dmz? помогите тугодуму

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
susleeg
Сообщения: 0
Зарегистрирован: 16 авг 2016, 14:56

Здравствуйте, проблема такая - не можем с другом поиграться, у нас один провайдер, обо на роутерах, приобрел Mikrotik RB951Ui-2HnD, не могу открыть порты даже для магнита похоже =\, вообще хотел настроить dmz ну или открыть все порты, проверки на 2ip и других сайтах показывают, что порты закрыты, пробовал по всякому не получается, http://wiki.mikrotik.com/wiki/NAT_Tutorial тут не понятно, короче туплю, можете написать как открыть порт 80 например, он у меня стоял на www теперь он 228 (что-то пошло не так, к удаленному раб.столу по vpn не мог подключиться обратно сделал 80 и удалил 3 правила с 80 портом, все пришло в норму).
action=netmap chain=dstnat dst-port=80 in-interface=WAN log-prefix="" \
protocol=udp to-addresses=192.168.88.253 to-ports=80
add action=dst-nat chain=dstnat dst-address=10.134.15.98 dst-port=80 \
in-interface=WAN log-prefix="" protocol=tcp to-addresses=192.168.88.253 \
to-ports=80
add action=netmap chain=dstnat dst-port=80 in-interface=WAN log-prefix="" \
protocol=tcp to-addresses=192.168.88.253 to-ports=80
add action=masquerade chain=srcnat comment="default configuration" log-prefix=\
"" out-interface=WAN
это и так и сяк, но никак не работает, что-то явно не так )

action=netmap chain=dstnat dst-port=28198 in-interface=WAN log-prefix="" \
protocol=tcp to-addresses=192.168.88.253 to-ports=28198
add action=netmap chain=dstnat dst-port=28197 in-interface=WAN log-prefix="" \
protocol=udp to-addresses=192.168.88.253 to-ports=28197
это для магнита к примеру.
чет скирны не прикрепляются, я еще похоже разделом ошибся =\
https://yadi.sk/i/8D25UoweuFue3
https://yadi.sk/i/OaGh7iguuFuGp
https://yadi.sk/i/3SQ2BRpguFunM
https://yadi.sk/i/WRew_-mruFukv
https://yadi.sk/i/V0FoVzUKuFumS


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. В простейшем случае для нормальной работы порт мапинга нужно, чтобы шлюзом на компьютере был микротик. Проверьте это.

2. Отключите ВСЕ!!! правила фаервола на микротке.

3. Доступ к портам на компьютере могут блокировать настройки ОС, антивирусы, фаерволы. Все это нужно отключить или наоборот включить. При этом порт в ОС открывается только в том случае, если соответствующая программа запросила доступ к этому порту. То есть просто тупо перебирать порты, без соответствующего ПО на компе не получится.

4. 80 порт занят вебинтерфейсом микротка. Отключите его на микротке или перенесите на другой порт. Смотрите меню IP-Services.

5. В инете огромное количество стаей по поводу проброса портов.
Для примера приведу мои правила для RDP

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.77.10 to-ports=3389 protocol=tcp in-interface=pppoe-out1 dst-port=3389 log=no log-prefix="" 

  chain=dstnat action=dst-nat to-addresses=192.168.77.10 to-ports=3389 protocol=tcp in-interface=pptp-out_dvorec dst-port=4000 log=no log-prefix=""


Обратите внимание, что у меня доступ обеспечивается с двух разных WAN по разным портам, но на один внутренний порт.
Все это работает годами....


mmv-ru
Сообщения: 3
Зарегистрирован: 14 авг 2016, 18:07

IP на WAN интерфейсе - 10.134.15.98. Это приватный адрес, так что 2ip и прочие внешние тесты и будут показывать что все порты закрыты (из интернет порты не открыть)

Поскольку провайдер один, можно пробовать проверить порты от друга, но это не гарантированно что заработает, особенно если районы разные. У провайдера может быть закрыт обмен трафиком внутри сети. У некоторых провайдеров это отдельная услуга.

От друга можно проверить tcp порты используя телнет
например для 80 порта
telnet 10.134.15.98 80

Если соединится, значит повезло.

Вообще для начала можно проверить от друга пинг
ping 10.134.15.98

Если пинги пройдут, то вероятность успешного проброса портов существенно повышается. Если нет, то можно и не пытаться.


Mikrotik training partner http://routerz.ru/obuchenie/reg/
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Кстати да, я не доглядел, что IP серый. :a_g_a:

Уже совсем подробно рассмотрели весь вопрос.


Ответить