Роутер не пускает в NAS

Описание каждой версии, обсуждение особенностей и недостатков
Joe.Hollins
Сообщения: 3
Зарегистрирован: 24 июл 2019, 12:41

Здравствуйте, имеется точка доступа MikroTik RBD52G-5HacD2HnD-TC hAP ac², приобретенная взамен погибшего netgear.
Выполнил общую настройку. В локальной сети имеются два компьютера, медиаплеер Duna и Nas Qnap, подключенные к Микротику через патч корды. Ранее через netgear все устройства нормально заходили на Nas, однако сейчас компьютеры и Дюна видят Nas, но зайти на него не могут. Пробовал зайти через веб интрфейс по адресу, присвоенному микротиком, но ничего не выходит. Вместе с тем на расшаренный диск дюны зайти можно. Подозреваю, что где-то надо дополнительно настроить роутер, но где пока не могу понять. Прошу помощи от знающих людей, Заранее благодарен!
 
[admin@MikroTik] > export
# jul/24/2019 13:19:16 by RouterOS 6.45.2
# software id = KYNV-RZ21
#
# model = RBD52G-5HacD2HnD
# serial number =
/interface bridge
add admin-mac=*********** auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-XX \
country=russia disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid="Meijin 2GHz" wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country=russia disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid="Meijin 5GHz" wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=*********** \
wpa2-pre-shared-key=*********
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
192.168.88.0
add address=10.78.21.67/24 interface=ether1 network=10.78.21.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=176.124.245.129,195.160.164.10
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-stat
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATe
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy
out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=**********
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=
add interface=ether1 type=
/system clock
set time-zone-name=Europe/
/tool mac-server
[admin
@Mikro
Tik] >
[admin@MikroTik]


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Очень тяжело понять Ваш сленг. Что значит видят, но зайти не могут. Вы всё таки на техническом форуме.
На сколько я помню у Qnap используются свои программы. Вы их перенастроили? Обновления сделали?
Внутри локальной сети роутер не работает, устройства общаются на прямую.
У меня есть клиент с такими устройствами в домашней сети (Dune и Qnap) все работает без проблем на RB 2011 уже несколько лет.
PS Web у Qnap по 443 порту (HTTPS) заходили?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Joe.Hollins
Сообщения: 3
Зарегистрирован: 24 июл 2019, 12:41

Отвечаю по порядку. Из-под Windows для настройки Qnap можно использовать программу QNAPQfinderPro, которая сейчас роутер вообще не видит в сети. Далее Qnap можно настроить через web интерфейс. Раньше через netgear я заходил, используя браузер и адрес 192.168.1.3 (статический назначенный адрес для наса) и порт 8080. Сейчас я пытался зайти в web интерфейс через браузер используя адрес, назначенный микротиком. Далее NAS отображается в проводнике Windows в сетевом окружении, но зайти в него невозможно, то же самое и через дюну, она видит его в workgroup, но дальше ничего сделать не дает. В самом насе раньше все был настроено. Все разрешения и настройки были сделаны, так что я не понимаю, что там еще настраивать. Сейчас нас должен только получить адрес от микротика. Он его получает, но дальше никаким образом не дает открыть ресурсы. По адресу https//192.168.88.252:443 пишет "по запросу https//192.168.88.252:443 ничего не найдено".


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Ну что ж будем гадать по тем каплям информации что выдали.
1. http://192.168.88.252:8080 пробовали заходить?
2. Вероятно часть адресов на устройствах была задана статически из подсети 192.168.1.0/24. Самый простой способ смените IP микротика на 192.168.1.1 и задайте диапазон DHCP из этой же подсети.
Все что могу ...


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(были глюки) поэтому вижу:
IP адрес роутера "стоит" на ether2 (это пре-заводские настройки).
Надо поправить: адрес локальный роутера должен быть установлен
на бридже. Думаю в этом часть проблемы.

Зайдите в IP - Addreses - там кликните по своему локальному адресу,
и внизу вместе порт2 выберите (из списка) Ваш локальный бридж.
Лучше для чистоты эксперимента = роутер перезагрузить.

