Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
polgin
Сообщения: 2
Зарегистрирован: 04 ноя 2018, 15:36

Помогите пожалуйста. Есть сервер Windows 2019. На нем поднят VPN.Не могу понять какое правило настроить что бы из вне могли подключаться к серверу через microtik. Понимаю что как то надо маршрут прописать. Но что бы не прописывал все пашет

Изображение


wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

Имеется 2 микротика один 192.168.1.1 (1 роутер) и второй 10.1.23.1 (2 роутер). Первый роутер 192.168.1.1 является шлюзом к нему подключен интернет и поднят DHCP, второй роутер получил адрес от главного роутера 192.168.1.54 (по нему я захожу в Winbox). В сети 2 роутера подключен видеорегистратор адрес его 10.1.23.99 и порт для работы через компьютер 2000. Как можно реализовать, чтобы данный роутер (2 пустил) к нему?
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
1 chain=srcnat action=accept out-interface=bridge1
2 chain=srcnat action=accept protocol=tcp src-address=10.1.23.99 dst-address=192.168.1.54 port=2000 log=no log-prefix=""

Но он чшал на меня и не показывает картинку.


wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

wolodyawggu писал(а): 08 окт 2020, 14:16 Имеется 2 микротика один 192.168.1.1 (1 роутер) и второй 10.1.23.1 (2 роутер). Первый роутер 192.168.1.1 является шлюзом к нему подключен интернет и поднят DHCP, второй роутер получил адрес от главного роутера 192.168.1.54 (по нему я захожу в Winbox). В сети 2 роутера подключен видеорегистратор адрес его 10.1.23.99 и порт для работы через компьютер 2000. Как можно реализовать, чтобы данный роутер (2 пустил) к нему?
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
1 chain=srcnat action=accept out-interface=bridge1
2 chain=srcnat action=accept protocol=tcp src-address=10.1.23.99 dst-address=192.168.1.54 port=2000 log=no log-prefix=""

Но он чшал на меня и не показывает картинку.
Отвечу сам себе на вопрос в Nat :-) :-) :-) :-)

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=2000 in-interface=bridge1 protocol=tcp to-addresses=10.1.23.99 to-ports=2000


Sergi0
Сообщения: 2
Зарегистрирован: 12 мар 2021, 19:31

Нужна помощь, мучаюсь второй день, google не помог.

Есть рабочий проброс порта 25 (smtp). Не могу добиться в логах почтового сервера отображение внешнего адреса, упорно показывает внутренний адрес mikrotik:
Mar 12 19:44:16 postfix postfix/smtpd[20239]: connect from unknown[192.168.33.251]

NAT (правил по умолчанию нет)
chain=dstnat action=dst-nat to-addresses=192.168.33.4 to-ports=25 protocol=tcp dst-address=104.18.232.43 in-interface=bridge_wan dst-port=25 log=yes log-prefix=""
chain=srcnat action=masquerade dst-address=192.168.33.4 out-interface=bridge_lan log=yes log-prefix=""

FILTER
chain=forward action=accept connection-nat-state=dstnat dst-address=192.168.33.4 log=yes log-prefix=""
chain=forward action=accept connection-nat-state=dstnat src-address=192.168.33.4 log=no log-prefix=""


Sergi0
Сообщения: 2
Зарегистрирован: 12 мар 2021, 19:31

Sergi0 писал(а): 12 мар 2021, 19:49 Нужна помощь, мучаюсь второй день, google не помог.

Есть рабочий проброс порта 25 (smtp). Не могу добиться в логах почтового сервера отображение внешнего адреса, упорно показывает внутренний адрес mikrotik:
Mar 12 19:44:16 postfix postfix/smtpd[20239]: connect from unknown[192.168.33.251]

NAT (правил по умолчанию нет)
chain=dstnat action=dst-nat to-addresses=192.168.33.4 to-ports=25 protocol=tcp dst-address=104.18.232.43 in-interface=bridge_wan dst-port=25 log=yes log-prefix=""
chain=srcnat action=masquerade dst-address=192.168.33.4 out-interface=bridge_lan log=yes log-prefix=""

FILTER
chain=forward action=accept connection-nat-state=dstnat dst-address=192.168.33.4 log=yes log-prefix=""
chain=forward action=accept connection-nat-state=dstnat src-address=192.168.33.4 log=no log-prefix=""
Отвечу сам себе
Первое
chain=dstnat action=dst-nat to-addresses=192.168.33.4 to-ports=25 protocol=tcp dst-address=104.18.232.43 in-interface=bridge_wan dst-port=25 log=yes log-prefix=""
это PAT (port address translation) или DNAT
Второе
chain=srcnat action=masquerade dst-address=192.168.33.4 out-interface=bridge_lan log=yes log-prefix=""
это самый обычный NAT, именно поэтому в логах внутренний адрес микротика


ReAlex
Сообщения: 12
Зарегистрирован: 10 мар 2020, 10:59

Добрый день.
Подскажите, пожалуйста, такая хотелка вообще реализуема? Если да, то как?

В Микротике RB 3011 заведены две сети. В одной (1) - компы с принтерами, в другой (2) - один комп (редко включается) и мобильные пользователи. Обе сети юзают одно подключение к инету. Маршрутизация между сетями есть.

Пользователь из второй сети хочет со своего айфона печатать на киосеру из первой сети. Если бы они были в одной сети, это выглядело бы так: на киосере включаем бонжур, тот срет в сеть броадкастами (или слушает борадкасты, не помню), айфон ее находит и настраивает все сам.

А вот как заставить айфон увидеть хост с бонжуром из другой сети - вопрос.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вот так вот просто увидеть - никак.

Нужно что-либо в сети вместе с айфоном, что само может быть air-print'ом, а оно уже будет печатать на принтер "по IP" - но я без понятия, кто такое может.

Либо ставить avahi reflector.

Либо печатать через приложение, которое умеет на обычный сетевой принтер.


Telegram: @thexvo
klod
Сообщения: 3
Зарегистрирован: 05 май 2021, 21:28

Доброго времени, не получается пробросить порты для видеокамер, подключенных к микротику. Схема такая:микротик-рое коммутатор-камеры. Белый ip условно 88.88.88.88 Микротик 192.168.88.1, у камер адреса 192.168.88.11/12/13. Пробросить необходимо порты 80, 8000, 544. При пробросе с внешнего ip значения порта меняю на единицу, то есть 88.88.88.88:81 - 192.168.88.11:80, 88.88.88.88:82 - 192.168.88.12:80 и так далее. Создал правила для каждого порта, но все-равно никак. Подскажите, что делаю не так?
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

То, что вы пробросили, после этого ещё необходимо разрешить в firewall'е.
Дефолтный firewall устроен так, что оно будет работать "само", но если вы вдруг firewall писали сами или изменяли дефолтный, то этот момент в нем необходимо учесть.


Telegram: @thexvo
klod
Сообщения: 3
Зарегистрирован: 05 май 2021, 21:28

xvo писал(а): 06 май 2021, 00:13 То, что вы пробросили, после этого ещё необходимо разрешить в firewall'е.
Дефолтный firewall устроен так, что оно будет работать "само", но если вы вдруг firewall писали сами или изменяли дефолтный, то этот момент в нем необходимо учесть.
Дефолтный не изменял, а что необходимо прописать?


Ответить