Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
mohaa4444
Сообщения: 1
Зарегистрирован: 16 дек 2018, 16:43

Добрый день!
Есть железка (касса вики-мини), у нее два порта смотрят в инет, 5900 и 22.
Подключили кассу к микротику, на микротике внешний IP, касса получает адрес по DHCP от микротика. Сделан проброс порта 5900.
Удаленкой (vncviewer) подключаемся к кассе нормально.
Понадобилось зайти в папку обмена на кассе, порт 22.
Сделал точно такой же проброс, но в логах получается, что микротик, получает запрос на порт 22, и перенаправляет его на себя,
а т.к. такого пользователя, как на кассе у него нет, пароль, требуемый кассой, микротику не подходит.
Пробовал переназначить входящий порт на 5022, а затем отдавать 22 порт на кассу - не работает, опять пишет "пароль некорректный"?
хотя, если кассу подключить без микротика, то касса свой пароль воспринимает.
Подключаюсь Через WINSCP, протокол SCP 22 :ne_ne_ne:


aleksey.strejnev
Сообщения: 9
Зарегистрирован: 16 сен 2018, 19:03

А может касса UPnP поддерживает?
Тогда попробовать включить его на микротике, дальше касса сама правила создаст.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

На всякий случай сделайте временно такое решение:

1) работайте с микротиком по Винбоксу
2) на микротике зайдите в IP - Services и там отключите ssh службу микротика.
3) проверьте настройки пробросов и
Попробуйте снова зайти на кассу удалённо по порту 22.

P.S.
Пробовать (заходить) по пробросам надо - ОБЯЗАТЕЛЬНО с другого физического подключения!!!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
itgarant
Сообщения: 1
Зарегистрирован: 02 янв 2019, 11:52

Коллеги, прошу помощи.
Есть апи камера - подключена в микротик(1)(из локалки этого микротика доступ есть) - дальше - радиомост - снова микротик (2)) (т.е. микротик 1 подключен в микротик 2 радиомостом). К микротику 2 подключен сервер с микроскопом(видеонаблюдение). Естественно от сервера до камеры нужно пробросить(открыть) порты 554 80 или онвив. На микротиках разные подсети. Вопрос - как пробросить порт в ,,локальной сети,, между двумя микротиками с разными подсеттями?


Аватара пользователя
karda
Сообщения: 10
Зарегистрирован: 14 окт 2018, 00:18
Откуда: Минск
Контактная информация:

Так как обычно... Если не заработает (Если роутров не хватает) можно также scr-nat masquarade делать к видеокамере ...... :ya_hoo_oo:
Вообще, наверное, подробнее надо рассказать вам про роутинг внутри этой сети....


Hop-Z
Сообщения: 13
Зарегистрирован: 09 дек 2015, 17:32

Помогите чайнику настроить проброс портов для торентов.
После грозы слетела прошивка, восстановил роутер 951, но все бэкапы пропали.
К роутеру подключен проводной интернет, компьютер подключен к роутеру через wi-fi. Настраивал как указано тут https://lantorg.com/article/probros-portov-na-mikrotik Раньше вроде также всё делал, но сейчас порт не открывается. IP динамический, в IP-Cloud DDNS включил, ошибок не выдает.


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Чтобы не гадать, начните с конфига..


Hop-Z
Сообщения: 13
Зарегистрирован: 09 дек 2015, 17:32

Код: Выделить всё

# mar/25/2019 15:40:45 by RouterOS 6.44.1

# model = 951Ui-2HnD
# serial number = ***
/interface bridge
add mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=\
    russia3 disabled=no frequency=auto hw-protection-mode=rts-cts mode=\
    ap-bridge rate-set=configured ssid=*** supported-rates-b="" tx-power=24 \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=***
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=1d \
    name=dhcp1
/queue simple
add max-limit=2M/2M name=limited-2M target=192.168.88.252/32
add max-limit=10M/10M name=limited-10M target=192.168.88.248/32
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 interface=bridge-local network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.252 client-id=1:***:11:***:a0:***:49 comment=IP-camera \
    mac-address=78:***:DC:***:EA:*** server=dhcp1
add address=192.168.88.251 client-id=1:***:e:c4:***:de:*** comment=\
    "PlayStaton 4" mac-address=EC:***:C4:***:DE:*** server=dhcp1
add address=192.168.88.254 client-id=1:***:e9:***:da:***:c1 mac-address=\
    ***:E9:***:DA:***:C1 server=dhcp1
add address=192.168.88.248 client-id=1:***:d2:***:5c:***:14 mac-address=\
    D0:***:B0:***:95:*** server=dhcp1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=\
    ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
add action=accept chain=forward dst-address=192.168.88.254 dst-port=12111 \
    protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-address=77.222.***.*** dst-port=12111 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.88.254 to-ports=\
    12111 
add action=dst-nat chain=dstnat dst-address=77.222.***.*** dst-port=8877 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.88.254 to-ports=\
   8877 
add action=dst-nat chain=dstnat dst-address=77.222.***.*** dst-port=8877 \
    in-interface=ether1 protocol=udp to-addresses=192.168.88.254 to-ports=\
   8877 
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge-local type=internal
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set cpu-frequency=700MHz


Hop-Z
Сообщения: 13
Зарегистрирован: 09 дек 2015, 17:32

нет мыслей? :ny_tik:


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Hop-Z писал(а): 26 мар 2019, 21:57 нет мыслей? :ny_tik:
1) мне вот эти настройки не совсем понравились:

Код: Выделить всё

/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge-local type=internal
У Вас бридж сделан, значит должно быть так:

Код: Выделить всё

/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
2) И да, Вы сказали что адрес динамический, но какой он? Если он провайдером выдаётся
не реальный (не публичный), то делай/ни делай пробросы, с "мира" их не увидят.
У Вас точно на первом порту (ether1) Вы получаете адрес динамический реальный?

3) Откройте ещё файрвол, закладка NAT - и смотрите, и в этот момент запустите программу торрент,
она должна запросить порты автоматически, а роутер через UPnP должен их открыть, вот в закладке
NAT Вы должны увидеть автоматом появляться правила (у них будет буква D - динамические).
Если правила автоматически при работе приложения появляются, роутер делает всё и настроен правильно.

P.S.
А сейчас ещё раз внимательно посмотрел, UPnP Вы как бы пытались настроить, выше я дал
Вам указание по правильным настройкам, НО ГЛАВНОЕ - почему Вы его (UPnP) не включили????
В конфиге я не нашёл этот параметр
А должно быть типа такова:

Код: Выделить всё

/ip upnp
set enabled=yes
Так что зайдите в IP - UPnP и в появившемся окошке - включите его (галочку поставьте напротив Enable).
Эх...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить