Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Нужно правило со смыслом:

Код: Выделить всё

/ip firewall filter add chain=forward action=accept connection-nat-state=dst-nat
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.


Telegram: @thexvo
klod
Сообщения: 3
Зарегистрирован: 05 май 2021, 21:28

xvo писал(а): 07 май 2021, 00:36 Нужно правило со смыслом:

Код: Выделить всё

/ip firewall filter add chain=forward action=accept connection-nat-state=dst-nat
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.
Спасибо, все получилось


antropov.valeriy
Сообщения: 6
Зарегистрирован: 01 июн 2021, 16:04

Добрый день.
Прошу помощи в решении одной задачи.
Я пробрасываю порт на Микротике на внутренний сервер RDP. На самом сервере настраиваю программу IP BAN,
которая блокирует ip адрес пользователя если он неправильно ввел пароль некоторое количество раз.
Проблема в том что программа не срабатывает, потому что видит всех пытающихся подключиться как внутренний ip адрес Микротика.
Насколько мог прочитал все мануалы и примеры в сети которые нашел, либо не понимаю, либо до меня не доходит. )
Данная настройка лично у меня без проблем работает на любом роутере за 5$, Centos, FreeBSD, на Микротике почему то нет.
Правило :

;;; RDP TERMINAL
chain=dstnat action=netmap to-addresses=10.0.0.115 to-ports=3389 protocol=tcp dst-address=X.X.X.X dst-port=6666 log=yes log-prefix="115))))"

Пытался согласно мануалам и same, и netmap который в принципе используется для создания NAT 1:1.
С благодарностью бы принял помощь мастера спорта по Микротику.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У вас где-то еще одно правило, которое делает src-nat или masquerade во внутренний интерфейс.

И да, никакой netmap тут не нужен, используйте action=dst-nat


Telegram: @thexvo
antropov.valeriy
Сообщения: 6
Зарегистрирован: 01 июн 2021, 16:04

Верно на интерфейсе смотрящем в эту подсеть.

chain=srcnat action=masquerade out-interface=dc_lan_10.0.0.0 log=no log-prefix=""

Как мне это обойти, или ( я уже чувствую что это странно звучит)) исключить только один порт из маскарадинга ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вероятно оно вам нужно для hairpin nat’а - доступа на внутренние ресурсы по внешнему IP. Вот и добавьте в него исключение, чтобы оно действовало для того, что идет изнутри, но не снаружи.


Telegram: @thexvo
antropov.valeriy
Сообщения: 6
Зарегистрирован: 01 июн 2021, 16:04

Огромное спасибо, сервер теперь видит реальный ip пользователя.
У меня получилось вот так.

chain=srcnat action=masquerade dst-address=!10.0.0.115 out-interface=dc_lan_10.0.0.0 log=no log-prefix=""

Единственное плохо , я не понимаю до конца на что это повлияет и в логах появились строчки при подключении:

dstnat: in:Intrernet_if out:(unknown 0), src-mac ea:cb:11:0a:78:4f, proto TCP (SYN), (IP пользователя):55007->(Внешний IP) :6666, len 52


Еще вчера ночью по этой ошибке я находил вот такой ответ на одном из форумов:
"проброс портов на железных Микротиках (с софтовыми не работал) иногда требует специального описания маскарада для ответных пакетов. признаком такой ситуации как раз является состояние соединения "syn sent". для решения требуется создать еще одно правило маскарада
add action=masquerade chain=srcnat dst-address=10.50.0.200 dst-port=445 protocol=tcp "

Вот тут я уже не понял. Или это не про то ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

antropov.valeriy писал(а): 11 июн 2021, 11:47 Еще вчера ночью по этой ошибке
Это вообще не ошибка.
Какое-то из ваших правил в лог и пишет: отмените на нем логгирование, если эти сообщения вам в логе не нужны.
antropov.valeriy писал(а): 11 июн 2021, 11:47 Единственное плохо , я не понимаю до конца на что это повлияет
Повлияет на то, что на этот серевер не получится ходить по внешнему IP из его же подсети.
Так что можно это условие dst-address=!10.0.0.115 заменить на src-address=10.0.0.0/24.


Telegram: @thexvo
Turik
Сообщения: 7
Зарегистрирован: 31 окт 2021, 17:05

Нужна помощь! Не работает проброс портов

0 ;;; defconf: masquerade
chain=srcnat action=masquerade log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=192.168.148.209 protocol=tcp
dst-address=10.11.218.39 in-interface=ether1 dst-port=80,443,3478-3480
log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=192.168.148.209 protocol=udp
dst-address=10.11.218.39 in-interface=ether1 dst-port=3478-3479 log=no
log-prefix=""

Подскажите, что я делаю не так?


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

10.11.218.39 "серый" ИП адрес. Проброс не cработает.

10.11.218.39 - Reserved IPv4 Address for private internet use
Remember that IP address ranges 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 and 224.0.0.0 - 239.255.255.255
are reserved IP Addresses for private internet use and IP lookup for these will not return any results.


Ответить