Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
ncipin
Сообщения: 2
Зарегистрирован: 29 май 2019, 06:38

30 май 2019, 06:31

Erik_U писал(а):
29 май 2019, 12:34
ncipin писал(а):
29 май 2019, 11:50
Человек, который настраивал этот огород-умер.
сбросьте конфиг, и настройте с нуля.
Уже пробовал. Связь перестаёт работать даже на вход


udjin
Сообщения: 1
Зарегистрирован: 14 июн 2019, 06:46

14 июн 2019, 07:07

Здравствуйте! Помогите разобраться с проблемой. У меня есть проброс на внутренний веб (IIS) на порты 80 и 443. Настройки проброса для обоих портов одинаковые. Но по 80-му порту (http) все нормально работает, а по 443-му (https) извне доступа нет (изнутри по белому IP есть). В чем может быть причина?


Аватара пользователя
Covex
Сообщения: 7
Зарегистрирован: 15 янв 2019, 19:01

07 июл 2019, 20:59

Замучился с пробросом 21 порта.
Добавляю правило в нат, что при обращении на внешний ip по 21 порту, идет перенаправление на внутренний NAS, на котором открыт FTP (внутри локалки все работает).
Но из вне, попадаю на фтп сервис самого микротика, а на NAS не переадресовывается.
Где мог налажать ?


KARaS'b
Сообщения: 946
Зарегистрирован: 29 сен 2011, 09:16

07 июл 2019, 22:57

Covex писал(а):
07 июл 2019, 20:59
Замучился с пробросом 21 порта.
Добавляю правило в нат, что при обращении на внешний ip по 21 порту, идет перенаправление на внутренний NAS, на котором открыт FTP (внутри локалки все работает).
Но из вне, попадаю на фтп сервис самого микротика, а на NAS не переадресовывается.
Где мог налажать ?
попробуйте в ip > service сменить порт ftp микрота на отличный от 21.


Аватара пользователя
Covex
Сообщения: 7
Зарегистрирован: 15 янв 2019, 19:01

08 июл 2019, 08:36

KARaS'b писал(а):
07 июл 2019, 22:57
попробуйте в ip > service сменить порт ftp микрота на отличный от 21.
Не помогает.


Ca6ko
Сообщения: 374
Зарегистрирован: 23 ноя 2018, 11:08

08 июл 2019, 10:52

Читайте правила вверху

п. 5 Если не получается....


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
Аватара пользователя
Covex
Сообщения: 7
Зарегистрирован: 15 янв 2019, 19:01

08 июл 2019, 12:44

/interface bridge add admin-mac=******************
auto-mac=no comment=defconf name=bridge /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \ country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
ssid=Covex wireless-protocol=802.11 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=*********** \ wpa2-pre-shared-key=*************
/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=\ 192.168.88.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router.lan /ip firewall filter add action=accept chain=input dst-port=21 in-interface=ether1 protocol=tcp add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=dst-nat chain=dstnat dst-address=188.134.77.221 dst-port=21 \ in-interface=all-ethernet log=yes protocol=tcp to-addresses=192.168.88.213 \ to-ports=21 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\ out,none out-interface-list=WAN /system clock set time-zone-name=Europe/Moscow /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN


Ca6ko
Сообщения: 374
Зарегистрирован: 23 ноя 2018, 11:08

08 июл 2019, 14:04

Covex писал(а):
08 июл 2019, 12:44
/ip firewall filter add action=accept chain=input dst-port=21 in-interface=ether1 protocol=tcp add action=accept chain=input comment=\
ip firewall nat add action=dst-nat chain=dstnat dst-address=188.134.77.221 dst-port=21 \ in-interface=all-ethernet log=yes protocol=tcp to-addresses=192.168.88.213 \ to-ports=21 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\

Уважайте тех кто пытается Вам помочь. Разбирать конфиг в таком виде :ps_ih: . Используйте другой текстовый редактор Wordpad например.
У Вас два правила для обработки 21 порта верхнее срабатывает раньше и оно ведет прямо в микротик. Нужно его просто отключить


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
Аватара пользователя
Covex
Сообщения: 7
Зарегистрирован: 15 янв 2019, 19:01

08 июл 2019, 20:22

Прошу прощения. Наверное и впрямь убого получилось.

Код: Выделить всё

# jul/08/2019 20:19:12 by RouterOS 6.43.12
# software id = XP36-W4XS
#
# model = 951G-2HnD
# serial number = 418402918B0D
/interface bridge
add admin-mac=*********************  auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=Covex wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=********** \
    wpa2-pre-shared-key=*************
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=199.132.99.121 dst-port=21 \
    in-interface=all-ethernet log=yes protocol=tcp to-addresses=192.168.88.213 \
    to-ports=21
/ip upnp interfaces
add interface=ether1 type=internal
add interface=wlan1 type=internal
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Собственно вот. Теперь вообще не коннектится (снаружи я имею ввиду). Внутри локалки ftp работает.


ChipT
Сообщения: 1
Зарегистрирован: 06 авг 2019, 09:40

12 авг 2019, 12:59

Всем доброго дня !!!!
Прошу помощи!!
Есть подсеть1 10.31.60.0/24 и подсеть2 192.168.11.0/24 IP микротика 192.168.11.155
При подключени Микротика к VPN серверу подсети №1 создаётся l2tp-out подключение с присвоенным адресом 10.31.60.12 Как настроить маршрутизацию так, чтобы обе подсети видели друг друга ?
Заранее спасибо !!


Ответить