Перестал работать проброс портов mikrotik

Перестал работать проброс портов mikrotik

Здравствуйте, уважаемые форумчане!
Понимаю, что эта тема поднималась и обсуждалась уже не раз, и может быть вы мне подскажете, где было решение подобной проблемы.
Читать не ленюсь, но уже учитался, на сколько я понял пробросить порт несложно, но вот что-то не работает.

Собственно основной текст:
В один прекрасный момент у меня пропал доступ к внутренним портам 4490 и 9999 из внешнего интернета.
Не могу сказать — до или после обновления прошивки до 6.33, так как не использовал подключение из вне некоторое время.
Не разбираюсь в процессе прохождения пакетов через роутер.
Подскажите пожалуйста: Как отследить пакеты на нужный порт, на каком этапе они дропаются, и доходят ли до роутера?
Из вне подключаюсь к двум разным серверам RDP. Сеть около 25 компютеров + различные временные dhcp клиенты.
Сервера статика 192.168.1.200:4490 и 201:9999
Возможно ли, что порты заблокированны у провайдера? Ростелеком.
Пробовал подключаться по ip адресу выданному провайдером
Пробовал полностью отключать все правила в фильтре, оставался только маскарадинг.

# nov/17/2015 19:11:40 by RouterOS 6.33
# software/>#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=»LAN DCHCP»
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1480 max-mtu=\
1480 mrru=1600 name=pppoe-out1 password=123 user=123

/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=»LAN DCHCP»

/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.209

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2 name=dhcp1

/queue simple
add burst-limit=768k/3M burst-threshold=512k/1M burst-time=10s/10s max-limit=\
512k/1M name=192.168.1.34 target=192.168.1.34/32

/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=77.88.8.8,77.88.8.1 gateway=192.168.1.1 \
netmask=24

/ip dns
set cache-max-ttl=0s query-server-timeout=0ms query-total-timeout=0ms \
servers=77.88.8.8,77.88.8.1

/ip dns static
add address=77.88.8.8 name=77.88.8.8
add address=77.88.8.1 name=77.88.8.1

/ip firewall filter
add action=drop chain=input comment=»drop invalid connections» \
connection-state=invalid
add chain=forward dst-port=4490 in-interface=pppoe-out1 protocol=tcp
add chain=forward dst-port=9999 in-interface=pppoe-out1 protocol=tcp
add chain=input comment=»allow related connections» connection-state=related
add chain=input comment=»allow established connections» connection-state=\
established
add chain=input comment=»# local input» in-interface=!pppoe-out1 src-address=\
192.168.1.0/24
add action=drop chain=input comment=»drop everything else»
add chain=output comment=»accept everything to internet» out-interface=\
pppoe-out1
add chain=output comment=»accept everything to non internet» out-interface=\
!pppoe-out1
add chain=output comment=»accept everything»
add action=drop chain=forward comment=»drop invalid connections» \
connection-state=invalid
add chain=forward comment=»allow already established connections» \
connection-state=established
add chain=forward comment=»allow related connections» connection-state=\
related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=forward comment=»accept from local to internet» in-interface=\
!pppoe-out1 out-interface=pppoe-out1
add action=drop chain=forward comment=»drop everything else»
add action=drop chain=tcp comment=»deny TFTP» dst-port=69 protocol=tcp
add action=drop chain=tcp comment=»deny RPC portmapper» dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment=»deny RPC portmapper» dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment=»deny NBT» dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment=»deny cifs» dst-port=445 protocol=tcp
add action=drop chain=tcp comment=»deny NFS» dst-port=2049 protocol=tcp
add action=drop chain=tcp comment=»deny NetBus» dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment=»deny NetBus» dst-port=20034 protocol=tcp
add action=drop chain=tcp comment=»deny BackOriffice» dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment=»deny DHCP» dst-port=67-68 protocol=tcp
add action=drop chain=udp comment=»deny TFTP» dst-port=69 protocol=udp
add action=drop chain=udp comment=»deny PRC portmapper» dst-port=111 \
protocol=udp
add action=drop chain=udp comment=»deny PRC portmapper» dst-port=135 \
protocol=udp
add action=drop chain=udp comment=»deny NBT» dst-port=137-139 protocol=udp
add action=drop chain=udp comment=»deny NFS» dst-port=2049 protocol=udp
add action=drop chain=udp comment=»deny BackOriffice» dst-port=3133 protocol=\
udp
add chain=icmp comment=»echo reply» icmp-options=0:0 protocol=icmp
add chain=icmp comment=»net unreachable» icmp-options=3:0 protocol=icmp
add chain=icmp comment=»host unreachable» icmp-options=3:1 protocol=icmp
add chain=icmp comment=»host unreachable fragmentation required» \
icmp-options=3:4 protocol=icmp
add chain=icmp comment=»allow source quench» icmp-options=4:0 protocol=icmp
add chain=icmp comment=»allow echo request» icmp-options=8:0 protocol=icmp
add chain=icmp comment=»allow time exceed» icmp-options=11:0 protocol=icmp
add chain=icmp comment=»allow parameter bad» icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment=»deny all other types»
add action=drop chain=forward comment=»drop (2) everything else»