P.S.
Я бы на 2-4 минуты отключил правила файрвола....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Joe.Hollins
Сообщения: 3
Зарегистрирован: 24 июл 2019, 12:41

Благодарю за помощь, проблема решена.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Joe.Hollins писал(а): 26 июл 2019, 19:42 Благодарю за помощь, проблема решена.
Без конкретики?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Atomic79
Сообщения: 125
Зарегистрирован: 25 сен 2017, 19:07

Хоть бы написали что сделали, а то спасибо итд...
У меня похожая проблема нарисовалась, уже неделю бьюсь-NAS Synology обновился 26 августа после этого сломался доступ к насу по ftp... причем ничего не менял, во всяком случае сам и специально. ТП говорят что с mikrotik проблемы постоянные и типа у нас все ок. В локалке ftp робит и как бы вопросов нет, но проблема доступа извне осталась. Насу железно приколочен ip адрес, извне на сам нас попасть не проблема там через vpn и облачные сервера Synology, на synology настроен ddns. В микротике проброшены порты 20 и 21 соответственно до 26 августа все работало-что случилось потом история умалчивает.
 
sep/04/2019 19:57:46 by RouterOS 6.45.5
# software id = C37U-I6MB
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 830607B948BE
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=XX frequency=2432 name=channel1 save-selected=no tx-power=15
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee frequency=5180 name=channel2 tx-power=12
/interface bridge
add arp=reply-only fast-forward=no igmp-snooping=yes name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment="\C2\F5\EE\E4 \EE\F2 \EF\F0\EE\E2\E0\E9\E4\E5\F0\E0" speed=100Mbps
set [ find default-name=ether2 ] comment="\D2\EE\F7\EA\E0 \E4\EE\F1\F2\F3\EF\E0" speed=100Mbps
set [ find default-name=ether3 ] comment="\CA\EE\EC\EF \E6\E5\ED\FE\EB\FC\EA\E8" speed=100Mbps
set [ find default-name=ether4 ] speed=10Mbps
set [ find default-name=ether5 ] comment="\CF\EE\F0\F2 \F1 PoE" speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=20 name=pppoe-out1 password=******** use-peer-dns=yes user=*********
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath2
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security1 passphrase=********
add authentication-types=wpa2-psk encryption=aes-ccm name=security2 passphrase=********
/caps-man configuration
add channel=channel1 channel.band=2ghz-onlyn channel.tx-power=15 country=russia2 datapath=datapath1 distance=indoors mode=ap name=cfg1 rx-chains=0,1,2 security=security1 ssid=MikroTik tx-chains=0,1,2
add channel=channel2 channel.band=5ghz-onlyac channel.tx-power=12 country=russia2 datapath=datapath2 distance=indoors mode=ap name=cfg2 rx-chains=0,1,2,3 security=security2 ssid=MikroTik_5G \
tx-chains=0,1,2,3
/caps-man interface
add configuration=cfg2 disabled=no l2mtu=1600 mac-address=64:D1:54:FF:03:87 master-interface=none name="cap 2 (hAP ac ) 5G" radio-mac=64:D1:54:FF:03:87 radio-name=64D154FF0387
add channel=channel1 configuration=cfg1 datapath=datapath1 disabled=no l2mtu=1600 mac-address=74:4D:28:3E:DD:3B master-interface=none name="cap 3 (hAP ac2 ) 2.4G" radio-mac=74:4D:28:3E:DD:3B \
radio-name=744D283EDD3B security=security1
add configuration=cfg2 disabled=no l2mtu=1600 mac-address=74:4D:28:3E:DD:3C master-interface=none name="cap 4 (hAP ac2) 5G " radio-mac=74:4D:28:3E:DD:3C radio-name=744D283EDD3C
add channel=channel1 configuration=cfg1 datapath=datapath1 disabled=no l2mtu=1600 mac-address=64:D1:54:FF:03:88 master-interface=none name="cap1 (hAP ac ) 2.4G" radio-mac=64:D1:54:FF:03:88 \
radio-name=64D154FF0388 security=security1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="WIFI 2.4+5" supplicant-identity="" wpa-pre-shared-key=********* wpa2-pre-shared-key=\
********
/interface wireless
# managed by CAPsMAN
# channel: 2432/20-Ce/gn(15dBm), SSID: MikroTik, local forwarding
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-XX country=russia default-authentication=no default-forwarding=no disabled=no distance=indoors frequency=auto frequency-mode=\
regulatory-domain mode=ap-bridge security-profile="WIFI 2.4+5" ssid=MikroTik tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac(12dBm), SSID: MikroTik_5G, local forwarding
set [ find default-name=wlan2 ] band=5ghz-onlyac country=russia default-forwarding=no disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain installation=indoor mode=ap-bridge \
