Есть два микротика 1-й прошивка 6.46.2, 2-й прошивка 6.46.4. На первом микротик доступен извне как по вебу, так и по винбоксу, второй же нет. IP Services - у обоих включен веб и winbox. У первого (6.46.2) нет правил в фаерволе разрешающих веб или винбокс, но тем не менее подключается без проблем. У второго (6.46.4) есть разрешающее правило, но соединение не проходит. Набор правил у обоих стандартный. Я специально указал версии прошивки, подумал может из-за этого. Помоги советом.
ip firewall filter print 1-го рутера - https://pastebin.com/4r5VMWTC ip firewall filter print 2-го рутера - https://pastebin.com/5K6GG1CH
Не понятно, надо весь конфиг смотреть. А вообще разрешать доступ из вне по веб и по winbox не самая хорошая идея и админскую учётку переименовать тоже желательно. Вот посмотрите я так фаервол настраиваю, попробуйте по аналогии: 0 chain=input action=accept connection-state=established,related log=no log-prefix="" 1 ;;; ping chain=input action=accept protocol=icmp in-interface-list=WANList log=no log-prefix="" 2 ;;; SHH chain=input action=accept protocol=tcp dst-port=49001 log=no log-prefix="" 3 ;;; drop invalid chain=input action=drop connection-state=invalid in-interface-list=WANList log=no log-prefix="" 4 chain=input action=drop in-interface-list=WANList log=no log-prefix="" 5 chain=forward action=accept connection-state=established,related log=no log-prefix="" 6 chain=forward action=accept protocol=icmp log=no log-prefix="" 7 ;;; Invalid chain=forward action=drop connection-state=invalid in-interface-list=WANList log=no log-prefix="" 8 ;;; defconf: accept in ipsec policy chain=forward action=accept ipsec-policy=in,ipsec 9 ;;; Dostup v Internet po spisku chain=forward action=accept src-address-list=internet in-interface=bridge-local out-interface-list=WANList log=no log-prefix="" 10 ;;; Zablokirova vse krome probrosa dstnat chain=forward action=drop connection-nat-state=!dstnat in-interface=bridge-local out-interface=!all-ppp log=no log-prefix=""
Я не собираюсь в целом держать 80-й порт открытым постоянно, но мне хотелось бы понять ошибку. "надо весь конфиг смотреть." - что именно скинуть чтобы вы посмотрели?
Вы ни чего не путаете случайно, я только что ваши правила в свой микрот забил и у меня как раз на оборот всё. Вот тут ip firewall filter print 2-го рутера - https://pastebin.com/5K6GG1CH всё прекрасно подключается и будет подключатся даже если выключать разрешающие правила на веб и винбокс, потому что в фаерволе нет запрещающего правила на input (для инвалид пакетов не считается). А вот тут ip firewall filter print 1-го рутера - https://pastebin.com/4r5VMWTC есть это самое правило на input, но нет разрешающих на доступ по портам к веб и к винбоксу, по этому и не пускает соответственно.
Обновил 1-й микротик до новой прошивки и ничего не изменилось. Я уже грешил было на нее. Методом тыка нашел, что есть две странности (скорее всего для меня ввиду не сильных знаний). 1) В правиле defconf: drop all not coming from LAN (скриншот - https://prnt.sc/rhcqtq) - если не добавить любой айпи (я проверил 8.8.8.8, потом 127.0.0.1) в Dst Address, то вебморда и винбокс не подключаются. В чем причина - не знаю. 2) Тут, наверняка, чисто моя ошибка, но опять не знаю причем тут это - в NAT-е было правило, в котором я не указал Dst Port для VNC подключения для одного компьютера, как я его добавил сразу вебморда и винбокс подцепили. Я даже удалил опять тут Dst Port - чтобы проверить - и да, повторно проверил и убедился что не прописав Dst Port подключение не проходит. Вот как то так. Уважаемый Tycoon, если обьяснишь в чем проблема - буду признателен. Спасибо заранее.
В терминале сделайте export, скопируйте в текстовый документ, замените там все логины, пароли, белые IP и приложите тут, надо все настройки посмотреть а то не понятно что у вас там.
