Проброс портов FTP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Здравствуйте,
Есть куча мануалов как пробросить порты, но на этой железке произошел затык :-(
Дано:
Server 2012 Standard + Filezilla FTP в локалке на порту 2121(для пассивного режима(25000-25050)
Mikrotik RB951G(RouterOs v6.15) в качестве шлюза.
Нужно пробросить FTP снаружи на локальный сервер.

Настраивал через веб-интерфейс, но вот экспорт правил:

Код: Выделить всё

/ip firewall filter
add chain=forward dst-address=XX.XXX.XX.XX dst-port=2121 in-interface=\
    ether1-gateway protocol=tcp
add chain=forward dst-address=XX.XXX.XX.XX dst-port=25000-25050 in-interface=\
    ether1-gateway port="" protocol=tcp
/ip firewall nat
add action=netmap chain=dstnat connection-type="" dst-address=XX.XXX.XX.XX \
    dst-port=2121 in-interface=ether1-gateway protocol=tcp to-addresses=\
    192.168.1.100 to-ports=2121
add action=netmap chain=dstnat dst-address=XX.XXX.XX.XX dst-port=25000-25050 \
    in-interface=ether1-gateway port="" protocol=tcp to-addresses=192.168.1.100 \
    to-ports=25000-25050


В результате telnet XX.XXX.XX.XX 2121 - не дает ничего.
Что интересно, замапил также RDP на тот же сервер - все взлетело ракетой!
Из локалки к серверу, все соединяется нормально.
Не пойму, где я ошибся?
Может сервак 2012 как-то режет(фаервол я отключил специально)?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sarge писал(а):

Код: Выделить всё

/ip firewall filter
add chain=forward dst-address=XX.XXX.XX.XX dst-port=2121 in-interface=\
    ether1-gateway protocol=tcp
add chain=forward dst-address=XX.XXX.XX.XX dst-port=25000-25050 in-interface=\
    ether1-gateway port="" protocol=tcp


1)
Отключите то, что я выше оставил из Вашего поста.
Хотя бы временно, на 2-5 минуты, и пробуйте.

2)
счётчики правил проброса (в закладке НАТ) при попытках - с нуля двигаются хоть?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Отключил правила в фаерволе что вы написали.
Результата нет.
Счетчик на вкладке NAT на этих правилах стоит по нулям :-(


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sarge писал(а):Отключил правила в фаерволе что вы написали.
Результата нет.
Счетчик на вкладке NAT на этих правилах стоит по нулям :-(

1) правила пока не трогать (не включать)
2) открываем (идём) в IP-Firewall-Connections
там формируем фильтр (наверно удобно будет по айпи внутренному сервера смотреть)
и делайте подключения и смотрите что Вы видите, и главное какие порты(номера).
Ибо если в Ваших правилах проброса счётчики не идут..значит правила не срабатывают.

Подключения надо делать НЕ со своего подключения!!!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Зашел в connections
Не сообразил как сделать фильтр по адресу, но там и так все понятно, коннектов не так много.

Специально зашел на RDP другого сервера, (чтоб не с домашней машины, которая глядит в роутер) и ничего не ощутил.
Т.е. тупо запустил путти по телнету на 2121 и в Connections ничего похожего на соединение по 2121 порту не увидел :-(

Что можно сделать еще?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

"in-interface=ether1-gateway", - у Вас интернет по DHCP идёт? Или PPPoE\PPTP\...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Там белый статический IP.
Т.е. все стандартно.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sarge писал(а):Зашел в connections
Что можно сделать еще?

У Вас точно провайдер даёт белый (реальный) адрес?
Ну и вопрос Дракона - Вы как подключены к Интернету (статика, или через РРТР/Л2ТР/РРРоЕ) ?

P.S.
зайдите в правила проброса и проверьте, Вы случайно не какое там поле пустым не оставили?
обычно кликая мышкой, поле активируется, и может подставляться пустота или какое то дефолтное
значение. По Вашему экспорту - в одном правиле есть пустое значение.

P.P.S.
Надеюсь что у сервера 192.168.1.100 куда сделан проброс, в качестве шлюза указан айпи адрес микротика?!
(это обязательное условие!)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
sarge
Сообщения: 23
Зарегистрирован: 30 сен 2017, 19:05
Откуда: Москва

Я не новичок в настройке сетей.
Весь офис, включая этот сервер, ходит в инет через этот шлюз(который я и поднимал), уже давно.
За статический адрес мы платим отдельно, он у нас постоянный уже года три как...
Никаких VPN, чистый роутинг.
Естественно на сервере шлюз указан правильно, иначе бы он инета не видел!

В правилах проброса, там много пустых полей, уточните пожалуйста, может я какое-то забыл?
Последний раз редактировалось sarge 01 окт 2017, 01:11, всего редактировалось 1 раз.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Есть пустое поле, а если выключенное. Это разные вещи. Пустых полей быть не должно.
И Вы по прежнему не ответили про тип подключения.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить