Доступ к микротик извне

Тема в разделе "Вопросы начинающих", создана пользователем Рауф, 16 мар 2020.

  1. Рауф

    Рауф Новый участник

    Есть два микротика

    1-й прошивка 6.46.2, 2-й прошивка 6.46.4.

    На первом микротик доступен извне как по вебу, так и по винбоксу, второй же нет.

    IP Services - у обоих включен веб и winbox. У первого (6.46.2) нет правил в фаерволе разрешающих веб или винбокс, но тем не менее подключается без проблем.

    У второго (6.46.4) есть разрешающее правило, но соединение не проходит.

    Набор правил у обоих стандартный. Я специально указал версии прошивки, подумал может из-за этого.

    Помоги советом.
     
  2. Рауф

    Рауф Новый участник

  3. Tycoon

    Tycoon Участник

    Не понятно, надо весь конфиг смотреть. А вообще разрешать доступ из вне по веб и по winbox не самая хорошая идея и админскую учётку переименовать тоже желательно.
    Вот посмотрите я так фаервол настраиваю, попробуйте по аналогии:
    0 chain=input action=accept connection-state=established,related log=no log-prefix=""
    1 ;;; ping
    chain=input action=accept protocol=icmp in-interface-list=WANList log=no log-prefix=""
    2 ;;; SHH
    chain=input action=accept protocol=tcp dst-port=49001 log=no log-prefix=""
    3 ;;; drop invalid
    chain=input action=drop connection-state=invalid in-interface-list=WANList log=no log-prefix=""
    4 chain=input action=drop in-interface-list=WANList log=no log-prefix=""
    5 chain=forward action=accept connection-state=established,related log=no log-prefix=""
    6 chain=forward action=accept protocol=icmp log=no log-prefix=""
    7 ;;; Invalid
    chain=forward action=drop connection-state=invalid in-interface-list=WANList log=no log-prefix=""
    8 ;;; defconf: accept in ipsec policy
    chain=forward action=accept ipsec-policy=in,ipsec
    9 ;;; Dostup v Internet po spisku
    chain=forward action=accept src-address-list=internet in-interface=bridge-local out-interface-list=WANList log=no log-prefix=""
    10 ;;; Zablokirova vse krome probrosa dstnat
    chain=forward action=drop connection-nat-state=!dstnat in-interface=bridge-local out-interface=!all-ppp log=no log-prefix=""
     
    Последнее редактирование: 16 мар 2020
  4. Рауф

    Рауф Новый участник

    Я не собираюсь в целом держать 80-й порт открытым постоянно, но мне хотелось бы понять ошибку.

    "надо весь конфиг смотреть." - что именно скинуть чтобы вы посмотрели?
     
  5. Tycoon

    Tycoon Участник

    Вы ни чего не путаете случайно, я только что ваши правила в свой микрот забил и у меня как раз на оборот всё. Вот тут ip firewall filter print 2-го рутера - https://pastebin.com/5K6GG1CH всё прекрасно подключается и будет подключатся даже если выключать разрешающие правила на веб и винбокс, потому что в фаерволе нет запрещающего правила на input (для инвалид пакетов не считается). А вот тут ip firewall filter print 1-го рутера - https://pastebin.com/4r5VMWTC есть это самое правило на input, но нет разрешающих на доступ по портам к веб и к винбоксу, по этому и не пускает соответственно.
     
  6. Рауф

    Рауф Новый участник

    Обновил 1-й микротик до новой прошивки и ничего не изменилось. Я уже грешил было на нее.

    Методом тыка нашел, что есть две странности (скорее всего для меня ввиду не сильных знаний).

    1) В правиле defconf: drop all not coming from LAN (скриншот - https://prnt.sc/rhcqtq) - если не добавить любой айпи (я проверил 8.8.8.8, потом 127.0.0.1) в Dst Address, то вебморда и винбокс не подключаются. В чем причина - не знаю.
    2) Тут, наверняка, чисто моя ошибка, но опять не знаю причем тут это - в NAT-е было правило, в котором я не указал Dst Port для VNC подключения для одного компьютера, как я его добавил сразу вебморда и винбокс подцепили. Я даже удалил опять тут Dst Port - чтобы проверить - и да, повторно проверил и убедился что не прописав Dst Port подключение не проходит.

    Вот как то так.

    Уважаемый Tycoon, если обьяснишь в чем проблема - буду признателен.

    Спасибо заранее.
     
  7. Tycoon

    Tycoon Участник

    В терминале сделайте export, скопируйте в текстовый документ, замените там все логины, пароли, белые IP и приложите тут, надо все настройки посмотреть а то не понятно что у вас там.
     