Читайте также:  Cisco catalyst 2900 xl характеристики

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=4490 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.200 to-ports=4490
add action=dst-nat chain=dstnat dst-port=9999 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.201 to-ports=9999
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.1.0/24

/system clock
set time-zone-name=Europe/Moscow

/tool romon port
set [ find default=yes ] cost=100 forbid=no interface=all secrets=»»

Источник

Проброс портов на Mikrotik что-то не работает

Есть микротик, который держит связь со внешним миром с помощью пппое (белый айпишник), есть через свитч от него комп, который держит связь со внешним миром через ппп (серый айпишник). Оба в одной подсети 192.168.1.0/24.
Потребовалось из другого места попадать на комп. На микротике настроил no-ip (работает, адрес обновляет, на пинги отвечает), в файрволе на микротике в итоге оказались следующие правила (мне нужен ssh, микротик ещё и интернеты раздаёт):

а где правила в микротике для FORWARD ?

Упс, а надо что ли? Ни в одной инструкции не сказано. Не подскажешь, как оформить?

вообще, в /ip firewall mangle пусто

в /ip firewall mangle оперируют маркировкой пакетов, соединений в /ip firewall filter посмотрите

кстати, а какое имя интерфейса мне указывать? Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1.

У меня от так работает без проблем:

Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1.

Назови по-другому, и не будет так странно.

есле поглядеть схему прохождения пакетов то ясно видно что после dst-nat попадаем напрмую в filter 🙂

кстати, а какое имя интерфейса мне указывать? Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1.

пофигу , как назавешь так и полетит 🙂

Блин, точно! Я на кой-то хрен указал in. interface в правиле NAT, дубовая моя голова. Теперь хотя бы не таймаут, а микротик. Что я ещё забыл?

Почему action=netmap , а не action=dst-nat ? И что в /ip firewall filter ?

netmap — одна бабка сказала, что лучше. Поменял на dst-nat, ситуация не изменилась.

Показывай таблицу nat и filter

уберите ! перед интерфейсом pppoe-out1:)

filter чуть выше, nat вот

ок, но так было в инструкции, ссылку на которую вы мне дали)

ether2 по ссылке это скорее локальный интерфейс

Смотри мой пример, dst-address= тоже надо

это есле внешка статика 🙂

а у меня нифига не статика, да.

Например я так пробрасывал порты, все работает. Но для доступа в локалку, имхо, удобнее впн поднять на том же микротике.

ну и смотри на микротике, как у тебя трафик бегает в файрволе. Если на подключение на 22 порт отвечает микротик, значит в nat что-то не так.

Чорт, что ж я раньше-то про VPN не знал! Щас по этой статье настроил всё за пять минут и всё работает идеально! Охренеть! Наконец-то на работу ходить не надо :))
Спасибо огромное!

Читайте также:  Управление маршрутизатором что это такое

проброс 80-го порта

Доброго времени суток! Подскажите пожалуйста как правильно пробросить 80-ый порт на микротике. Суть задачи такова: Есть локальный ПК с веб-сервером на 80-ом порту, нужно показать его в мир. В NAT firewall есть правило masquarade и dst-nat проблема в том что с интернета зайти в браузер на 80-ый порт получается и все ок, а вот с локалки, когда я вбиваю домен (который уже прикручен на мой внешний айпи) у меня подвисает страница и нету никакого ответа.

прочитал — добавил правило маскарада на all ethernet не помогло, как не пускало, так и не пускает

прошивка OS 6.18

У меня дома всё работает примерно так:

когда буду дома, могу посмотреть, как это через вебморду выглядит

если прошивка 6-ая то думаю веб не отличается, буду благодарен за скрины веб-формы

разобрался в твоем посте — поставил, все работает! спасибо огромное! в мануалах на сайте микротика они не указывали что нужно сделать dst-address-type=local вот в этом и была вся проблема с моей стороны

0 chain=srcnat action=masquerade out-interface=Internet-main log=no log-prefix=«»

1 chain=dstnat action=netmap to-addresses=192.168.10.10 protocol=tcp dst-port=37778 log=yes log-prefix=«»

2 chain=srcnat action=masquerade protocol=tcp src-address=192.168.10.0/24 log=no log-prefix=«»

3 chain=dstnat action=dst-nat to-addresses=192.168.10.10 protocol=tcp dst-address-type=local dst-port=37778 log=no log-prefix=«»

ether2 — порт подключения копьютера ether6 — порт WAN Internet-main — PPPoE соединение (динамический адрес 31.23.252.70) В логе видим: dstnat: in:Internet-main out: (none), proto TCP (SYN), 93.178.90.91:49540 -> 31.23.252.70:37778 len 52

Источник

MikroTik.by

For every complex problem, there is a solution that is simple, neat, and wrong.

