Не хочет пробрасывать порты MikroTik rb951Ui-2HnD

Тема в разделе "Маршрутизация", создана пользователем Avarex, 6 апр 2015.

  1. AlexShoroh

    AlexShoroh Участник

    я бы сказал НУЖНО. сервисы крутятся на разных портах.
    А что Вы понимаете под "внешний адрес"? Если то, что выдает провайдер, то это не так.
     
  2. mihnik

    mihnik Новый участник

    А что тогда есть внешадрес? В общем я все сделал как заявлено выше. Внешадрес 1.1.1.1 на порт 1111 и заработало. Так и не понял почему. Зато сейчас не mybooklove не могу извне постучаться.
     
  3. можно и другой
     
  4. Alexandrr_

    Alexandrr_ Новый участник

    Добрый день! Прошу помочь, настроил проброс портов, но при попытке подключиться по статическому IP адресу из вне к оборудованию в логах nat появляется следующее сообщение: dstnat: in:lite1 out:(none), то есть, если я все понимаю до роутера по указанному порту достучаться удается, а дальше трафик не идет.
    Использую:
    4g модем cо статическим IP (Hilink, проброс портов настроен)
    Роутер mikrotik rb951Ui-2HnD

    Что не так?
     

    Вложения:

    • 1.jpg
      1.jpg
      Размер файла:
      54,1 КБ
      Просмотров:
      5
    • 2.png
      2.png
      Размер файла:
      13,5 КБ
      Просмотров:
      4
  5. Pavel N

    Pavel N Участник

    во первых убедиться что
    1. 192.168.0.198 работает
    2. что на этом компьютере в роли шлюза по умолчанию установлен внутренний адрес микротика в сетке 192.168.0.0/24
    3. что на оборудовании нет фаервола который мог бы заблокировать обращения извне и пропускать обращения локальные (как например часто это делают антивирусы и виндовские фаерволы)
    4. проверить что оборудование откликается на 192.168.0.198:8000
    5. На время теста (только на время теста погасить все запрещающие правила в разделе фаервол микротика
    если инет идет через модем убедиться что модем получил адрес после установления связи с провайдером
    6. убедиться что полученный адрес Белый (Публичный) а не серый из провайдерского пула серых адресов
    7. Убедиться в наличии правила позволяющего Masquarade через интерфейс LTE1
    8. Убедиться что полученный модемом адрес и тот, что видно извне при попытках выяснить IP через сайт (www.showip.com)
    совпадают
    9. Убедиться что маршрут по умолчанию для Lte1 - есть в списке маршрутов микротика и что он работает сейчас
    10. Работает выход в инет у микротика
    11. 192.168.0.198 работает выход в интернет и он работает через LTE1 интерфейс
    12. Включить проброс портов
    13. с внешнего источника !!!за пределами своей сети!!! произвести проверку вашего проброса на внешнем IP

    14. сообщить результат действий (опционально)
     
  6. Alexandrr_

    Alexandrr_ Новый участник

    1. 192.168.0.198 точно работает, пингуется с роутера.

    2. шлюз точно ip-адрес роутера, в моем случае 192.168.0.1

    3. Фаервола нет - это видеорегистратор

    4. Оборудование доступно по данному адресу и порту, даже по внешнему статическому адресу. Удаленно доступны настройки видеорегистратора, но видео не транслируется, что-то не донастроено на роутере.

    5. Настраиваю удаленно, боюсь, что-то отключить не то и потерять доступ к роутеру.

    6. Адрес точно белый.

    7. Может что-то не так с настройками и что-то здесь лишнее, а чего-то не хватает?:


    /ip firewall filter

    add action=accept chain=input

    add action=accept chain=input protocol=icmp

    add action=accept chain=forward protocol=icmp

    add action=accept chain=input dst-port=8000 protocol=udp

    add action=drop chain=input

    add action=fasttrack-connection chain=forward connection-state=\

    established,related

    /ip firewall nat

    add action=masquerade chain=srcnat comment=Megafon_Internet out-interface=lte1

    add action=dst-nat chain=dstnat comment=video dst-port=8000 in-interface=

    lte1 protocol=tcp to-addresses=192.168.0.198 to-ports=8000

    add action=masquerade chain=srcnat out-interface-list=WAN


    [admin@MikroTik] > /ip route print


    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE

    0 ADS 0.0.0.0/0 192.168.8.1 1

    1 DC 192.168.0.0/24 192.168.0.1 ether1 255

    2 ADC 192.168.8.0/24 192.168.8.100 lte1 0


    [admin@MikroTik] > /ip address print

    # ADDRESS NETWORK INTERFACE

    0 192.168.0.1/24 192.168.0.0 ether1

    1 D 192.168.8.100/24 192.168.8.0 lte1


    Также не пингуется статический адрес, когда модем в роутере, если модем вставить в ноутбук, то все OK.
     
