Перестал работать проброс портов из вне. Что не так?

Обсуждение оборудования и его настройки
Ответить
mrsam
Сообщения: 3
Зарегистрирован: 17 ноя 2015, 18:05

Здравствуйте, уважаемые форумчане!
Понимаю, что эта тема поднималась и обсуждалась уже не раз, и может быть вы мне подскажете, где было решение подобной проблемы.
Читать не ленюсь, но уже учитался, на сколько я понял пробросить порт несложно, но вот что-то не работает.

Собственно основной текст:
В один прекрасный момент у меня пропал доступ к внутренним портам 4490 и 9999 из внешнего интернета.
Не могу сказать - до или после обновления прошивки до 6.33, так как не использовал подключение из вне некоторое время.
Не разбираюсь в процессе прохождения пакетов через роутер.
Подскажите пожалуйста: Как отследить пакеты на нужный порт, на каком этапе они дропаются, и доходят ли до роутера?
Из вне подключаюсь к двум разным серверам RDP. Сеть около 25 компютеров + различные временные dhcp клиенты.
Сервера статика 192.168.1.200:4490 и 201:9999
Возможно ли, что порты заблокированны у провайдера? Ростелеком.
Пробовал подключаться по ip адресу выданному провайдером
Пробовал полностью отключать все правила в фильтре, оставался только маскарадинг.

Что не так!!??

Конфигурация:
 Конфигурация:

# nov/17/2015 19:11:40 by RouterOS 6.33
# software id = WP2Z-FHVP
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="LAN DCHCP"
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1480 max-mtu=\
1480 mrru=1600 name=pppoe-out1 password=123 user=123

/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment="LAN DCHCP"

/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.209

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2 name=dhcp1

/queue simple
add burst-limit=768k/3M burst-threshold=512k/1M burst-time=10s/10s max-limit=\
512k/1M name=192.168.1.34 target=192.168.1.34/32

/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=77.88.8.8,77.88.8.1 gateway=192.168.1.1 \
netmask=24

/ip dns
set cache-max-ttl=0s query-server-timeout=0ms query-total-timeout=0ms \
servers=77.88.8.8,77.88.8.1

/ip dns static
add address=77.88.8.8 name=77.88.8.8
add address=77.88.8.1 name=77.88.8.1

/ip firewall filter
add action=drop chain=input comment="drop invalid connections" \
connection-state=invalid
add chain=forward dst-port=4490 in-interface=pppoe-out1 protocol=tcp
add chain=forward dst-port=9999 in-interface=pppoe-out1 protocol=tcp
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=\
established
add chain=input comment="# local input" in-interface=!pppoe-out1 src-address=\
192.168.1.0/24
add action=drop chain=input comment="drop everything else"
add chain=output comment="accept everything to internet" out-interface=\
pppoe-out1
add chain=output comment="accept everything to non internet" out-interface=\
!pppoe-out1
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid
add chain=forward comment="allow already established connections" \
connection-state=established
add chain=forward comment="allow related connections" connection-state=\
related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=forward comment="accept from local to internet" in-interface=\
!pppoe-out1 out-interface=pppoe-out1
add action=drop chain=forward comment="drop everything else"
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" \
icmp-options=3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=forward comment="drop (2) everything else"

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=4490 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.200 to-ports=4490
add action=dst-nat chain=dstnat dst-port=9999 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.201 to-ports=9999
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.1.0/24

/system clock
set time-zone-name=Europe/Moscow

/tool romon port
set [ find default=yes ] cost=100 forbid=no interface=all secrets=""


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А Вы попробуйте эти порты на инпуте открыть, что будет? Вы же к роутеру обращаетесь по этим портам, а уж он потом переадресует.

Я тут сам голову что-то никак не соберу в кучу сегодня. Роутер с обычным конфигом:
1 порт - dhcp-client получаем адрес из сети 10.7.9.151 (сеть 10.7.8.0/16)
2, 3, 4 порты и wlan собраны в бридж и за маскарадом прекрасно себя чувствуют в локалке 192.168.88.0/24
5 порт собран с 1 портом во второй бридж и комп за ним получает адрес из внешней сети 10.7.9.183( нужно, чтобы админ сверху особо не суетился и не выставлял претензий по поводу "лишних" точек)

Всё это здорово работает, кроме одного. Во внешней сети жестко порезаны порты, и я с компа за 5 ethernet не могу попасть на роутер :ne_ne_ne: Понимаю, что вся соль в маршрутах, но вот как-то не могу собрать это дело в кучу никак. Как бы мне прописать это дело, чтобы попадать на роутер минуя внешнюю сеть с компа за ethernet 5


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
mrsam
Сообщения: 3
Зарегистрирован: 17 ноя 2015, 18:05

К сожалению не подскажу Вам, так как глубоко не разбираюсь в вопросе. (учусь понемногу на реальной сетке пока есть возможность)

На всякий случай добавлю, что роутер стоит за ADSL роутером в режиме бриджа.

Добавил в самое начало фильтра строчку:
add chain=input dst-port=4490 in-interface=pppoe-out1 protocol=tcp

Ни чего не изменилось. 0 пакетов принято 0 отправленно. Интернет работает. Тимвьювер работает. ДНС 77.8.8.8 (не знаю зависит ли от них что-то)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

mrsam писал(а):Пробовал подключаться по ip адресу выданному провайдером


IP выдан на бумаге??? А в статусе PPPoE подключения на микротике вы
видите именно этот IP???
Если выключить все правила в фаерволле, ваш микротик по этому IP пингуется???
Причем не из вашей локальной сети, а из внешней сети, из дома, например.

Попробуйте с серверов проверить порты
http://portscan.ru/


Попробуйте включить в микротике IP cloud. Если внизу справа в окне вам напишут, что запрос пришел от другого IP, то это значит, что вы находитесь на NAT и услуга фиксированный IP вам не предоставляется (а вы ее заказывали???). А значит по этому IP вы подключится не сможете.

Но сможете в зоне действия провайдера (если на работе и дома один провайдер, например) подключаться по длинному имени, который вам выдал IP Cloud.

И еще: что у вас за антивирусы и фаерволлы на самих серверах? Они там все режут безбожно. В первую очередь надо их проверять.


mrsam
Сообщения: 3
Зарегистрирован: 17 ноя 2015, 18:05

IP динамический. Внешний адрес смотрел через https://2ip.ru.
В свойствах PPPoE действительно адрес отличается от того, что выдал https://2ip.ru.
Точней там два адреса:
Local Aadress 100.126.***.***
Remote Address 172.31.***.***

Для подключения использую http://www.dnsexit.com
Провайдер сменил технологию? Покупать статику?
На серверах нет антивирусов и файрвалов.
Всё работало несколько лет, не могу понять почему перестало.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

У меня тоже Ростелеком.

Адреса на 100 - это серые адреса, это все теперь работает за NAT.

Вам нужно покупать фиксированный IP, по цене было 200 руб разовый платеж, 20 руб каждый месяц.

У меня везде Ростелеком. Поэтому я могу из дома, например, на работу по серому IP зайти.
И даже через IP cloud, микротик умеет регистрировать в этой службе локальный адрес (то есть серый). И в зоне Ростелекома можно даже с динамическим серым адресом всем этим пользоваться.


Ответить