[РЕШЕНО через костыль] Перестаёт работать dst-nat

[РЕШЕНО через костыль] Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 18:29

Доброго времени суток.
Имеем следующую конфигурацию:

Входящий RB3011, за ним стоит RB2011 (остальные в данной проблеме не важны и не участвуют)
Имеем WAN — 123.123.123.123
LAN 192.168.0.0/24
RB3011 — LAN — 192.168.0.1
RB2011 — 192.168.0.2

На RB2011 подняты sstp, l2tp,pptp серверы
На RB3011 подняты dst-nat на RB2011 по портам этих серверов и находятся в самом верху правил (без passrouth)

В фаерволе что на RB3011, что на RB2011 разрешены gre и даныые порты серверов и подняты на самый верх

Ситуация — связка работает, авторизация проходит на RB2011, но через некоторое время (иногда час иногда 3-е суток) dst-nat прекращает работать и, хоть счётчик пакетов увеличивается, пакеты до RB2011 не долетают.
В логах RB3011 — видно что правило отработало, в логах RB2011 девственная чистота.
После ребута RB3011 всё становится нормально, но опять до какого-то времени.

Часть настроек участвующих в данной реализации
RB3011

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 23 сен 2018, 21:19

Sir_Prikol писал(а): ↑ 23 сен 2018, 18:29 через некоторое время (иногда час иногда 3-е суток) dst-nat прекращает работать и, хоть счётчик пакетов увеличивается, пакеты до RB2011 не долетают.
В логах RB3011 — видно что правило отработало, в логах RB2011 девственная чистота.

Смотреть в лог, на какой интерфейс улетает пакет — мало ли, другая конфигурация на это может влиять.

Или Tools -> Torch подтвердить, что пакет действительно улетает с 3011 на 2011. Посмотреть, что он на 2011 не появляется тем же Torch’ем. Роутеры соединены патчкордом порт в порт?

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 21:48

RB3011

RB2011

Но все сервера молчат
192.168.7.2=192.168.0.2

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 21:57

Читайте также:  Роутер huawei b683 настройка

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 23 сен 2018, 22:03

Log для NAT не показывает out-interface, поэтому я и писал про filter forward. Но тут проблема может быть с обратным пакетом, раз до 2011 SYN’ы долетают. В общем, Torch и log=yes в помощь — смотреть полный путь пакета от клиента к 3011, 2011 и обратно. А вот где пакет пропадёт — там и смотреть, почему.

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 22:17

Вот и я думаю что проблема именно с обраткой, но в моей маршрутизации такого наверчено, что без бутылки новую добавить — не совсем можно. Проще нетмапом сделать А ещё проще выдать белый ip на тот самый 2011 и забыть как страшный сон, но сам принцип.
В общем фигнёй страдает именно RB3011, так как с 3011 на 2011 спокойно проходит авторизация, а снаружи, через 3011, нифига. И с любого другого устройства внутри сети — работает

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 24 сен 2018, 10:58

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 24 сен 2018, 11:06

Пакет отслежен, он теряется в OSPF. А вот тут засада. Сам по себе OSPF начинает мозг компосировать, если я ему прописываю /24 маршрутизацию, а по sstp выдаю /30, меняю в OSPFна /30, маршрутизация ложится вообще. Сегодня донапишу отказ от OSPF. Перелопачу полную маршрутизацию руками. Проще рутинг марками сделать, нежели на автомат полагаться.

UPD: Вся эта хрень начинает корректно работать на дефолтных маршрутах, вот осталось заставить понимать пакет, чтоб он уходил туда-же откуда пришёл. Или, как вариант, всё-таки выделить отдельный IP и отдельный канал для этих соединений, что реально, так как три канала аплинка, один отдать под sstp,l2tp,pptp и будет счастье

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 24 сен 2018, 14:19

Вообще ничего не понял

Что значит «теряется в OSPF»? OSPF строит таблицу маршрутизации, он ничего с пакетами сам не делает.

Что значит «на дефолтных маршрутах»? «чтоб он уходил туда-же откуда пришёл» — это Policy Routing в помощь.

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 24 сен 2018, 14:48

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 24 сен 2018, 17:36

Как я и предупреждал, не отрабатывает arp на RB3011, в связи с этим шлюз кажется доступным, а пакеты теряются Решил эту проблему по другому, через cname и /ip cloud

Так как у меня везде белая сеть, то через CNAME просто привязал ddns микротика на свой поддомен, и коннектится можно по имени, а не по ip

Сделал простейший скрипт, который обновляет в /ip cloud нужный мне аплинк и дальше простым нетмапом.

Кому интересен скрипт —

Далее простой нетмап на нужный ip тоже скриптом
Вот как-то так

З.Ы. Странность с маршрутами была ещё следующая, чек маршрутов через пинг и арп были сделаны по разному (признаю, мой косяк) арп был сделан на pppoe клиентов (2шт) а пинг был сделан на физический интерфейс. Может из-за этого глючило, не знаю, сейчас RB3011 был в ребуте, соответственно всё поднялось, когда отрубится — буду искать дальше.
В принципе, у меня задача стоит выделить для sstp один единственный канал, остальные это выход в мир. Сделано это из-за того, чтобы можно было закконектится в любом случае, даже при падении промежуточных каналов связи. Аплинк для sstp,l2tp,pptp — магистральный, у него аптайм гарантирован, всместе со скоростью

Источник

Adblock
detector