проброс порта в дефолтной конфигурации RB750Gr3

Тема в разделе "Вопросы начинающих", создана пользователем SPBUs, 30 ноя 2016.

  1. SPBUs

    SPBUs Новый участник

    Добрый день, пытаюсь освоить RB750Gr3.

    С Mikrotik опыта практически не имею.
    Бытовыми роутерами dir625, dir857, tp-link и zyxel разных версий пользуюсь давно.
    Тут http://spw.ru/solutions/natpart2/ вроде все понятно.
    Интернет есть в LAN, проброс не получается.
    Через старый роутер доступ рабочего уровня в устройствам в LAN получаю, потому LAN и устройства за роутером работают.

    1 вариант - пробовал так https://habrahabr.ru/post/265387/
    2 вариант:
    • сбросил до дефолтной конфигурациии
    • настроил внешний интерфейс, получил интенет на различных устройствах
    • добавил правило
      add action=dst-nat chain=dstnat dst-port=12458 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.115 to-ports=22
    В обоих вариантах видно
    • при обращении извне на соотв. порт пакеты в соотв. правиле nat редко проскакивают, в логе вижу что обращение было
    • интерент есть, доступа извне в назначенное устройство не получаю
    RouterOS 6.37.2
    # software id = GQP2-JG2H
    #
    /interface bridge
    add name=bridge1
    /interface ethernet
    set [ find default-name=ether1 ] mac-address=0x:0x:0x:0x:0x:xx
    set [ find default-name=ether2 ] name=ether2-master
    set [ find default-name=ether3 ] master-port=ether2-master
    set [ find default-name=ether4 ] master-port=ether2-master
    set [ find default-name=ether5 ] master-port=ether2-master
    /ip neighbor discovery
    set ether1 discover=no
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.50
    /ip dhcp-server
    add address-pool=dhcp disabled=no interface=bridge1 name=defconf
    /interface bridge port
    add bridge=bridge1 interface=ether2-master
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=ether2-master network=192.168.1.0
    add address=123.123.123.40/24 interface=ether1 network=123.123.123.0
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid interface=ether1
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=192.168.248.21,192.168.251.21
    /ip dns static
    add address=192.168.1.1 name=router
    /ip firewall filter
    add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface=ether1
    add action=accept chain=input protocol=icmp
    add action=accept chain=input connection-state=established
    add action=accept chain=input connection-state=related
    add action=drop chain=input in-interface=ether1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
    add action=dst-nat chain=dstnat dst-port=12458 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.115 to-ports=22
    /ip route
    add distance=1 gateway=123.123.123.1
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /system clock
    set time-zone-name=Europe/Moscow
    /system identity
    set name=MikroTik
    /system ntp client
    set enabled=yes primary-ntp=46.46.160.235
    /system routerboard settings
    set memory-frequency=1200DDR protected-routerboot=disabled
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=ether2-master
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=ether2-master
    /tool traffic-monitor
    add interface=ether2-master name=tmon1 threshold=0

    Подскажите куда копать - надо пробросить несколько портов.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Правило правильное. Копайте в направлении настроек устройства за роутером.
     
  3. SPBUs

    SPBUs Новый участник

    Благодарю за оперативность.
    LAN за RB750Gr3 очень маленькая и простая - простой коммутатор и несколько компьютеров + достаточно давно мостом работающий Mikrotik RB951G-2HnD в качестве wifi точки доступа.
    Сейчас шлюзом работает DIR857 с работающими пробросами на разные устройства с различными ос.

    То есть уже имеется действующий доступ на требуемые ресурсы за шлюзом - сервисы за dir работают.
    Из этого я делаю вывод o_O, что устройства за роутером (шлюзом) работают, а единственное изменение в действующей сети - это замена роутера и проблема в нем.
    Про ряду причин хочется заменить действующий шлюз на RB750Gr3.
     
    Последнее редактирование: 1 дек 2016
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Посмотреть нет ли у вас файрвола на устройстве.
     
  5. SPBUs

    SPBUs Новый участник

    На устройство можно зайти через ssh, я пробую это делать.
    Фаервол на устройстве есть. Вряд ли он реагирует на то как я подошел к устройству, да и подхожу к нему всегда через LAN. Имхо.

    Кроме того я могу зайти через DIR на несколько устройств различными протоколами. Во всех этих ситуациях фаерволы видимо не влияют, а они есть на каждом устройстве.

    Мне удается зайти в следующих случаях:
    1. вхожу из внешней сети посредством смарта с выключенным wifi (через сеть мобильного оператора) через DIR857 используя JuiceSSH на мой внешний ip и настроенный порт
    2. вхожу в LAN через wifi RB951G-2HnD на этом же смарте используя JuiceSSH на локальный ip и стандартный порт 22.
    Мне не удается зайти из внешней сети посредством смарта с выключенным wifi используя JuiceSSH на мой внешний ip и настроенный порт через RB750Gr3, когда ставлю его вместо DIR857.

    Уточню конфигурацию. Имею статический внешний ip. Подключение к провайдеру - статика, lan.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Скорее всего в DIR включен hairpin nat и вы приходите на устройство с адреса маршрутизатора.
     
  7. SPBUs

    SPBUs Новый участник

    Через DIR иду из ВНЕШНЕЙ сети. Как я понял hairpin nat позволяет обратиться из lan к устройству через внешний ip.

    Кроме того я и через вайфай захожу, и внутри LAN терминалы PuTTY юзаю, по sftp хожу и на обсуждаемом устройстве в том числе.
    То есть используется несколько физически РАЗНЫХ устройств (у всех статические ip, кроме смарта), они имхо не используют DIR (DIR физически за коммутатором) и все фаервол пропускает.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Хм. А default gateway на 192.168.1.115 куда смотрит?
     
  9. SPBUs

    SPBUs Новый участник

    не могу сейчас добраться но должен смотреть на dir, у него с RB750Gr3 разные ip

    да, смотрит на dir
     
  10. SPBUs

    SPBUs Новый участник

    пока отбой, надо изучить этот момент
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    :D:D:D:D
    И как вы думаете, как оно должно работать, если пакет приходит снаружи, микротик кидает его внутрь сети, девайс отвечает на свой default gateway (на DIR), а тот или не знает куда доставить, или шлет не туда ?
     
  12. SPBUs

    SPBUs Новый участник

    Спасибо за наводку по поводу
    192.168.1.115 весьма хитровыкрученно работал.
    На других устройствах проброс сработал как и должен был.
    Имхо все довольно просто.