security-profile="WIFI 2.4+5" ssid=MikroTik_5Ghz tx-power=10 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] disabled=yes
/ip kid-control
add fri="" mon="" name=kid1 sat="" sun="" thu="" tue="" wed=""
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.20
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge1 lease-time=2h name=dhcp1
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none stop-bits=1
/queue simple
add disabled=yes max-limit=128k/128k name=queue1 target=192.168.1.9/32
add disabled=yes max-limit=64k/64k name=queue2 queue=pcq-download-default/pcq-download-default target=192.168.1.4/32
/user group
set read policy=local,telnet,ssh,ftp,reboot,read,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!write,!policy,!dude
set write policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!policy,!dude
/caps-man access-list
add action=accept allow-signal-out-of-range=10s comment="\CF\EB\E0\ED\F8\E5\F2 Lenovo " disabled=no interface=any mac-address=CC:07:E4:34:68:D7 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Nokia 435 DS" disabled=no interface=any mac-address=3C:83:75:E3:D4:98 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Iphone \CC\E5\EB\EA\E8\E9" disabled=no interface=any mac-address=9C:4F:DA:C9:DD:2F ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="\D7\E0\F1\FB \CC\E5\EB\EA\E8\E9" disabled=no interface=any mac-address=50:A6:7F:E6:30:E6 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="MSI \CD\EE\F3\F2" disabled=no interface=any mac-address=48:5D:60:66:34:C6 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Huawei \C1\E0\E1\F3\F8\EA\E0 " disabled=no interface=any mac-address=C4:86:E9:EF:71:A3 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Huawei Mate 10" disabled=no interface=any mac-address=7C:A1:77:75:FC:2C ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Sony xperia z" disabled=no interface=any mac-address=B4:52:7D:68:D0:1B ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment=Dlik-USB disabled=no interface=any mac-address=00:24:01:09:9E:7D ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Honor 8X" disabled=no interface=any mac-address=24:FB:65:04:F6:B7 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s comment="Zyxel Keenetic Extra" disabled=no interface=any mac-address=2A:28:5D:D3:27:8E ssid-regexp=""
add action=reject allow-signal-out-of-range=10s comment="\C7\E0\EF\F0\E5\F2 \E2\F1\E5\E3\EE \EA\F0\EE\EC\E5 Access List" disabled=no mac-address-mask=00:00:00:00:00:00 ssid-regexp=MikroTik
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man provisioning
add action=create-enabled comment=2.4G master-configuration=cfg1 radio-mac=64:D1:54:FF:03:88
add action=create-enabled comment=5G master-configuration=cfg2 radio-mac=64:D1:54:FF:03:87
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 disabled=yes interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes ipsec-secret=********* use-ipsec=yes
/interface list member
add interface=pppoe-out1 list=WAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=sfp1 list=LAN
add interface=wlan1 list=LAN
add interface=bridge1 list=LAN
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless access-list
add mac-address=7C:11:CB:70:65:AB vlan-mode=no-tag
add mac-address=9C:4F:DA:C9:DD:2F
add mac-address=80:01:84:79:F8:71
add mac-address=3C:83:75:E3:D4:98
add mac-address=CC:07:E4:34:68:D7
add mac-address=50:A6:7F:E6:30:E6
/interface wireless cap
#
set bridge=bridge1 discovery-interfaces=bridge1,wlan2 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.1.6 client-id="\CF\EB\E0\ED\F8\E5\F2 Lenovo " comment="\CF\EB\E0\ED\F8\E5\F2 Lenovo" mac-address=CC:07:E4:34:68:D7 server=dhcp1
add address=192.168.1.8 client-id=1:c4:57:6e:75:3:c6 comment="Samsung TV" mac-address=C4:57:6E:75:03:C6 server=dhcp1
add address=192.168.1.3 client-id=1:30:85:a9:9c:a9:30 comment="\CC\EE\E9 \EA\EE\EC\EF" mac-address=30:85:A9:9C:A9:30 server=dhcp1
add address=192.168.1.9 always-broadcast=yes client-id=1:9c:4f:da:c9:dd:2f comment="Iphone \EC\E5\EB\EA\E8\E9" mac-address=9C:4F:DA:C9:DD:2F server=dhcp1
add address=192.168.1.4 client-id=1:50:e5:49:85:7e:16 comment="\CC\E5\EB\EA\E8\E9 \EA\EE\EC\EF" mac-address=50:E5:49:85:7E:16 server=dhcp1
add address=192.168.1.10 client-id=1:3c:83:75:e3:d4:98 comment="Nokia 435 DS " mac-address=3C:83:75:E3:D4:98 server=dhcp1
