Проброс портов для rdp и https

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
iven
Сообщения: 0
Зарегистрирован: 21 ноя 2017, 17:21

15 дек 2017, 09:16

Здравствуйте!
У нас используется Mikrotik Routerboard 1100AH. Возникла необходимость вывести подключения одной из рабочих машин наружу. Для доступа по rdp и https. Было создано правило add chain=dstnat dst-address=218.*.*.* protocol=tcp dst-port=443,3389 action=dst-nat to-addresses=192.168.8.3 to-ports=443,389 comment="" disabled=no. Но не срабатывает. Доступа нет. Пробовали делать отдельные правила на каждый порт, тот же эффект. С чем может быть связана проблема?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 дек 2017, 10:35

iven писал(а):Здравствуйте!
У нас используется Mikrotik Routerboard 1100AH. Возникла необходимость вывести подключения одной из рабочих машин наружу. Для доступа по rdp и https. Было создано правило add chain=dstnat dst-address=218.*.*.* protocol=tcp dst-port=443,3389 action=dst-nat to-addresses=192.168.8.3 to-ports=443,389 comment="" disabled=no. Но не срабатывает. Доступа нет. Пробовали делать отдельные правила на каждый порт, тот же эффект. С чем может быть связана проблема?

Опять 25....ну а что не работало? Что в логах? Было ли попадания пакетов по данным правилам?
Счётчики этих правил с нуля сдвинулись?

1) попробуйте не задавать внешний адрес...пусть ради теста и на 5-10 минут не указывайте явно внешний адрес,
тогда правило будет работать с любого внешнего адреса (то есть сделать временно упрощённое правило)
2) проверьте саму машину , то есть 192.168.8.3 = не раз и даже не 3 раза...а раз 10 было проблема в том,
что на той машине стоит антивирус и не позволяет пройти пакету....каспер особенно блокирует такие запросы.
3) а РДП и Веб-сервер на той машине запущены? (ну мало ли)
4) Правила советую разделить. Разные сервисы....

Подходите инженерно:
создаёте правило, включите лог и смотрите, правило заработало, задача решена = логирование можно отключить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
iven
Сообщения: 0
Зарегистрирован: 21 ноя 2017, 17:21

15 дек 2017, 11:10

1. Счётчики сдвинулись. Т.е. пакеты ходят. По логам видно, что попытки соединения есть.
2. Веб-сервер оставил в покое. Пока пробую только с RDP. Но пока результат нет. По внутреннему IP соединение с машиной есть.
Изображение


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

15 дек 2017, 11:16

шлюз микротик на машине с RDP ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 дек 2017, 11:17

iven писал(а):1. Счётчики сдвинулись. Т.е. пакеты ходят. По логам видно, что попытки соединения есть.
2. Веб-сервер оставил в покое. Пока пробую только с RDP. Но пока результат нет. По внутреннему IP соединение с машиной есть.

1) это радует.
2) пробовали надеюсь зайти по RDP с другого подключения (с другого интернета), а не с этого же? ??????????

3) ну и опять пару банальных,но важных вопросов,комп на который Вы делаете проброс:
а) у него стоит шлюз - адрес локальный микротика!?
б) у него есть доступ в интернет (разрешён НАТ) !?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
iven
Сообщения: 0
Зарегистрирован: 21 ноя 2017, 17:21

15 дек 2017, 11:23

Vlad-2 писал(а):2) пробовали надеюсь зайти по RDP с другого подключения (с другого интернета), а не с этого же? ??????????

3) ну и опять пару банальных,но важных вопросов,комп на который Вы делаете проброс:
а) у него стоит шлюз - адрес локальный микротика!?
б) у него есть доступ в интернет (разрешён НАТ) !?


1. да, RDP с другого подключения. Специально сделал раздачу.
2. шлюз - да, локальный микротик.
3. Интернет разрешён. С него спокойно открываются страницы.


iven
Сообщения: 0
Зарегистрирован: 21 ноя 2017, 17:21

15 дек 2017, 11:25

Vladimir22 писал(а):шлюз микротик на машине с RDP ?

Да


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 дек 2017, 11:27

iven писал(а):1. да, RDP с другого подключения. Специально сделал раздачу.

Уточню ещё так:
это должно быть отдельное подключение с отдельного роутера. НЕ с этого же!
Как совет - проверьте с телефона (РДП клиенты есть куча).

И что там с файрволами и антивирусами на самой машине?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
iven
Сообщения: 0
Зарегистрирован: 21 ноя 2017, 17:21

15 дек 2017, 11:43

Вы были правы. Одно из правил фаервола на микротике мешало. Сделал дополнительное правило в фильтре - всё заработало. Сейчас буду делать исключение для веба. Спасибо за помощь!


Ответить