Проброс RDP

Обсуждение оборудования и его настройки
Ответить
ivan.martynov
Сообщения: 1
Зарегистрирован: 28 дек 2018, 09:01

28 дек 2018, 09:43

Маршрутизатор имеет конфигурацию представленную ниже, попытался настроить проброс для RDP, пакеты в NAT идут вижу в правилах в Winbox, а подключения не происходит, в FilterRules правило видимо не работает, так как пакеты там видел один раз и то не помню в какой конфигурации, по моему, когда Dst порт указал 3389 (кто-то явно ломился без меня), поэтому вернул на то, как сделал изначально. Как заставить это работать? при этом когда работают FilterRules ломиться пытаеться 4 раза, вижу по логам, когда все правила в FilterRules отключаю, стучится один раз. В лог от правила dst-nat попадает что-то типа: dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN) XX.XX.XX.XX:47785->188.168.XX.XXX:4565, len60, в локалке по RDP цепляется.

Код: Выделить всё

RouterOS 6.43.4
CCR1009-7G-1C-1S+
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce name=\
    channel1
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ceee name=\
    channel2
/interface bridge
add fast-forward=no name=bridge1
/interface ethernet
set [ find default-name=ether1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=combo1 name=pppoe-out1 \
    password=XXXXXXXX user=XXXXX
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=no name=\
    datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=5m name=security1 passphrase=12345678
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2 \
    security=security1 ssid=TEST.COM tx-chains=0,1,2
add channel=channel2 datapath=datapath1 mode=ap name=cfg2 rx-chains=0,1,2 \
    security=security1 ssid=TEST.COM tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.100-192.168.1.199
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 lease-time=3d name=\
    server1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg1
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg2
/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.12 client-id=1:cc:2d:e0:xx:xx:xx mac-address=\
    CC:2D:E0:XX:XX:XX server=server1
add address=192.168.1.11 client-id=1:cc:2d:e0:xx:xx:xx mac-address=\
    CC:2D:E0:XX:XX:XX server=server1
add address=192.168.1.13 client-id=1:cc:2d:e0:xx:xx:xx mac-address=\
    CC:2D:E0:XX:XX:XX server=server1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.8,192.168.1.1 domain=\
    test.com gateway=192.168.1.1 netmask=24 ntp-server=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept established connection" \
    connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connection" \
    connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Local Input" in-interface=bridge1 \
    src-address=192.168.1.0/24
add action=accept chain=input in-interface=ether7
add action=accept chain=forward comment="Accept RDP" dst-address=\
    188.168.XX.XXX dst-port=4565 in-interface=pppoe-out1 log=yes protocol=tcp
add action=drop chain=input comment="Drop invalid connection" \
    connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=pppoe-out1
add action=drop chain=input in-interface=ether1
add action=accept chain=forward comment=\
    "Accept forward from local to internet" in-interface=bridge1 \
    out-interface=pppoe-out1
add action=accept chain=forward in-interface=bridge1 out-interface=ether1
add action=drop chain=forward comment="Drop all other forward"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat disabled=yes out-interface=ether1
add action=dst-nat chain=dstnat comment=RDP dst-address=188.168.XX.XXX \
    dst-port=4565 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=\
    192.168.1.20 to-ports=3389
/ip service
set telnet address=192.168.1.0/24
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/lcd
set color-scheme=dark default-screen=stats
/system clock
set time-zone-name=Asia/Xxxxx
/system identity
set name=gateway-01
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/system ntp server
set enabled=yes
/system routerboard settings
set silent-boot=no
/system scheduler
add interval=3d name=autoreboot on-event="/system reboot" policy=reboot \
    start-date=nov/26/2018 start-time=03:00:00


Ответить