Russian Users MikroTik | Форум пользователей MikroTik

Я же написал, перенесите локальный адрес роутера с порта2 на бридж!
Просите советы, а некоторые (или многие) не выполняете.

Веб-доступ давно надо закрыть, а не планировать.
Откройте логи, по идеи они там красные должны быть, китайцы быстро
и упорно "щупают" роутеры открытые.

Да и по ВиФи - включать на адаптерах вифи все бэнды, плохое дело.
На 2.4 оставьте только N-only
На 5 - АС-only

НЕ увидел авторизацию у ВиФИ? В конфиге нет или у Вас пароль на ВиФи не задан?

по DHCP - не вижу в настройках, чтобы он (DHCP сервер) клиентам в локальной сети отдавал
значения DNS'ов ? Хотя ДНС-кеширование (на микротике) включено.
Доделайте эту настройку, так будет кошерно, правильно, логично.

На счёт портов (ну вообще на микротике я бы выключил всё, и телнет и ssh и веб и фтп), тем самым,
порты и службы на микротике не будут атакованы, и в будущем и Вам не будут мешать для
проброса. Оставьте винбокс лишь и всё. Опять же, службы у Вас многие включены на роутере,
логи роутера ну реально должны быть красные от попыток входа, Вы что логи не смотрите??????)

P.S.
Что в рамках (подчёркиваю) в рамках микротика fail2ban означает ???

Столкнулся с похожей проблемой и не могу победить. Идеи кончились.
Все тоже самое, что и у топик стартера, но NAS на шнурке на адресе 192.168.88.251.
Все службы из вне работают, но на веб морду из вне по ddns зайти никак не выходит :( из локалки все на ура (порт 8080)

прилагаю конфиг:

Код: Выделить всё

# model = RBD52G-5HacD2HnD
# serial number = BEEB0AA5A511
/interface bridge
add admin-mac=************ auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    EvilZone wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=ukraine distance=indoors frequency=auto mode=ap-bridge \
    ssid=******** wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.251 client-id=1:24:5e:be:8:49:45 mac-address=24:5E:BE:08:49:45 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1 log=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN log=yes
add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 \
    protocol=tcp src-port=!3131
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24
add action=netmap chain=dstnat dst-address=192.168.88.251 dst-port=8080 in-interface=ether1 log=yes protocol=tcp src-port=8080 to-addresses=\
    192.168.88.251
add action=netmap chain=dstnat comment=NAS dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
/ip firewall service-port
set ftp disabled=yes
/ip proxy
set port=8088
/ip service
set ftp disabled=yes
set www address=0.0.0.0/0 disabled=yes port=3131
set www-ssl disabled=no
/ip smb
set enabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
/system clock
set time-zone-name=Europe/Kiev
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Прошу подсказать, где может быть косяк?

mayzer100500 писал(а): ↑11 янв 2020, 00:20 Столкнулся с похожей проблемой и не могу победить. Идеи кончились.
Все тоже самое, что и у топик стартера, но NAS на шнурке на адресе 192.168.88.251.
Все службы из вне работают, но на веб морду из вне по ddns зайти никак не выходит :( из локалки все на ура (порт 8080)

прилагаю конфиг:

Код: Выделить всё

# model = RBD52G-5HacD2HnD
# serial number = BEEB0AA5A511
/interface bridge
add admin-mac=************ auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    EvilZone wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=ukraine distance=indoors frequency=auto mode=ap-bridge \
    ssid=******** wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.251 client-id=1:24:5e:be:8:49:45 mac-address=24:5E:BE:08:49:45 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1 log=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN log=yes
add action=accept chain=input comment="Rule for outside hidden access to the router via web interface" dst-address=!192.168.88.1 dst-port=3131 \
    protocol=tcp src-port=!3131
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24
add action=netmap chain=dstnat dst-address=192.168.88.251 dst-port=8080 in-interface=ether1 log=yes protocol=tcp src-port=8080 to-addresses=\
    192.168.88.251
add action=netmap chain=dstnat comment=NAS dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.88.251 to-ports=8080
/ip firewall service-port
set ftp disabled=yes
/ip proxy
set port=8088
/ip service
set ftp disabled=yes
set www address=0.0.0.0/0 disabled=yes port=3131
set www-ssl disabled=no
/ip smb
set enabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
/system clock
set time-zone-name=Europe/Kiev
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Прошу подсказать, где может быть косяк?

оказывается DDNS не открывает через веб 8080 если пытаться это сделать из сети с роутером

из внешнего мира все работает..
удалят вопрось не буду, вдруг кому то поможет, два вечера убил на решение несуществующей проблемы

Во первых измените правило проброса портов вместо netmap поставьте dst-nat
Во вторых почитайте про Harpian NAT и все получится

В третьих добавьте в настройки DHCP адрес DNS сервера.

Добрый день.
Столкнулся с проблемой проброса портов - 2 года назад настроил микротик через квиксет хомАП и просто пробросил порт в nat - всё сработало, несколько дней назад (4 - борюсь уже с ним) просто сменил to addresses и порты вобще все закрыты, вернуть/изменить/создать новый и тд не получается.
Перечитал и перепробовал всё до чего руки дотянулись (даже воспроизвел все настройки что показали выше).
На данный момент уже в отчаянии.

/export hide-sensitive

А куда вы это все пробрасываете?
Вижу правило - disabled, вижу так же, что этот адрес самому микротику назначен - и тоже disabled.
Текущая конфигурация которая "не работает" - она какая?
А то в таком виде оно выключено, поэтому работать не может.

И да, вы секцию с firewall сознательно вырезали из экспорта, или он у вас "голый" наружу смотрит?

этот конфиг (без правил фаервола, я там всё ковырял как мог) сливал после все возможных манипуляций. вот текущий

/export hide-sensitive

Пробрасываю на ноутбук по воздуху. Фаервол сознательно выпиливал чтоб хоть както достучаться. Всё что могло блокировать выпилил.

Был интересный момент когда начал тыкать везде и по нужному адресу начала открываться админка роутера, потыкав еще она начала открываться по всем портам хоть и была отключена и перенесена на рандомный порт.

Возможно поле обновления прошивки с 4й версии на 6ю какие то моменты при пробросе портов изменились( раньше только в nat прописать и работало(

Ну вообще, так как вы внешний IP-шник не замазали, то я просто попробовал на него зайти, и вполне нормально попал на заглушку для reverse proxy.

Так что либо вы пробуете зайти по внешнему адресу изнутри (для чего должен быть настроен hairpin nat), либо проблема не в том куда вы стучитесь, а в том - откуда.

да нет, это магия - как только написал сюда то отключил всё от роутера, сделал сброс, повторил всё сначала и всё заработало. Что в первый раз мудохался с перезагрузками - обрадовался что настроил и больше не лез, но вот пришлось и я проклял эту железяку.

Russian Users MikroTik | Форум пользователей MikroTik

Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi

Re: Внешний доступ на NAS, подключённый по WiFi