проблемы с пробросом exchange 25tcp через микротик

Обсуждение оборудования и его настройки
vladme078
Сообщения: 6
Зарегистрирован: 22 апр 2014, 16:08

Значит в клиенте нужно поменять 25 порт на другой. Он там по умолчанию. После этого проброшенные порты будут работать. Как я понял, не работал только 1 порт именно 25. Я написал решение, которое 100% рабочее. А клиент это или не клиент вопрос десятый в данном случае.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Клиент порты не занимает т.к. он клиент


Есть интересная задача и бюджет? http://mikrotik.site
max1991
Сообщения: 16
Зарегистрирован: 11 апр 2014, 15:22

На роутере внешним адресом настроена сеть 192.168.250.199/24, внутренняя 192.168.2.11/24;
в фаерволе есть правило :
action=dst-nat chain=dstnat dst-address=192.168.250.199 dst-port=25 protocol=25 to-address=192.168.2.11 to-ports=25
также в цепочке forward добавлено правило
chain=forward dst-address=192.168.2.11 dst-port=25 in-interface=ether1-gateway out-interface=bridge-local protocol=tcp
перед окончательным дропом стоит правило логирования, которое посоветовали на первой странице (кстати огромное за него спасибо.) - нет ничего дропнутого в forwarde.
Итак, проверяем из сети 192.168.250.5/24 - телнетимся, видим приветствие
Все хорошо, создаем еще 6 пробросов портов на компьютер 192.168.2.30 (три порта в двух протоколах TCP и UDP), проверяем телнетом снаружи с компа 192.168.250.5 на все tcp порты коннектимся, на 25 видим приветствие почтового сервера.
Далее делаем следующее, изменяем внешний ip на роутере на реальный ip, но подключаем его к свичу, в свич также подключаем комп 192.168.250.5, меняем у него ip на реальный ip из той же сети, что и реальный ip роутера; изменяем в правиле проброса внешний ip на роутере.
Проверяем телнетом 25 порт - коннектимся, видим черное окно cmd и мигающий курсор, но почтового сервера приветствия НЕ ВИДИМ!!!!

Теперь мучаю RB2011UiAS-RM, version 6.12, firmware 3.14
Спецы выручайте! Наметилась тенденция, опытным путем выясняется, что проброс smtp(tcp), не важно какой порт 25 или 2525 (проверял) работает, только если на внешнем интерфейсе стоит Ip из частной сети, на моем примере 192.168.250.199, как только меняю на реальный адрес, то вроде как демон висит, телнетом к нему подключаюсь, но приветствия сервера не вижу. Меняю обратно на 192.168.250.199 - вижу приветствие проброшенного почтового сервера. При этом менял только адрес на внешнем интерфейсе, шлюз по умолчанию и маршрут 0.0.0.0 в ip routes а также правило проброса в ip firewall nat (менял в правиле адрес с 192.168.250.199 на реальный и обратно)
Что не так-то, никак не могу понять :nez-nayu: :sh_ok: :)-(: :ps_ih: , в фаерволе (в filter) нет правил привязанных к внешнему ip!


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

У вас же вроде exchange, значит винда? Обратите внимание на настройки политик безопасности, брандмауэра, антивируса.


Duran
Сообщения: 2
Зарегистрирован: 27 июн 2013, 11:33

у меня на работе 2011 и ексчендж 2003
сделано так:

> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic

....
1 ;;; for SMTP
chain=forward action=accept protocol=tcp dst-port=25

2 ;;; for OWA
chain=forward action=accept protocol=tcp dst-port=443
....

> /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; SMTP
chain=dstnat action=netmap to-addresses=172.16.0.XX to-ports=25 protocol=tcp in-interface=ether6
dst-port=25

1 ;;; OWA
chain=dstnat action=netmap to-addresses=172.16.0.XX to-ports=443 protocol=tcp in-interface=ether6
dst-port=443
....

ether6 - интерфейс на котором висит белый IP


Все бегает без проблем. Версия 6.12


max1991
Сообщения: 16
Зарегистрирован: 11 апр 2014, 15:22

Duran писал(а):у меня на работе 2011 и ексчендж 2003
сделано так:

> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic

....
1 ;;; for SMTP
chain=forward action=accept protocol=tcp dst-port=25

2 ;;; for OWA
chain=forward action=accept protocol=tcp dst-port=443
....