Вот Спойлер: Mikrotik export [admin@MikroTik] > export # mar/17/2020 13:01:44 by RouterOS 6.46.4 # model = 2011UiAS-2HnD /interface bridge add admin-mac=74:4D:28:63:8E:12 auto-mac=no comment=defconf name=bridge /interface pppoe-client # Client is on slave interface add add-default-route=yes disabled=no interface=ether1 name=pppoe-out2 password=pppoepassw use-peer-dns=yes user=pppoeuser add add-default-route=yes disabled=no interface=sfp1 name=pppoe-out3 password=pppoepassw use-peer-dns=yes user=pppoeuser /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="Wifi" supplicant-identity="" wpa2-pre-shared-key=WiFipassw /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=\ "Wifi" ssid=Staff wireless-protocol=802.11 /interface pppoe-client # Client is on slave interface add add-default-route=yes disabled=no interface=wlan1 name=pppoe-out1 password=pppoepassw use-peer-dns=yes user=pppoeuser /ip pool add name=dhcp ranges=192.168.88.100-192.168.88.200 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf disabled=yes interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge interface=ether1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add interface=pppoe-out1 list=WAN add interface=pppoe-out2 list=WAN add interface=sfp1 list=WAN add interface=pppoe-out3 list=WAN /ip address add address=192.168.88.1/24 interface=ether1 network=192.168.88.0 /ip dhcp-client add comment=defconf interface=sfp1 add interface=wlan1 /ip dhcp-server lease add address=192.168.88.198 client-id=1:4c:72:b9:80:33:ad mac-address=4C:72:B9:80:33:AD server=defconf /ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=accept chain=forward comment=XZ add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" dst-address=127.0.0.1 in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat out-interface-list=WAN add action=dst-nat chain=dstnat comment=DVR dst-port=8000 in-interface=pppoe-out3 protocol=tcp to-addresses=192.168.88.20 to-ports=8000 add action=dst-nat chain=dstnat dst-port=8000 in-interface=pppoe-out3 protocol=udp to-addresses=192.168.88.20 to-ports=8000 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set winbox port=8291 /system clock set time-zone-name=Asia /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
Этот микротик выступает в качестве шлюза в интер? Зачем два masquerade правила в nat ? Сколько провайдеров в него подключено?
Этот микротик выступает в качестве шлюза в интер? - да Зачем два masquerade правила в nat ? - хз, видимо по дефолту создалось Сколько провайдеров в него подключено? - один
Через какой из этих трёх интерфейсов у вас подключен провайдер если он у вас один? /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out2 password=pppoepassw use-peer-dns=yes user=pppoeuser add add-default-route=yes disabled=no interface=sfp1 name=pppoe-out3 password=pppoepassw use-peer-dns=yes user=pppoeuser add add-default-route=yes disabled=no interface=wlan1 name=pppoe-out1 password=pppoepassw use-peer-dns=yes user=pppoeuser Тут у вас это всё зачем: /ip dhcp-client add comment=defconf interface=sfp1 add interface=wlan1 В Nat два masquerade, судя по настройкам вы не пользуетесь VPN, по этому первый masquerade можно выключить он не нужен. /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat out-interface-list=WAN
Там pppoe подключение, как я мог заметить активно pppoe-out3 Интернет айплинк подключен через spf модуль Да, VPN пока не используется - спасибо, отключю.
wlan1 зачем в ip dhcp-client? Вы интернет получаете точно через PPPOE? Если да то зачем spf интерфейс вот тут: /ip dhcp-client add comment=defconf interface=sfp1 add interface=wlan1 Если интернет один и он через PPPOE, то в interface list member с пометкой WAN у вас должен быть только pppoe-out3 /interface list member add comment=defconf interface=bridge list=LAN add interface=pppoe-out1 list=WAN add interface=pppoe-out2 list=WAN add interface=sfp1 list=WAN add interface=pppoe-out3 list=WAN Микротик выступает в качестве DNS, на сколько вам это нужно? Просто пока хотелось бы вычистить от всего лишнего, найти ошибки из-за которых у вас не пускает на микротик из вне, а уже потом наращивать функционал.
Спасибо за ответ. Есть еще такой вопрос. Поднял PPTP VPN на Микротике. Настроил условный форвард ДНС-ов - контроллер домена пингуется по имени и по айпи. Но репликация с АД не проходит (к примеру поменял пароль пользователя в АД, и подключил его по VPN к офисной сетке. Но он продолжает подключаться на своем компе со старым паролем, а изменение пароля от АД не получает. Да и на сетевые шары сервака не корректно подключается. В офисе нормальное подключался, через ВПН те же доступы (или некоторые из них) недоступны. Посоветуйте как это исправить?
1. Виндовой файрвол отключен. 2. ДНС айпи 192.168.0.2 - юзер при подключении ВПН так же получает этот ДНС. Что-то еще надо сделать?