Доступ к морде микротика из интернета

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
together8
Сообщения: 2
Зарегистрирован: 29 янв 2018, 21:07

Друзья, нужна ваша правка. Вроде правило правильно создал, трафик есть, но нет коннекта.
Сделал правило в НАТ:
chain=dstnat action=dst-nat to-addresses=192.168.90.90 to-ports=8790 protocol=tcp dst-
port=8730 log=no log-prefix=""

Желаемый результат:
Пакеты, приходящие на порт 8730, должны перенаправляться на ip адрес сети 192.168.90.90 на порт 8790, это порт морды микротика. Если пытаться зайти из сети на порт 8790 - правило работает, морда микротика открывается и пакеты есть.
Но если зайти по внешнему ip адресу, то на WEB морду микротика я не попадаю. При этом, если захожу на другое устройство, для которого сделан проброс - попадаю на то устройство. Там проброс настроен аналогично, но со своими портами


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

together8 писал(а): 17 мар 2018, 20:06 Друзья, нужна ваша правка. Вроде правило правильно создал, трафик есть, но нет коннекта.
Сделал правило в НАТ:
chain=dstnat action=dst-nat to-addresses=192.168.90.90 to-ports=8790 protocol=tcp dst-
port=8730 log=no log-prefix=""

Желаемый результат:
Пакеты, приходящие на порт 8730, должны перенаправляться на ip адрес сети 192.168.90.90 на порт 8790, это порт морды микротика. Если пытаться зайти из сети на порт 8790 - правило работает, морда микротика открывается и пакеты есть.
Но если зайти по внешнему ip адресу, то на WEB морду микротика я не попадаю. При этом, если захожу на другое устройство, для которого сделан проброс - попадаю на то устройство. Там проброс настроен аналогично, но со своими портами
Два вопроса:
- попадние в правило есть?
- у 192.168.90.90 выход в Интернет работает (если нет - используйте netmap)?


o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 13:06, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Проверяйте фаервол, а лучше на время экспирементов отключите все правила. Если после выключения заработает, то у вас просто не было разрешающего правила.
И да, я повторил вашу задумку и обнаружил небольшой баг... Т.к. в первую очередь отрабатывают правила ната, а уже потом фаервола, то в фаерволе нужно открывать конечный порт, например - подменяем порт 80 портом 8080, тогда в фаерволе нам необходимо открыть именно 80 порт, а не 8080, при этом нам становится доступен вебинтерфейс как по порту 8080 так и по 80. Если же мы в фаерволе откроем порт 8080, то ничего работать у нас не будет. Все это потому что мы обращаемся к самому микротику, если бы это было устройство за ним, то таких проблем не обнаруживается.


fest1val
Сообщения: 12
Зарегистрирован: 15 мар 2018, 22:00

KARaS'b писал(а): 21 мар 2018, 10:18 Проверяйте фаервол, а лучше на время экспирементов отключите все правила. Если после выключения заработает, то у вас просто не было разрешающего правила.
И да, я повторил вашу задумку и обнаружил небольшой баг... Т.к. в первую очередь отрабатывают правила ната, а уже потом фаервола, то в фаерволе нужно открывать конечный порт, например - подменяем порт 80 портом 8080, тогда в фаерволе нам необходимо открыть именно 80 порт, а не 8080, при этом нам становится доступен вебинтерфейс как по порту 8080 так и по 80. Если же мы в фаерволе откроем порт 8080, то ничего работать у нас не будет. Все это потому что мы обращаемся к самому микротику, если бы это было устройство за ним, то таких проблем не обнаруживается.
Не могу полностью согласится
MikroTik RouterOS 6.40.4
В firewall открываю INPUT внешний 8980.
NAT netmap перекидываю на 80
оба правила с логированием - в логе отображаются только с работка NAT, притом что в fiewall счетчик крутится.


aleksandr.tokarev
Сообщения: 1
Зарегистрирован: 15 окт 2018, 16:52

Все делается проще, просто открывайте порт на Микротике, на который перенаправили WEB и все! Правило NAT не надо вообще устанавливать! Так как обращение сразу идет на Микротик и перенаправлять ничего не нужно.


Ответить