Как на mikrotik в правилах Firewall указать доменное имя вместо ip-адреса?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
dirar
Сообщения: 2
Зарегистрирован: 04 сен 2017, 15:36

Здравствуйте!
Необходимо написать правило в firewall и указать доменное имя и порт. C ip-адресом все заработало.
А как указать доменное имя?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Предлагаю занести доменное имя в адрес-лист, а уж адрес-лист указать в правиле


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
dirar
Сообщения: 2
Зарегистрирован: 04 сен 2017, 15:36

Я так и сделал, но не работает. может, я что-то неправильно делаю. Вы можете написать чуть подробнее?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Что написать-то? Я же не знаю, что вы там своим правилом делаете и в каком порядке. Кстати, проверьте порядок правил. Это важно в фаерволе.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dirar писал(а):Здравствуйте!
Необходимо написать правило в firewall и указать доменное имя и порт. C ip-адресом все заработало.
А как указать доменное имя?

В целом совет + подумать надо будет Вам!:

В правиле, вторая закладка, там сверху будут два поля
Src Address List
Dst Address List
Вот вместо адреса на первой вкладке, Вы во второй вкладке правила
в этих полях (в нужное поле) из внизспадающего списка выбераете
адрес-лист(ы).

Адрес-лист(ы) создаётся в предпоследней вкладке файрволла,
придумываете имя адрес-листу(чтобы оно с чем-то ассоциировалось)
и в этот адрес лист вбиваете скажем yandex.ru и все все адреса
которые есть у яндекса будут уже в этом адрес листе, а значит,
применив в правиле(ах) этот адрес лист, применяться все значения
взятые из этого адрес-листа.

(как-то так...)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dirar
Сообщения: 2
Зарегистрирован: 04 сен 2017, 15:36

Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dirar писал(а):Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.

У Вас очень много пробелов в познании, давайте заполним общую картину:
а) компьютер(ы) или пользователь(и) которым нужен доступ, их адреса занесены в адрес-лист CapsMan (это вытекает из логики Вашей, а вдруг в этом адрес-листе пусто)?
б) вообще доступ есть у пользователей в Интернет вообще? (то бишь иными словами НАТ для кого-то или как-то сделан)
в) если в пункте б) ответ ДА, то Ваше текущее составленное правило (оно "строгое") должно быть первее(или выше) общего НАТа.
г) у правила есть счётчик байтов и пакетов, они (счётчики) хоть тронулись с нуля? (то есть в правило хоть что-то попадало)? (логирование включали?)
д) если в этом же правиле убрать использование адрес листа "ofd_domain" и вместо него на первой закладке вписать IP адрес сайта = так работает?
е) если у Вас нет общего НАТа(или нет доступа в Интернет), что если временно дать общий НАТ для всей сети = сайт заработает? Если да, то
уже потом брать это правило и тюнинговать в сторону более ограничивающее.
ж) а что показывает трасерт с компьютера(ов)?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dirar
Сообщения: 2
Зарегистрирован: 04 сен 2017, 15:36

Vlad-2 писал(а):
dirar писал(а):Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.

У Вас очень много пробелов в познании, давайте заполним общую картину:
а) компьютер(ы) или пользователь(и) которым нужен доступ, их адреса занесены в адрес-лист CapsMan (это вытекает из логики Вашей, а вдруг в этом адрес-листе пусто)?
б) вообще доступ есть у пользователей в Интернет вообще? (то бишь иными словами НАТ для кого-то или как-то сделан)
в) если в пункте б) ответ ДА, то Ваше текущее составленное правило (оно "строгое") должно быть первее(или выше) общего НАТа.
г) у правила есть счётчик байтов и пакетов, они (счётчики) хоть тронулись с нуля? (то есть в правило хоть что-то попадало)? (логирование включали?)
д) если в этом же правиле убрать использование адрес листа "ofd_domain" и вместо него на первой закладке вписать IP адрес сайта = так работает?
е) если у Вас нет общего НАТа(или нет доступа в Интернет), что если временно дать общий НАТ для всей сети = сайт заработает? Если да, то
уже потом брать это правило и тюнинговать в сторону более ограничивающее.
ж) а что показывает трасерт с компьютера(ов)?

Доступ нужен для ККМ и на сайт, который я указал. Адрес лист создавал и он не пустой. НАТом все работает. А вот тюнинговать его не могу.

ps. Есть аналог команды nslookup для mikrotik?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dirar писал(а):Доступ нужен для ККМ и на сайт, который я указал. Адрес лист создавал и он не пустой. НАТом все работает. А вот тюнинговать его не могу.
ps. Есть аналог команды nslookup для mikrotik?

Ну Вы и половину вопросов моих как-будто и не заметили. Сжато ответили!

Во-первых, порядок правил ВАЖЕН, правило более узкое и точное должно быть выше, чтобы оно сработало быстрее,
чем то, которое более обобщённое и в которое уже попадают пакеты с более разными критериями.
Во-вторых, я всё же дал совет Вам: попробовать правило с айпи(для удобства), работает, это же правило модифицируем
для работы уже с адрес-листами, то есть ни трогаем лишнее, только адрес листы начинаем использовать.
В третьих, тюнинг нужен лишь небольшой, логический. В адрес-лист заносится только адрес сайта.
Порт не надо вносить. Порт прописывается только в правиле. Также попробуйте использовать адрес-лист только
Dst.Address List, то есть использовать только один адрес-лист, потом уже дополните правило вторым адрес-листом.
Включите опять же логирование, в логах Вы будете/или не будете видеть пакеты, откуда они и куда, также про счётчики правил вообще, что с ними?

Ваша задача собрать пару переменных и всё это описать в одном правиле. Проще уже некуда. Сильно детализировать не могу,
не видя детали, конфиг. Любой совет даётся лишь как направление, подсказка. А дальше инженерный подход.

P.S.
На счёт аналогов nslookup'а в микротике (в консоле) сейчас не помню и вообще не припоминаю.
а) резолвинг адресов делает микротик внутри себя сам, сделайте пинг и увидите адрес
б) надо помнить нюанс(ы):
1) адреса микротик резолвит от того ДНС-сервера, который(е) указаны в настройках/получил по "динамике"
2) при использовании графических утилит (пинг, трассерт) через винбокс = резолвинг в винбоксе делается через ДНС указанный
на компьютере, на котором в данный момент и работает винбокс.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить