Настройка 2 Bridge, проброс портов.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Изначальные данные:
1)Провайдер Onlime с функцией интерактивного ТВ. До подключения этой функции стоял сервер на linux с 2 портами(local и internet) и на нем крутились все необходимые сервисы. После изучения вопросы и понятия, как multicast(необходимый для ТВ) может нагружать сеть(и Wi-FI), сервак и т.п. + было желание заменить сервер на Rasberry с 1 сетевой картой, а все функции по роутеру переложить на Mikrotik.
После несколько дней настройки и понимания, как нужно сделать ситуация следующая:
1)На входе RouterBOARD 750G r2(5 портов)
1,2 порт - заведены в Bridge 1, на нем настроен внешний ип-адрес.
1-порт воткнут интернет
2-порт воткнута ТВ приставка(она получила тоже адрес от провайдера и работает , как положено)
3,4,5 порт - заведены в Bridge 2,на нем настроен внутренний ип-адрес, поднят DHCP.
Добавлено единственное правило Маскарада srcnat на bridge1. Сейчас все в порядке, выдаются внутренние адреса для техники, интернет есть.
Был подключен сервер в 4 порт, получил внутренний ип. Теперь необходимо на него пробросить все сервисы, для начала хотя бы(ssh,www и т.п.) из интернета. Для этого переназначил порты сервисов Mikrotik, чтобы не было конфликтов.
Перепробывал стандартные методы в интернете(Когда 1 bridge), 1 Wan, и все остальные в локалку.. Пакеты видно идут, но связи из интернета нет.. Толи обратно не уходят, толи других правил не хватает(


P.S. Есть идея повесить сервак, как и приставку ТВ. Тогда я думаю проблем не будет, так как у нее вообще будет скорее всего внешний динамический ИП от провайдера. Но хотелось бы, чтобы он был именно в локальной сети с полным доступ в локалке и ограниченным из интернета, а в данном случае тогда придется прописывать(пробрасывать) порты в локалку и более жестко прописывать правила доступа в Фаерволле.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Отключить все правила фаерволла. Хотя бы временно.
2. Убедиться, что провайдер выдаёт вам белый адрес.
3. Убедиться, что на сервере, к которому вы подключается, шлюзом указан микротик.
4. Проверку подключения проверять не с компьютера в локальной сети, а именно из внешней сети, например, с мобильного телефона. Чтобы подключаться из локальной сети на внешний адрес нужно дополнительно настраивать на микротике харпин нат. Но сначала нужно добиться чтобы все работало из внешней сети.
5. Уточнить у провайдера. Не блокирует ли он доступ по стандартным портам? Возможно придётся перейти на нестандартные порты.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Раз конфига и подробностей нет, то ответ такой:
1. пробрасываешь нужный протокол и порт с порта 1 (или бриджа 1) на бридж 2 ip сервера
2. разрешаешь форвард нужного протокола и порта с порта 1 (или бриджа 1) на бридж 2 ip сервера


Александр
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

algerka писал(а):Раз конфига и подробностей нет, то ответ такой:
1. пробрасываешь нужный протокол и порт с порта 1 (или бриджа 1) на бридж 2 ip сервера

Если я не ошибаюсь, в пробросе (dsn-nat) можно задать только входящий интерфейс, указать исходящий (в данном примере бридж 2) нельзя.
Да и исходящий и не нужен, роутер знает где искать айпи локальный.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

gmx писал(а):1. Отключить все правила фаерволла. Хотя бы временно.
2. Убедиться, что провайдер выдаёт вам белый адрес.
3. Убедиться, что на сервере, к которому вы подключается, шлюзом указан микротик.
4. Проверку подключения проверять не с компьютера в локальной сети, а именно из внешней сети, например, с мобильного телефона. Чтобы подключаться из локальной сети на внешний адрес нужно дополнительно настраивать на микротике харпин нат. Но сначала нужно добиться чтобы все работало из внешней сети.
5. Уточнить у провайдера. Не блокирует ли он доступ по стандартным портам? Возможно придётся перейти на нестандартные порты.

1)Сейчас сижу на микротике через ddns с работы, проблем нет.
2)Сервер получает настройки по dhcp(как и все остальные клиенты внутри локальной сети), с него пингуется внешний мир(вчера ставил некоторые сервисы на нем)
3)Проверяю, естественно с телефона.
4)Провайдер не блокирует, так как, повторюсь, ранее вместо микротика, стоял сервер напрямую и все сервисы были доступны. Сейчас же в цепочку лишь добавился Микротик с хитрой настройкой 2 Bridge


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да забудьте (почти) Вы про первый (или будем его называть бридж-WAN).
Его задача коммутация внешнего трафика для доп-устройств.
Лучше покажите как (команду, или скрин) Вы делаете этот проброс?
А то всё расписали и сам проброс не показали...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Изображение

Для размышления.. Как видите пакеты в NAT'e идут.. Но что по 80, что по 443 браузер ничего не открывает. (Хотя должна открываться базовая страница nginx). Или хотя бы 55 порт, это ssh.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

amnesiastar писал(а):Для размышления.. Как видите пакеты в NAT'e идут.. Но что по 80, что по 443 браузер ничего не открывает. (Хотя должна открываться базовая страница nginx). Или хотя бы 55 порт, это ssh.

1) Покажите закладки этого dst-nat правила (2-е вкладки: первую(генерал) и вкладку акшион)
2) Правило dst-nat поставьте для начала первым, после него маскарадинг
3) с вашей линукс машины пинги идут нормально?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
amnesiastar
Сообщения: 0
Зарегистрирован: 02 фев 2017, 11:59

Изображение
1)Правило поставил
2)В данный момент попасть на сервак не могу, так как в этом и проблема с пробросом портов=). Но вчера из локальной сети, когда не было правил, кроме маскарада. Я его и обновлял, и пинговал внешние и внутренние ресурсы и т.п.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

amnesiastar писал(а):1)Правило поставил
2)В данный момент попасть на сервак не могу, так как в этом и проблема с пробросом портов=). Но вчера из локальной сети, когда не было правил, кроме маскарада. Я его и обновлял, и пинговал внешние и внутренние ресурсы и т.п.


Вот теперь, на вкладке Генерал, в поле In-interface (укажите Ваш внешний бридж, не локальный...а внешний, могли бы их назвать и по-разному)
и попробуйте, и сделайте уже правило не только 80 и 443, ну и сразу 22 порта и тестируйте...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить