Настройка 2 Bridge, проброс портов.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Так и делал изначально.. Результат один: при попытке подключения, проходит 1 пакет, прибавляется несколько байт. Но ответа браузер или ssh клиент не получает... Повторюсь ssh пробросил, он просто на нестандартном порту у меня 55. На сервере естественно правила прописаны в фаерволле(а точнее он сейчас вообще выключен, чтобы не мешать)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

amnesiastar писал(а):Так и делал изначально.. Результат один: при попытке подключения, проходит 1 пакет, прибавляется несколько байт. Но ответа браузер или ssh клиент не получает... Повторюсь ssh пробросил, он просто на нестандартном порту у меня 55. На сервере естественно правила прописаны в фаерволле(а точнее он сейчас вообще выключен, чтобы не мешать)


1) Ваш сервер - на нём шлюз руками прописан или через DHCP при получении адреса и шлюз выдаётся? (чтобы такое было надо и DHCP правильно настроить)
2) На всякий случай - с роутера Вы пингуете сервер по его серому адресу?
3) Может всё же пора показать конфиг, предварительно убрав пароли если есть и частично замазать реальный белый айпи
4.1) попробуйте в правиле dst-nat поиграться со строчкой any port (её использовать вместо dst-port)
4.2) попробуйте в правиле проброса, в закладке Акшион вместо dst-nat выбрать netmap
5) проверьте все адреса заданные микротику, адреса микротику задаются с указанием сразу и маски...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Vlad-2 писал(а):
algerka писал(а):Раз конфига и подробностей нет, то ответ такой:
1. пробрасываешь нужный протокол и порт с порта 1 (или бриджа 1) на бридж 2 ip сервера

Если я не ошибаюсь, в пробросе (dsn-nat) можно задать только входящий интерфейс, указать исходящий (в данном примере бридж 2) нельзя.
Да и исходящий и не нужен, роутер знает где искать айпи локальный.

Вы правы.


Александр
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Vlad-2 писал(а):
amnesiastar писал(а):Так и делал изначально.. Результат один: при попытке подключения, проходит 1 пакет, прибавляется несколько байт. Но ответа браузер или ssh клиент не получает... Повторюсь ssh пробросил, он просто на нестандартном порту у меня 55. На сервере естественно правила прописаны в фаерволле(а точнее он сейчас вообще выключен, чтобы не мешать)


1) Ваш сервер - на нём шлюз руками прописан или через DHCP при получении адреса и шлюз выдаётся? (чтобы такое было надо и DHCP правильно настроить)
2) На всякий случай - с роутера Вы пингуете сервер по его серому адресу?
3) Может всё же пора показать конфиг, предварительно убрав пароли если есть и частично замазать реальный белый айпи
4.1) попробуйте в правиле dst-nat поиграться со строчкой any port (её использовать вместо dst-port)
4.2) попробуйте в правиле проброса, в закладке Акшион вместо dst-nat выбрать netmap
5) проверьте все адреса заданные микротику, адреса микротику задаются с указанием сразу и маски...

1)Получает автоматический. Я думаю раз он пингует внешний мир и обновлялся. Значит настройки пришли верные(Сегодня еще раз проверю, полученные им настройки от dhcp, когда буду дома)
2)Пингуется
3)Без проблем, только какие настройки?. Мне осталось наверно сделать скриншот адресов, но что они дадут =)
А так вот конфиг

Код: Выделить всё

/interface bridge
add name=bridge1
add mtu=1598 name=bridge2
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Gateway
set [ find default-name=ether2 ] name=ether2-TV
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge2 name=dhcp2
/interface bridge port
add bridge=bridge1 interface=ether1-Gateway
add bridge=bridge1 interface=ether2-TV
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
/ip address
add address=192.168.1.1/24 interface=bridge2 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/ip dhcp-server lease
add address=192.168.1.2 client-id=Dark mac-address=00:25:90:6A:F2:5C server=\
    dhcp2
add address=192.168.1.10 client-id="Entrance - WiFi" mac-address=\
    64:00:F1:15:D7:8E
add address=192.168.1.11 client-id=Kitchen-WiFi mac-address=70:81:05:BE:B0:4A
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
/ip firewall filter
add action=accept chain=forward in-interface=bridge1 out-interface=bridge2
add action=accept chain=forward in-interface=bridge2 out-interface=bridge1
add action=accept chain=input in-interface=bridge1
add action=accept chain=output out-interface=bridge1
add action=accept chain=input in-interface=bridge2
add action=accept chain=output out-interface=bridge2
/ip firewall nat
add action=netmap chain=dstnat dst-port=80 in-interface=bridge1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=80
add action=netmap chain=dstnat dst-port=443 in-interface=bridge1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=443
add action=netmap chain=dstnat dst-port=55 in-interface=bridge1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=55
add action=masquerade chain=srcnat out-interface=bridge1
/ip service
set www port=8081
set www-ssl port=444
/system clock
set time-zone-name=Europe/Moscow
/system identity

4.1)Поигрался - безрезультатно
4.2)Пробывал еще вчера так сделать, результат не дало. вернул на dst-nat
5)Проверил, он по-моему даже и не дает добавить адрес без указания маски.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

amnesiastar писал(а):/ip firewall filter
add action=accept chain=forward in-interface=bridge1 out-interface=bridge2
add action=accept chain=forward in-interface=bridge2 out-interface=bridge1
add action=accept chain=input in-interface=bridge1
add action=accept chain=output out-interface=bridge1
add action=accept chain=input in-interface=bridge2
add action=accept chain=output out-interface=bridge2

1) Отключите то что я выше выделил (это в файрволле, закладка Фильтрс)
2) Возьмите и скорректируйте правило проброса, сделайте другой порт внешний, скажем порт 25500 и уже проброс на 192.168.1.ххх и на Ваш порт 55,
есть подозрение что Ваш провайдер (может) резать порты рутовые (с 1-1024).
И подключайтесь (тестируйте) с работы зайти по SSH по внешнему порту 25500.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Vlad-2 писал(а):
amnesiastar писал(а):/ip firewall filter
add action=accept chain=forward in-interface=bridge1 out-interface=bridge2
add action=accept chain=forward in-interface=bridge2 out-interface=bridge1
add action=accept chain=input in-interface=bridge1
add action=accept chain=output out-interface=bridge1
add action=accept chain=input in-interface=bridge2
add action=accept chain=output out-interface=bridge2

1) Отключите то что я выше выделил (это в файрволле, закладка Фильтрс)
2) Возьмите и скорректируйте правило проброса, сделайте другой порт внешний, скажем порт 25500 и уже проброс на 192.168.1.ххх и на Ваш порт 55,
есть подозрение что Ваш провайдер (может) резать порты рутовые (с 1-1024).
И подключайтесь (тестируйте) с работы зайти по SSH по внешнему порту 25500.

1)В фаерволе недавно добавил правила, несколько коллег с работы сказали, что возможно он по умолчанию все блокирует(кроме сервис портов). Поэтому что с ними, что без них - не работает.
2)Скорректировал, так же в нате, прибавляется количество пакетов, но эффекта ноль. Да и если уже не раз вернуться к моему рассказу, то я говорил, что буквально вчера, все эти же порты были выставлены наружу на самом сервере, когда он было вместо Микротика и проблем не было с доступом, поэтому вопросов к провайдеру нет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

amnesiastar писал(а):1)В файерволе недавно добавил правила, несколько коллег с работы сказали, что возможно он по умолчанию все блокирует(кроме сервис портов). Поэтому что с ними, что без них - не работает.
2)Скорректировал, так же в нате, прибавляется количество пакетов, но эффекта ноль. Да и если уже не раз вернуться к моему рассказу, то я говорил, что буквально вчера, все эти же порты были выставлены наружу на самом сервере, когда он было вместо Микротика и проблем не было с доступом, поэтому вопросов к провайдеру нет.

Ну я пессимизм не могу помочь устранить, поэтому всё же хочу высказать последние напутствующие моменты:
1) вдруг какой то глюк Вы поймали, советую уже будучи дома, вечером, всё записав на бумажку, сделав экспорт конфигурации (лучше пару раз и разными способами)
после этого обнулить роутер (кстати, прошивка у Вас свежая?) и заново без создания свитча внешнего, просто подключиться к провайдеру и проверить ещё раз
простое правило проброса (можно заходить на 2ip.ru - там есть услуга тестирование открытости порта)

2) проверьте свою машину на линуксе, чтобы у неё шлюз был - айпи вашего микротика, чтобы на линуксе не было ограничений, и чтобы она знала
куда слать пакеты для той или иной сети, слова типа "ну я ж обновлял её" - мало для меня, и ещё, всё же рекомендую делать
правила проброса по два, сразу для тсп и удп, даже если вам не нужен какой то протокол, хотя бы увидите, будут ли меняться счётчики

3) пришла ещё такая идея, мож Вы тронули настройку бриджей, в любом случаи если сделаете согласно 1 пункту, поверьте будет только лучше и не лишним

4) ну и последняя идея, возьмите на внешней карте вашего сервера (всё равно карта пока простаивает) с имитируйте её как провайдера/или как DMZ и попробуйте
поиграться с пробросами со стороны сервера (на него или через него), сделав условно отдельную временно сеть.

Удачи...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Да, все дело оказалось в шлюзе на сервере. Первый раз когда DHCP раздавал внутренние адреса, видимо на микротике не был прописан шлюз в настройках DHCP. А после добавление, новые настройки на него не пришли.

Сейчас столкнулся с одной неудобной проблемой, быстрыми средствами решить ее не удалось:
1)Раньше открывая сайт с локального компьютера на сервере(по внешнему дднсу), открывался сайт, соответственно, в внешнего интерфейса
2)Сейчас с локальных адресов все открывается, а с внешних болт(то есть проверять могу только с телефона). Чувствую из-за натов.
Я вижу два решения:
1)Не париться и прописать в файлах хостов на компьютерах(но это глупо и не удобно), если я с ноутом выезжаю из дома, то уже он вообще никогда не откроется(если впн не подключить) по дднс имени.
2)Можно сделать локальный ДНС(на микротике, что-то не получилось, хотя вижу пункт меню DNS, где даже можно список адресов вбить) или же обращаться к существующему днс на серваке, но пока все равно болт(видимо нужно добавлять зону ddns, и указывать ему локальным ип при обращении на необходимый адрес).


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

amnesiastar, Hairpin NAT


Ответить