Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера". viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.
Добрый день.
Прошу помощи в решении одной задачи.
Я пробрасываю порт на Микротике на внутренний сервер RDP. На самом сервере настраиваю программу IP BAN,
которая блокирует ip адрес пользователя если он неправильно ввел пароль некоторое количество раз.
Проблема в том что программа не срабатывает, потому что видит всех пытающихся подключиться как внутренний ip адрес Микротика.
Насколько мог прочитал все мануалы и примеры в сети которые нашел, либо не понимаю, либо до меня не доходит. )
Данная настройка лично у меня без проблем работает на любом роутере за 5$, Centos, FreeBSD, на Микротике почему то нет.
Правило :
Пытался согласно мануалам и same, и netmap который в принципе используется для создания NAT 1:1.
С благодарностью бы принял помощь мастера спорта по Микротику.
Вероятно оно вам нужно для hairpin nat’а - доступа на внутренние ресурсы по внешнему IP. Вот и добавьте в него исключение, чтобы оно действовало для того, что идет изнутри, но не снаружи.
Единственное плохо , я не понимаю до конца на что это повлияет и в логах появились строчки при подключении:
dstnat: in:Intrernet_if out:(unknown 0), src-mac ea:cb:11:0a:78:4f, proto TCP (SYN), (IP пользователя):55007->(Внешний IP) :6666, len 52
Еще вчера ночью по этой ошибке я находил вот такой ответ на одном из форумов:
"проброс портов на железных Микротиках (с софтовыми не работал) иногда требует специального описания маскарада для ответных пакетов. признаком такой ситуации как раз является состояние соединения "syn sent". для решения требуется создать еще одно правило маскарада
add action=masquerade chain=srcnat dst-address=10.50.0.200 dst-port=445 protocol=tcp "
antropov.valeriy писал(а): ↑11 июн 2021, 11:47
Еще вчера ночью по этой ошибке
Это вообще не ошибка.
Какое-то из ваших правил в лог и пишет: отмените на нем логгирование, если эти сообщения вам в логе не нужны.
antropov.valeriy писал(а): ↑11 июн 2021, 11:47
Единственное плохо , я не понимаю до конца на что это повлияет
Повлияет на то, что на этот серевер не получится ходить по внешнему IP из его же подсети.
Так что можно это условие dst-address=!10.0.0.115 заменить на src-address=10.0.0.0/24.
10.11.218.39 "серый" ИП адрес. Проброс не cработает.
10.11.218.39 - Reserved IPv4 Address for private internet use
Remember that IP address ranges 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 and 224.0.0.0 - 239.255.255.255
are reserved IP Addresses for private internet use and IP lookup for these will not return any results.