этого не выйдет 😐 Вариант сделать из humax бридж тоже не сработал, видимо и Настройки микротика при этом перелопачивать необходимо


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

Если в кратце - Вам нужно на интерфейсе который подключен к роутеру 1 задать адрес принадлежащий к той же подсети что и роутер 1 (либо ручками, либо по DHCP получить) и на роутере 1 прописать маршрут в подсеть микротика через этот адрес.

P.S.: Мой вам совет - учите матчасть... не в обиду...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

hellbalzer, Вам по теме уже ответили, но я любою пооффтопить :ya_hoo_oo:
"доступ извне по 3389 RDP порту", Вы действительно в здравом уме и твердой памяти хотите это сделать? Если да, то участникам форума предлагаю делать ставки сколько сервер проживёт. Я ставлю что от нескольких часов до недели максимум.

На скрине 138 уникальных IP адресов, которые захотели подключится ко мне по RDP и попали в бан по IP за последние 46 минут (в 20:00 я обнуляю счётчики)
Изображение


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Dragon_Knight писал(а): 06 сен 2019, 20:49 hellbalzer, Вам по теме уже ответили, но я любою пооффтопить :ya_hoo_oo:
"доступ извне по 3389 RDP порту", Вы действительно в здравом уме и твердой памяти хотите это сделать? Если да, то участникам форума предлагаю делать ставки сколько сервер проживёт. Я ставлю что от нескольких часов до недели максимум.

На скрине 138 уникальных IP адресов, которые захотели подключится ко мне по RDP и попали в бан по IP за последние 46 минут (в 20:00 я обнуляю счётчики)
Изображение
"Раз пошла такая пьянка..." (с) Посмею возразить!) Домашняя файлопомойка годами жила с открытым 3389 наружу и так никто и не смог её "победить". Но однажды просто достали записи в логах, а точнее их кол-во и чисто из-за любви к "феншую" прикрутил порткнокинг. Но в целом, за лет 8-10, никто так и не смог подобрать, или при помощи какой-то "дыры" ломануть пасс к стандартному "Администратор".
Tу все - это вовсе не призыв к радолбайству и успокоению ваших душ, это просто единичный пример, проверять или оспаривать который вы будете на свой страх и риск. А я бы, даже как самый бесстрашный ковбой на данном побережье, крайне рекомендовал вам "прикрывать тылы" изо всех сил, как говорится - "Лучше перебздеть..."


hellbalzer
Сообщения: 4
Зарегистрирован: 05 сен 2019, 10:37

Всем спасибо! Разобрался, порт поменял 😬


p500
Сообщения: 2
Зарегистрирован: 27 янв 2020, 11:41

Добрый день. Достался роутер MikroTik. В него заходит интернет pppoe, адрес IP белый и по Ethernet подключен компьютер со статическим IP адресом. Требовалось открыть доступ из вне на порт 5900 и подключиться к компьютеру со статическим IP адресом. Попробовал сделать проброс - изображения ниже. При включённом брандмауэре на win 10 к компьютеру не подключиться по 5900 и при проверке через 2ip показывает, что порт закрыт на компьютере. Создаю правило в брандмауэре win 10 для порта 5900, разрешаю любые входящие подключения на 5900. При проверке показывает, что открыты все практически порты, более 30. По идее должен быть отрыт только тот порт, который я указывал в брандмауэре win 10 и на роутере? Почему открываются все порты сразу, в чем может быть проблема? Прошу совета, сильно только не пинайте.


Ответить