Создание DMZ и проброс портов

[DrMini]

2 дня назад приобрели на работе RB750Gr3. С продукцией компании Mikrotik знаком второй день. Требования от начальства были заблокировать социальные сети. Это получилось. Но "всплыли" пара подводных камней. Не выходит подключаться из вне к одному компьютеру находившемуся в демилитаризованной зоне (DMZ) и к двум видеорегистраторам. В сети всё нормально.
Подключение: PPoE со статическим адресом
Прочитал за выходные кучу статей. Пытался пробрасывать порты и с дефолтной настройкой маршрутизатора и с "чистой" настройкой.
Помогите пожалуйста разобраться.

[Kato]

начните с текущего конфига

[DrMini]

Прошу прощения за долгий ответ.
Вот конфигурация. Надеюсь я Вас правильно понял. Опыт с Mikrotik`ами менее 3-х дней.

Код: Выделить всё

# nov/20/2017 09:00:54 by RouterOS 6.40.5
# software id = T3C1-24TA
#
# model = RouterBOARD 750G r3
# serial number = 6F3807D04E85
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=********* service-name=Internet use-peer-dns=yes user=********
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    ether2-master name=defconf
/dude
set enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=\
    192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:c8:3a:35:15:31:e0 comment="TENDA N3" \
    mac-address=C8:3A:35:15:31:E0 server=defconf
add address=192.168.1.10 always-broadcast=yes client-id=1:14:da:e9:c:58:4c \
    mac-address=14:DA:E9:0C:58:4C server=defconf
add address=192.168.1.100 client-id=1:1c:1b:d:ae:77:6b mac-address=\
    1C:1B:0D:AE:77:6B server=defconf
add address=192.168.1.3 client-id=1:10:fe:ed:6e:e1:3d mac-address=\
    10:FE:ED:6E:E1:3D server=defconf
add address=192.168.1.17 always-broadcast=yes client-id=1:0:26:18:e8:2f:cd \
    mac-address=00:26:18:E8:2F:CD server=defconf
add address=192.168.1.14 client-id=1:74:d4:35:1b:c2:b7 mac-address=\
    74:D4:35:1B:C2:B7 server=defconf
add address=192.168.1.15 client-id=1:74:d4:35:1b:c2:b5 mac-address=\
    74:D4:35:1B:C2:B5 server=defconf
add address=192.168.1.55 mac-address=74:D4:35:1A:56:15 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
add address=192.168.1.1 name=time.windows.com
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=SVOBODA src-address=192.168.1.10
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add action=drop chain=forward comment=OK.ru dst-address=5.61.23.11 time=\
    7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward dst-address=217.20.147.1 time=\
    7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward dst-address=217.20.155.13 time=\
    7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward comment=VK.com dst-address=87.240.165.80 time=\
    7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward dst-address=95.213.11.181 time=\
    7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward comment=FACEBOOK.com dst-address=157.240.20.15 \
    time=7h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward comment=TWITTER.com dst-address=104.244.42.1 \
    time=7h-17h,mon,tue,wed,thu,fri
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=dst-nat chain=dstnat in-interface=pppoe-out1 to-addresses=\
    192.168.1.55
add action=dst-nat chain=dstnat dst-port=81,34581 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.201
add action=netmap chain=dstnat disabled=yes dst-port=34581 protocol=tcp \
    to-addresses=192.168.1.201 to-ports=34581
add action=netmap chain=dstnat dst-port=34581 protocol=udp to-addresses=\
    192.168.1.201 to-ports=34581
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=pppoe-out1
/ip service
set www port=88
set ssh address=192.168.1.0/24
set winbox address=192.168.1.0/24
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.228
/system ntp server
set broadcast=yes enabled=yes
/system routerboard mode-button
set enabled=no on-event=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master

[DrMini]

Гуру взываю к Вам. Может есть какие мысли? У меня ничего не получается. Всё делаю, как вот в этом посте https://forummikrotik.ru/viewtopic.php?t=5432 но... ах и увы.

[Vlad-2]

Гуру взываю к Вам. Может есть какие мысли? У меня ничего не получается. Всё делаю, как вот в этом посте https://forummikrotik.ru/viewtopic.php?t=5432 но... ах и увы.

У Вас одни эмоции, а по-делу?!
Что не получается? Где логи, описания что происходит?

1) в конфиге вижу что он всё же заводской, сразу говорю, лучше на чистый роутер
руками всё делать.

2) у Компьютеров на которые идёт проброс = у них должен быть установлен шлюз - локальный адрес микротика.

3) Также, меня смущают Ваши некоторые правила:

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=pppoe-out1 to-addresses=\
    192.168.1.55

Всё же я бы явно задал порт!

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=81,34581 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.201

Опять же, разделите правило на два, начните с простого.
Каждый порт - отдельное правило. Опять же, явно надо задать и
порт назначения. Так будет и верно и красиво и логично.

Ну и общий вопрос: по правилам проброса счёт правил работает, показания не нулевые хотя бы?
Возьмите один сервис, один адрес и до-конца попытайтесь его настроить и увидеть снаружи,
и уже потом делать кучу других пробросов.
Ну и на время тестов отключите ограничения другие, вдруг они мешают и "режут" запросы!?

[DrMini]

1) в конфиге вижу что он всё же заводской, сразу говорю, лучше на чистый роутер
руками всё делать.

До выходных не получится. Работают круглые сутки.

2) у Компьютеров на которые идёт проброс = у них должен быть установлен шлюз - локальный адрес микротика.

Шлюз стоит 192.168.1.1

3) Также, меня смущают Ваши некоторые правила:

Это я экспериментировал целый день и когда наткнулся на Ваш форум то и скинул конфигурацию.

Каждый порт - отдельное правило

Я так и делал но потом наткнулся на статью, где предлагали делать так. Попробовал ничего не вышло.

Ну и общий вопрос: по правилам проброса счёт правил работает, показания не нулевые хотя бы?

Нет не нулевые. И пакеты и байты бегают.

Ну и на время тестов отключите ограничения другие, вдруг они мешают и "режут" запросы!?

Отключить в Fierwall`e или NAT`e?

Где логи,

Подскажите пожалуйста, где это посмотреть.
P.S. спасибо, что ответили. До 18:00 (МСК) отвечать быстро не смогу. Работаю. На пару дней договорился с товарищем возьму у него RB750r2. Думаю для настройки по моему вопросу нет никакой разницы.

[Vlad-2]

при настройке ВАЖНО!
1) правильно прописывать порты и адреса
2) разделять порты(один порт, одно правило), я ещё делю по протоколам, и создаю на каждый порт по два правила (UDP и TCP)
3) проверять что на том компьютере, куда мы будем делать проброс, не стояла защита(файрволы, антивири,
ибо антивирусники хорошо видят что идёт запрос с внешки)
4) проверять проброс порта надо с другого устройства НЕ подключённого к Вашему этому же подключению,
то есть надо брать ноутбук, подключать его через вифи на телефон, на телефоне включать режим Точки Доступа
и реально снаружи пытаться удариться по открытым/проброшенным портам.
5) Проверяем ещё раз(а лучше 2 раза) на ошибки/опечатки.

[DrMini]

Напишите пожалуйста код на моём примере для проброса порта видеорегистратора:
IP : 192.168.1.201
Маска подсети : 255.255.255.0
Шлюз : 192.168.1.1
Первичный DNS: 192.168.1.1
Вторичный DNS: 8.8.8.8
Медиа порт : 34581
HTTP-порт : 81
Я делал правила:

Код: Выделить всё

chain=distant protocol=tcp dst.port=81 action=dst-nat(и пробовал делать ещё action=hetmap) to addresser=192.168.1.201 to ports=81

Код: Выделить всё

chain=distant protocol=tcp dst.port=34581 action=dst-nat(и пробовал делать ещё action=hetmap) to addresser=192.168.1.201 to ports=34581

Код: Выделить всё

chain=distant protocol=udp dst.port=81 action=dst-nat(и пробовал делать ещё action=hetmap) to addresser=192.168.1.201 to ports=34581

Не работает
Прошу прощения за мой "Терминальный язык". Знаю, что не правильно но лишь бы было понятно Вам. Мне легче делать в GUE.

[DrMini]

и увидеть снаружи,

Вышел в наружу и о чудо. Всё работает. Я два дня настраивал из своей сети.
СПАСИБО!!!

[Vlad-2]

и увидеть снаружи,

Вышел в наружу и о чудо. Всё работает. Я два дня настраивал из своей сети.
СПАСИБО!!!

Не за что!
Главное верить и следовать инструкциям.

Чтобы работало и изнутри, это уже отдельная глава познаний микротика.
(искать по тегу: hairpin nat)