  7. Pavel N

    Pavel N Участник

    А вот если вот так ... то ...
    1. Вопрос не в работе пробросов портов
    2. Выяснить из документации и техподдержки видеорегистратора какие порты нужно пробрасывать по какому протоколу и по известной схемем заниматься их пробросом
    3. Выяснить а не нужно ли совершить ряд танцев с бубном вокруг клиента видеонаблюдения или веб браузера в котором открыта веб морда видеонаблюдения
    (по секрету некоторые требуют чтоб их внесли в доверенные, некоторым нужны специфические плагины в браузере и только определенной модели браузере ... ибо вдругом плагин не работает корректно ... некоторым еще какие-то танцы с бубном на тему безопасности браузера чтоб он начал давать картинку- все настолько разннообразно именно в такой трактовке и совсем не всегда связано именно с пробросом портов)
     
  8. Alexandrr_

    Alexandrr_ Новый участник

    До этого стоял tplink, мною же настроен, проблем не было.
    В правильности протоколов и портов уверен на 100 %.
    Приложение тоже точно рабочее, если вернуть tplink, то все ok.
     
  9. Pavel N

    Pavel N Участник

    tplink подними если остался - глянь какие порты пробрасывались там воспроизведи на микротике в чем проблема ?
    если ты до конфигурации добрался значит правило тебя туда довело на конкретную железку а не в случайный адрес ... значит проброс как функция у тебя работает
     
  10. Pavel N

    Pavel N Участник

    включи кнопку Safe Mode и настраивай - если потеряется связь с микротиком он откатит через время твои изменения до состояния нажатия кнопки
    если все ок и не потерялся - отключи кнопку - сохранится конфигурация
     
  11. Pavel N

    Pavel N Участник

    точно лишнее - это правило на самом микротике разрешает обращаться на порт 8000 udp и никак не регулирует проброс
    это дырка воткнутая в микротик и только в него
    для того чтоб разрешить за микротик в локалку цепочка Forward правил
     
  12. Pavel N

    Pavel N Участник

    https://c2n.me/3YMG4BE
     
  13. Pavel N

    Pavel N Участник

    конфигурацию фильтра нужно переписать полностью
    взяв за основу (точно скопировав умолчательную конфигурацию производителя оборудования микротик ) где взять - не скажу нужно поискать
    если найду выложу
    раздел nat можно дополнять пробросами других портов .... не верю я что видеонаблюдение требует одного порта и для управления в вебе и для работы охранника и для трансляции в клиента RTP потока ... поднимай конфиг тплинка и смотри список там настроенных портов
    Ели с тп линком все взлетает с этого же компа на микротике не летит ... вопрос не в компе а в просбросе комплекта портов ... 100%

    кроме того нужно делать списки доступа к видеорегистратору иначе ботнеты переберут порты и найдут твой 8000 а дальше взломают и заставят видео лить или криптовоалюту считать или ДДОС ит кого-то по команде ...
    очень много улязвимых камер и видеорегистраторов смотрит голой жо*** в мир за что и прилетает ... не делай ошибки делай сразу в полном комплекте защиту от посторонних
     
  14. Alexandrr_

    Alexandrr_ Новый участник

    Попробую сделать согласно рекомендациям. Перепишу фильтр, есть сохраненный бэкап почти дефолтной конфигурации. Порты проброшены все те же самые, как и на тплинке. Удаленного доступа уже нет ( Продолжу в понедельник. Отпишусь по результатам. Спасибо!
     
  15. Pavel N

    Pavel N Участник

    Проверь в настройках TpLink-а этот видеорегистратор (его внутренний локальный IP) мог быть внесен в раздел DMZ настроек и тогда многие вещи будут работать и без явного проброса портов во внутреннюю сеть и соответственно не сконфигурированы на TpLink-е в разделе пробросов портов
     
  16. Alexandrr_

    Alexandrr_ Новый участник

    Пробросил еще несколько портов, указанных на форуме производителя видеорегистратора, все заработало! Спасибо!!!
     
  17. Pavel N

    Pavel N Участник

    Пожалуйста
    Хорошо что помогло :) главное пнуть в правильном направлении ... иногда сам долго разбирался в чем причина ступора ....
    Если время сэкономил - значит не зря ...
    но на ТП линк для академического интереса загляни ... интересно ведь мое предположение на счет DMZ было верным или нет да и тебе лишним не станет выяснив как оно работало ранее
     
  18. Alexandrr_

    Alexandrr_ Новый участник

    Добрый день!
    В логах появляется постоянно сообщение "socks acl entry added by admin" - это что?
     
  19. Pavel N

    Pavel N Участник

    у меня такого небыло но упоминание о таком сообщении проскакивало в обсуждении темы об уязвимостях микротика
    возможно при открытии портов вы что-то открыли что ведет к микротику и какой-то бот-нет или человек пробует взломать ваш микротик

    (а может и взломал т.к. added - это уже совершившаяся форма, а by admin указание на то от имени КОГО совершилось действие ... ) стоит внимательно рассмотреть конфигурацию на предмет лишних разрешений и правил )

    Кроме проверки конфигурации убедитесь что версия прошивки роутера самая последняя (это не отменяет проверки конфигурации т.к. заражение и взлом могли произойти до обновления на последнюю версию прошивки)
     
    Последнее редактирование: 4 янв 2019
  20. Alexandrr_

    Alexandrr_ Новый участник

    Да, действительно Socks был включен (скорее всего взломали). Все отключил, поменял пароль, но в логах все равно каждую секунду появляется сообщение socks acl entry added by admin