  8. Рауф

    Рауф Новый участник

    Вот

    [admin@MikroTik] > export
    # mar/17/2020 13:01:44 by RouterOS 6.46.4

    # model = 2011UiAS-2HnD

    /interface bridge
    add admin-mac=74:4D:28:63:8E:12 auto-mac=no comment=defconf name=bridge
    /interface pppoe-client
    # Client is on slave interface
    add add-default-route=yes disabled=no interface=ether1 name=pppoe-out2 password=pppoepassw use-peer-dns=yes user=pppoeuser
    add add-default-route=yes disabled=no interface=sfp1 name=pppoe-out3 password=pppoepassw use-peer-dns=yes user=pppoeuser
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="Wifi" supplicant-identity="" wpa2-pre-shared-key=WiFipassw
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=\
    "Wifi" ssid=Staff wireless-protocol=802.11
    /interface pppoe-client
    # Client is on slave interface
    add add-default-route=yes disabled=no interface=wlan1 name=pppoe-out1 password=pppoepassw use-peer-dns=yes user=pppoeuser
    /ip pool
    add name=dhcp ranges=192.168.88.100-192.168.88.200
    /ip dhcp-server
    add address-pool=dhcp disabled=no interface=bridge name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    add bridge=bridge comment=defconf interface=ether6
    add bridge=bridge comment=defconf interface=ether7
    add bridge=bridge comment=defconf interface=ether8
    add bridge=bridge comment=defconf interface=ether9
    add bridge=bridge comment=defconf interface=ether10
    add bridge=bridge comment=defconf disabled=yes interface=sfp1
    add bridge=bridge comment=defconf interface=wlan1
    add bridge=bridge interface=ether1
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add interface=pppoe-out1 list=WAN
    add interface=pppoe-out2 list=WAN
    add interface=sfp1 list=WAN
    add interface=pppoe-out3 list=WAN
    /ip address
    add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
    /ip dhcp-client
    add comment=defconf interface=sfp1
    add interface=wlan1
    /ip dhcp-server lease
    add address=192.168.88.198 client-id=1:4c:72:b9:80:33:ad mac-address=4C:72:B9:80:33:AD server=defconf
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8
    /ip dns static
    add address=192.168.88.1 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=accept chain=forward comment=XZ
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" dst-address=127.0.0.1 in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    add action=masquerade chain=srcnat out-interface-list=WAN
    add action=dst-nat chain=dstnat comment=DVR dst-port=8000 in-interface=pppoe-out3 protocol=tcp to-addresses=192.168.88.20 to-ports=8000
    add action=dst-nat chain=dstnat dst-port=8000 in-interface=pppoe-out3 protocol=udp to-addresses=192.168.88.20 to-ports=8000
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set winbox port=8291
    /system clock
    set time-zone-name=Asia
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN
     
  9. Tycoon

    Tycoon Участник

    Этот микротик выступает в качестве шлюза в интер? Зачем два masquerade правила в nat ? Сколько провайдеров в него подключено?
     
    Последнее редактирование: 17 мар 2020
  10. Рауф

    Рауф Новый участник

    Этот микротик выступает в качестве шлюза в интер? - да
    Зачем два masquerade правила в nat ? - хз, видимо по дефолту создалось
    Сколько провайдеров в него подключено? - один
     
  11. Tycoon

    Tycoon Участник

    Через какой из этих трёх интерфейсов у вас подключен провайдер если он у вас один?
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=ether1 name=pppoe-out2 password=pppoepassw use-peer-dns=yes user=pppoeuser
    add add-default-route=yes disabled=no interface=sfp1 name=pppoe-out3 password=pppoepassw use-peer-dns=yes user=pppoeuser
    add add-default-route=yes disabled=no interface=wlan1 name=pppoe-out1 password=pppoepassw use-peer-dns=yes user=pppoeuser

    Тут у вас это всё зачем:
    /ip dhcp-client
    add comment=defconf interface=sfp1
    add interface=wlan1

    В Nat два masquerade, судя по настройкам вы не пользуетесь VPN, по этому первый masquerade можно выключить он не нужен.
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    add action=masquerade chain=srcnat out-interface-list=WAN
     
  12. Рауф

    Рауф Новый участник

    Там pppoe подключение, как я мог заметить активно pppoe-out3

    Интернет айплинк подключен через spf модуль

    Да, VPN пока не используется - спасибо, отключю.
     
  13. Tycoon

    Tycoon Участник

    wlan1 зачем в ip dhcp-client? Вы интернет получаете точно через PPPOE? Если да то зачем spf интерфейс вот тут:
    /ip dhcp-client
    add comment=defconf interface=sfp1
    add interface=wlan1

    Если интернет один и он через PPPOE, то в interface list member с пометкой WAN у вас должен быть только pppoe-out3
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add interface=pppoe-out1 list=WAN
    add interface=pppoe-out2 list=WAN
    add interface=sfp1 list=WAN
    add interface=pppoe-out3 list=WAN

    Микротик выступает в качестве DNS, на сколько вам это нужно? Просто пока хотелось бы вычистить от всего лишнего, найти ошибки из-за которых у вас не пускает на микротик из вне, а уже потом наращивать функционал.
     
    Последнее редактирование: 21 мар 2020
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Вот у нас фильтр инпут. Вот строка которая грохает все
    Где выше нее есть разрешение на winbox?
     
  15. Рауф

    Рауф Новый участник

    Спасибо за ответ.

    Есть еще такой вопрос. Поднял PPTP VPN на Микротике. Настроил условный форвард ДНС-ов - контроллер домена пингуется по имени и по айпи. Но репликация с АД не проходит (к примеру поменял пароль пользователя в АД, и подключил его по VPN к офисной сетке. Но он продолжает подключаться на своем компе со старым паролем, а изменение пароля от АД не получает. Да и на сетевые шары сервака не корректно подключается. В офисе нормальное подключался, через ВПН те же доступы (или некоторые из них) недоступны.

    Посоветуйте как это исправить?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    1. Windows Firewall
    2. Корректно настроенный и отданный юзеру доменный DNS
     
  17. Рауф

    Рауф Новый участник

    1. Виндовой файрвол отключен.
    2. ДНС айпи 192.168.0.2 - юзер при подключении ВПН так же получает этот ДНС. Что-то еще надо сделать?
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Наверное у юзера суффикс подключения прописать.