> /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; SMTP
chain=dstnat action=netmap to-addresses=172.16.0.XX to-ports=25 protocol=tcp in-interface=ether6
dst-port=25

1 ;;; OWA
chain=dstnat action=netmap to-addresses=172.16.0.XX to-ports=443 protocol=tcp in-interface=ether6
dst-port=443
....

ether6 - интерфейс на котором висит белый IP


Все бегает без проблем. Версия 6.12


Попробовал как советовали Вы, но картина таже - нет приветствия. Снес всю конфигурацию и просто добавил адреса на интерфейсы и прописал в форвард правило разрешающее прохождение пакетов на 25 порт и добавил правило в цепочку нат , все как у Вас - не помогло. А скажите, я сейчас экспериментирую с бесплатной почтовой программой, т.к. на рабочем Exchange мне никто не даст экспериментировать, у вас если телнетом на белый адрес на 25 порт подключиться вы видите приветствие сервера в окне командной строки? Может у меня действительно какой-то брак с роутером, главное, что и с 951Ui-2HnD таже беда была? Остается только в виртуалке поднять Эксченч и его пробрасывать чтоб уж до конца быть уверенным....


max1991
Сообщения: 16
Зарегистрирован: 11 апр 2014, 15:22

вот команда /export compact с настроенным на внешнем интерфейсе адресом 192.168.250.199:
 /export compact ip=192.168.250.199
[admin@MikroTik] > /export compact
# jan/02/1970 00:09:02 by RouterOS 6.12
# software id = 2XLL-K4UU
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-lan
set [ find default-name=ether9 ] name=ether9-wan
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/port
set 0 name=serial0
/ip address
add address=192.168.2.10/24 interface=ether1-lan network=192.168.2.0
add address=192.168.250.199/24 interface=ether9-wan network=192.168.250.0
/ip firewall filter
add chain=forward dst-port=25 protocol=tcp
/ip firewall nat
add action=netmap chain=dstnat comment=Mail dst-port=25 in-interface=ether9-wan protocol=tcp to-addresses=192.168.2.11 to-ports=25
/ip upnp
set allow-disable-external-interface=no
/lcd interface
set sfp1 interface=sfp1
set ether1-lan interface=ether1-lan
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9-wan interface=ether9-wan
set ether10 interface=ether10
[admin@MikroTik] >

Вот так выглядет вывод команды telnet 192.168.250.199 25 в окне командной строки:
Изображение

а вот /export compact c реальнsм белым адресом, я его в конфиге буквами заменил:
 /export compact ip=real_ip
[admin@MikroTik] > /export compact
# jan/02/1970 00:02:04 by RouterOS 6.12
# software id = 2XLL-K4UU
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-lan
set [ find default-name=ether8 ] name=ether8-vpn
set [ find default-name=ether9 ] name=ether9-wan
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/port
set 0 name=serial0
/ip address
add address=192.168.2.10/24 interface=ether1-lan network=192.168.2.0
add address=AA.BB.CC.DD/29 interface=ether9-wan network=AA.BB.CC.DA
/ip firewall filter
add chain=forward dst-port=25 protocol=tcp
/ip firewall nat
add action=netmap chain=dstnat comment=Mail dst-port=25 in-interface=ether9-wan \
protocol=tcp to-addresses=192.168.2.11 to-ports=25
/ip upnp
set allow-disable-external-interface=no
/lcd interface
set sfp1 interface=sfp1
set ether1-lan interface=ether1-lan
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9-wan interface=ether9-wan
set ether10 interface=ether10
[admin@MikroTik] >

И вот так выглядет телнет:
Изображение


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Проверьте на конечной машине наличие входящих пакетов. Wireshark-ом например.


Ответить