Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

winso писал(а): 30 окт 2022, 21:34 извините тупенького, а как

Код: Выделить всё

/export hide-sensitive terse
вывод скопировать сюда


winso
Сообщения: 3
Зарегистрирован: 30 окт 2022, 19:24

# oct/31/2022 01:19:37 by RouterOS 6.49.7
# software id = 6ERM-HR5N
#
# model = RBD52G-5HacD2HnD
# serial number = HD00892BEY4
/interface bridge add admin-mac=18:FD:74:7F:7B:C7 auto-mac=no comment=defconf name=bridge
/interface ethernet set [ find default-name=ether1 ] mac-address=9C:D3:6D:02:5E:F4
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia disabl
ed=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MEGAWATT wireless-protocol=802.11
/interface wireless set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia
disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MEGAWATT5 wireless-protocol=802
.11
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-k
eys supplicant-identity=MikroTik
/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=wlan1
/interface bridge port add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease add address=192.168.88.254 client-id=1:f8:c0:91:14:a7:be mac-address=F8:C0:91:14:A7:BE server
=defconf
/ip dhcp-server lease add address=192.168.88.252 client-id=1:40:16:7e:ad:7c:e8 mac-address=40:16:7E:AD:7C:E8 server
=defconf
/ip dhcp-server lease add address=192.168.88.250 client-id=1:0:15:5d:1:c:3 mac-address=00:15:5D:01:0C:03 server=def
conf
/ip dhcp-server lease add address=192.168.88.249 client-id=1:0:15:5d:1:c:0 mac-address=00:15:5D:01:0C:00 server=def
conf
/ip dhcp-server lease add address=192.168.88.247 client-id=1:0:e0:4c:8d:1e:21 mac-address=00:E0:4C:8D:1E:21 server=
defconf
/ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns set allow-remote-requests=yes
/ip dns static add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ips
ec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=est
ablished,related
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connec
tion-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled
=yes
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-
state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall filter add action=accept chain=input protocol=icmp
/ip firewall filter add action=accept chain=input connection-state=established
/ip firewall filter add action=accept chain=input connection-state=related
/ip firewall filter add action=drop chain=input disabled=yes in-interface-list=!LAN
/ip firewall nat add action=netmap chain=dstnat dst-port=32976 in-interface=ether1 log=yes port=32976 protocol=tcp
to-addresses=192.168.88.247 to-ports=32976
/ip firewall nat add action=masquerade chain=srcnat dst-port=32976 log=yes protocol=tcp src-address=176.57.77.175
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
/ip firewall service-port set ftp disabled=yes
/ip firewall service-port set tftp disabled=yes
/ip firewall service-port set irc disabled=yes
/ip firewall service-port set h323 disabled=yes
/ip firewall service-port set sip disabled=yes
/ip firewall service-port set pptp disabled=yes
/ip firewall service-port set udplite disabled=yes
/ip firewall service-port set dccp disabled=yes
/ip firewall service-port set sctp disabled=yes
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip upnp interfaces add interface=bridge type=internal
/ip upnp interfaces add interface=ether1 type=external
/system clock set time-zone-name=Europe/Moscow
/system identity set name=RouterOS
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

в лог сыпятся попытки внешние подключиться
oct/31 01:50:00 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 5.101.
198.33:61667->176.57.77.175:32976, len 48
oct/31 01:50:00 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 188.18
7.56.81:59763->176.57.77.175:32976, len 48
oct/31 01:50:05 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 94.228
.206.242:54273->176.57.77.175:32976, len 52


rev41k
Сообщения: 2
Зарегистрирован: 05 апр 2023, 12:28

Добрый день, прошу помощи в пробросе порта 8080.
С микротиком знаком 2 дня )
В сети поднят Apache server (барахолка для личного использования на выездах) с адрессом 192.168.1.10 порт 8080
Сделал проброс порта во вне , и он работает из вне.
В локалке при вводе в браузере 192.168.1.10:8080 тоже открывается.
Проблема в том , что мне нужно в локалке открыть через внешний адресс 93.117.X.X:8080 , а он не открывется и не понимаю почему.
Ранее стоял другой роуте другой фирмы и все работало, помогите пожалуйста организовать на микротике.
Заранее спасибо!

[admin@RouterOS] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; apache
chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=8080
protocol=tcp in-interface=ether1 dst-port=8080 log=no log-prefix=""

1 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Гуглить hairpin nat.


Telegram: @thexvo
rev41k
Сообщения: 2
Зарегистрирован: 05 апр 2023, 12:28

xvo писал(а): 05 апр 2023, 12:43 Гуглить hairpin nat.
Спасибо огромное , все получилось!

Код: Выделить всё

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; apache
      chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=8080 
      protocol=tcp in-interface=ether1 dst-port=8080 log=no log-prefix="" 

 1    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN 
      ipsec-policy=out,none 

 2    chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=8080 
      protocol=tcp dst-address=(мой внешний IP) dst-port=8080 log=no log-prefix="" 

 3    chain=srcnat action=src-nat to-addresses=192.168.1.1 protocol=tcp 
      src-address=192.168.1.0/24 dst-address=192.168.1.10 dst-port=8080 log=no 
      log-prefix="" 



Evgeniy.Titov
Сообщения: 2
Зарегистрирован: 03 июл 2023, 15:24

Добрый день.
Помогите разобраться. Перестал работать VPN удалённых пользователей.
Закономерность такая, что выдаётся : сообщение
initiate new phase 1 (Identity Protection): XXX.XXX.XXX.XXX[500]<=>XXX.XXX.XXX.XXX[500] и если в скобках одинаковый нмер порта, например [500] и [500], то это работает. А если почему то получается разный (такое в основном через мобильные сети, например [500] и [14480] то разрывается через полминуты. Излазил все настройки, но так и не могу понять, где это правило, которое одинаковые порты присваивает....


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Это не правило, это клиент за NAT'ом.

udp/4500 открыт firewall'е?


Telegram: @thexvo
SMIRNOFF
Сообщения: 6
Зарегистрирован: 19 авг 2023, 08:10

Добрый день! Стоит микротик на даче, в него воткнут usb модем(Tele2), интерфейс с модемом по DHCP Clien получает ip ( настроен по статье о подключении к LTE модему). Хочу периодически заходить удаленно на микротик с помощью WinBox, чтоб не ездить каждый раз. Включил Cloud получил DDNS(далее по статье настроил). Но не работает :( Ip начинается на 176.59... Вроде простая задача, помогите, чего можно проверить, посмотреть? Может по другому решить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Tele2 даёт белый адрес?
Очень сомнительно.

По DHCP от модема микротик какой адрес получает?


Telegram: @thexvo
SMIRNOFF
Сообщения: 6
Зарегистрирован: 19 авг 2023, 08:10

модем 192.168.1.190, а микротик 192.168.0.10


Ответить