Страница 1 из 1
Доступ к морде микротика из интернета
Добавлено: 17 мар 2018, 20:06
together8
Друзья, нужна ваша правка. Вроде правило правильно создал, трафик есть, но нет коннекта.
Сделал правило в НАТ:
chain=dstnat action=dst-nat to-addresses=192.168.90.90 to-ports=8790 protocol=tcp dst-
port=8730 log=no log-prefix=""
Желаемый результат:
Пакеты, приходящие на порт 8730, должны перенаправляться на ip адрес сети 192.168.90.90 на порт 8790, это порт морды микротика. Если пытаться зайти из сети на порт 8790 - правило работает, морда микротика открывается и пакеты есть.
Но если зайти по внешнему ip адресу, то на WEB морду микротика я не попадаю. При этом, если захожу на другое устройство, для которого сделан проброс - попадаю на то устройство. Там проброс настроен аналогично, но со своими портами
Re: Доступ к морде микротика из интернета
Добавлено: 18 мар 2018, 01:35
anad
together8 писал(а): ↑17 мар 2018, 20:06
Друзья, нужна ваша правка. Вроде правило правильно создал, трафик есть, но нет коннекта.
Сделал правило в НАТ:
chain=dstnat action=dst-nat to-addresses=192.168.90.90 to-ports=8790 protocol=tcp dst-
port=8730 log=no log-prefix=""
Желаемый результат:
Пакеты, приходящие на порт 8730, должны перенаправляться на ip адрес сети 192.168.90.90 на порт 8790, это порт морды микротика. Если пытаться зайти из сети на порт 8790 - правило работает, морда микротика открывается и пакеты есть.
Но если зайти по внешнему ip адресу, то на WEB морду микротика я не попадаю. При этом, если захожу на другое устройство, для которого сделан проброс - попадаю на то устройство. Там проброс настроен аналогично, но со своими портами
Два вопроса:
- попадние в правило есть?
- у 192.168.90.90 выход в Интернет работает (если нет - используйте netmap)?
Re: Доступ к морде микротика из интернета
Добавлено: 21 мар 2018, 01:50
o12k9ks
/del
Re: Доступ к морде микротика из интернета
Добавлено: 21 мар 2018, 10:18
KARaS'b
Проверяйте фаервол, а лучше на время экспирементов отключите все правила. Если после выключения заработает, то у вас просто не было разрешающего правила.
И да, я повторил вашу задумку и обнаружил небольшой баг... Т.к. в первую очередь отрабатывают правила ната, а уже потом фаервола, то в фаерволе нужно открывать конечный порт, например - подменяем порт 80 портом 8080, тогда в фаерволе нам необходимо открыть именно 80 порт, а не 8080, при этом нам становится доступен вебинтерфейс как по порту 8080 так и по 80. Если же мы в фаерволе откроем порт 8080, то ничего работать у нас не будет. Все это потому что мы обращаемся к самому микротику, если бы это было устройство за ним, то таких проблем не обнаруживается.
Re: Доступ к морде микротика из интернета
Добавлено: 23 мар 2018, 02:15
fest1val
KARaS'b писал(а): ↑21 мар 2018, 10:18
Проверяйте фаервол, а лучше на время экспирементов отключите все правила. Если после выключения заработает, то у вас просто не было разрешающего правила.
И да, я повторил вашу задумку и обнаружил небольшой баг... Т.к. в первую очередь отрабатывают правила ната, а уже потом фаервола, то в фаерволе нужно открывать конечный порт, например - подменяем порт 80 портом 8080, тогда в фаерволе нам необходимо открыть именно 80 порт, а не 8080, при этом нам становится доступен вебинтерфейс как по порту 8080 так и по 80. Если же мы в фаерволе откроем порт 8080, то ничего работать у нас не будет. Все это потому что мы обращаемся к самому микротику, если бы это было устройство за ним, то таких проблем не обнаруживается.
Не могу полностью согласится
MikroTik RouterOS 6.40.4
В firewall открываю INPUT внешний 8980.
NAT netmap перекидываю на 80
оба правила с логированием - в логе отображаются только с работка NAT, притом что в fiewall счетчик крутится.
Re: Доступ к морде микротика из интернета
Добавлено: 15 окт 2018, 16:54
aleksandr.tokarev
Все делается проще, просто открывайте порт на Микротике, на который перенаправили WEB и все! Правило NAT не надо вообще устанавливать! Так как обращение сразу идет на Микротик и перенаправлять ничего не нужно.