Russian Users MikroTik | Форум пользователей MikroTik

сервер с rdp получает интернет от микротика на котором делаете проброс?

plin2s писал(а):Ну раз правило срабатывает, то либо вы неправильно указали внутренний адрес, либо со служой rdp у вас беда. Изнутри к rdp подцепиться получается?

Изнутри все прекрасно цепляется , даже через второй ip с внешки тоже все цепляется, может есть какая то особенность по настройке firewell rb750gl

simpl3x писал(а):сервер с rdp получает интернет от микротика на котором делаете проброс?

Интернет получает сервер rdp на который я делаю пробросс

AntonB писал(а):

plin2s писал(а):Ну раз правило срабатывает, то либо вы неправильно указали внутренний адрес, либо со служой rdp у вас беда. Изнутри к rdp подцепиться получается?

Изнутри все прекрасно цепляется , даже через второй ip с внешки тоже все цепляется, может есть какая то особенность по настройке firewell rb750gl

нету никаких особенностей. про второй ip подробнее, у вас два подключения к интернету.

AntonB писал(а):тернет получает сервер rdp на который я делаю пробросс

свой ответ и мой вопрос перечитайте =)

тему можно закрыть, вопрос снят, настроил все через 2 ip

Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

2. ip firewall nat add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.0.5 port=3389

192.168.0.5 - ip машины на которую нужно пробросить порт
195.55.55.55 - внешний ip
ether1-gateway - WAN порт

master3sid3 писал(а):Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

2. ip firewall nat add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.0.5 port=3389

192.168.0.5 - ip машины на которую нужно пробросить порт
195.55.55.55 - внешний ip
ether1-gateway - WAN порт

Возникла аналогичная проблема - проброс наружу внутреннего RDP порта, на старом микротике v3.22 всё работает, приобрели железку с 6.4, прописал то же правило публикации порта из локалки наружу - байты идут в файрволле, а эффекта никакого, может бридж виноват? На старой железке бриджа не было.

ну а зачем сейчас сделали? бридж правильно настроен? выкладывайте настроки.

simpl3x писал(а):ну а зачем сейчас сделали? бридж правильно настроен? выкладывайте настроки.

Бридж норм, заработало, когда добавил внутренний сервер с RDP в полный лист доступа фильтров файрволла. Странно, почему правило /ip firewall filter add chain=forward dst-address-list="SERVER"
protocol=tcp src-port=3389 action=accept comment="Allow RDP for group SERVER (in)" не срабатывает...
Разобрался, надо /ip firewall filter add chain=forward dst-address-list="SERVER" protocol=tcp dst-port=3389 action=accept comment="Allow RDP for group SERVER (in)"

master3sid3 писал(а):Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

Эту же функцию способен отрулить самый обычный маскарад. В Вашем случае это скорее всего означало, что основным шлюзом для девайса, на который прокидывается порт, микротик НЕ являлся. Столкнулся с подобным, когда настраивал роутеры после установки нескольких видеорегистраторов местечковой конторой.

В аттаче пример проброса порта для rdp, на версии ROS 6.4
192.168.10.0 - впн сеть для удаленного доступа, подключается к девайсу с внешним ип, в ваших случаях вместо этого адреса используем внешний ип адрес интерфейса, используемого в качестве wan.
Красным выделено (единственное!) правило - проброс самого порта
Синим - маскарадинг для девайса, основным шлюзом которого не является роутер.