add address=192.168.1.11 client-id=1:50:a6:7f:e6:30:e6 comment="\D7\E0\F1\FB \EC\E5\EB\EA\E8\E9" mac-address=50:A6:7F:E6:30:E6 server=dhcp1
add address=192.168.1.12 client-id=1:48:5d:60:66:34:c6 comment="MSI \ED\EE\F3\F2" mac-address=48:5D:60:66:34:C6 server=dhcp1
add address=192.168.1.13 client-id=1:b8:69:f4:1b:9e:48 comment="MikroTik mAP Lite \D2\EE\F7\EA\E0 \E4\EE\F1\F2\F3\EF\E0" mac-address=B8:69:F4:1B:9E:48 server=dhcp1
add address=192.168.1.14 client-id=1:1c:5a:3e:f1:67:ea comment="Samsung BlueRay" mac-address=1C:5A:3E:F1:67:EA server=dhcp1
add address=192.168.1.7 client-id=1:7c:a1:77:75:fc:2c comment="Huawei Mate 10" mac-address=7C:A1:77:75:FC:2C server=dhcp1
add address=192.168.1.15 comment="Huawei_\C1\E0\E1\F3\F8\EA\E0 " mac-address=C4:86:E9:EF:71:A3 server=dhcp1
add address=192.168.1.5 client-id=1:24:fb:65:4:f6:b7 comment="Honor 8X" mac-address=24:FB:65:04:F6:B7 server=dhcp1
add address=192.168.1.2 client-id=1:74:4d:28:3e:dd:3b comment="MikroTik Hap ac^2" mac-address=74:4D:28:3E:DD:3B server=dhcp1
add address=192.168.1.16 client-id=1:0:11:32:1a:28:cb comment="Synology DS 212J" mac-address=00:11:32:1A:28:CB server=dhcp1
add address=192.168.1.17 client-id=1:28:28:5d:d6:27:8e comment="Zyxel Keenetic Extra" mac-address=28:28:5D:D6:27:8E server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF \E8\E7 \E2\ED\E5\F8\EA\E8" dst-port=8291 protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input in-interface=ether1 limit=50/5s,2:packet protocol=icmp
add action=fasttrack-connection chain=forward in-interface=bridge1 out-interface=pppoe-out1
add action=accept chain=forward comment="FastTrack Connection" connection-state=established,related
add action=accept chain=forward dst-port=80 in-interface=ether1 protocol=tcp
add action=drop chain=forward connection-state=established,related in-interface=pppoe-out1 out-interface=bridge1
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input src-address-list="Scanner Port"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=netmap chain=dstnat dst-address=0.0.0.0 dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=20
add action=dst-nat chain=dstnat dst-address=0.0.0.0 dst-port=21 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=21
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip smb
set allow-guests=no domain=WORKGROUP
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge1 type=internal
/ipv6 address
add address=::66d1:54ff:feff:388 eui-64=yes from-pool=v6_pool interface=bridge1
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-out1 pool-name=v6_pool request=prefix
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=*4
/ppp secret
add name=vpn password=********
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system clock manual
set time-zone=+05:00
/system identity
set name="MikroTik hAP ac"
/system leds
set 1 disabled=yes
set 2 disabled=yes
/system logging
add action=disk disabled=yes topics=pptp,debug
add action=disk disabled=yes topics=pppoe,debug
add action=disk disabled=yes topics=pptp,debug
/system ntp client
set enabled=yes primary-ntp=88.147.254.229 secondary-ntp=88.147.254.229
/system routerboard settings
set auto-upgrade=yes silent-boot=yes
/system watchdog
set automatic-supout=no ping-start-after-boot=10s ping-timeout=10s send-email-to=sergey_churkin@mail.ru watchdog-timer=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool romon
set enabled=yes secrets=123456
[Admin_S@MikroTik hAP ac] >


Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Atomic79 писал(а): 04 сен 2019, 18:04 соответственно до 26 августа все работало-что случилось потом...
What's new in 6.45.5 (2019-Aug-26 10:56): :hi_hi_hi:


попробуйте строку
Atomic79 писал(а): 04 сен 2019, 18:04 add action=netmap chain=dstnat dst-address=0.0.0.0 dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=20
заменить на
add action=netmap chain=dstnat dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=20


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Atomic79
Сообщения: 125
Зарегистрирован: 25 сен 2017, 19:07

Изменения внес, по ftp подключается но не могу допереть почему я попадаю не на NAS, а на флешки самого микротика ... скорее всего из-за того что открыт 21-й порт на микроте ip-services... пока не соображу как на Synology попадать ...


Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
Ответить