HELP! Непонятные проблемы с маршрутизацией.

[sarge]

Здравствуйте,
Настроил в удаленном офисе RB2011UIAS и когда все клиенты получили инет, успокоился.
Покой длился ровно до вечера, когда мне понадобилось форварднуть порт снаружи(9999) на RDP сервер.
Захожу, делаю dst-nat - никакого результата. Пробую нетмапом - никак!
Ну думаю, ладно, настрою ка я VPN. Сделал, коннект VPN клиента прошел, но локалка никак не пингуется!
Причем внутри офиса все ОК видно. И к серверу RDP внутри все прекрасно ходят
Куда копать - не понимаю, смотрю на другие шлюзы, настройки такие же... Прихожу к выводу что дело в роутинге.
Подскажите в чем может быть проблема? Может фаервол мешает?:

/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN

/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=ether10 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether10 protocol=tcp
add action=accept chain=input in-interface=ether10 protocol=gre
add action=accept chain=input connection-state=new dst-port=80,8291,22 in-interface=ether1 protocol=tcp src-address=192.168.0.0/24
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.0.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether9 out-interface=ether1
add action=drop chain=input
add action=drop chain=input in-interface=ether10
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10
add action=masquerade chain=srcnat out-interface=ether10 src-address=192.168.0.0/24
/ip route
add distance=1 gateway=XXX.XX.XXX.114

Куда и чем копать?
Смотрю на правила и торчем, вроде как пакеты идут...

[Vlad-2]

А где водные?
Интернет статика?
Я так понимаю Интернет на порту 10 ?

/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10

1) У Вас один внешний адрес? Если да, то зачем явно указывать внешний в правиле проброса?
2) Ну и я советую явно указать порт локальный проброса (то есть в закладке Action - там где указан адрес 0.10 внизу поле порт явно описать локальный порт)
3) Счётчик правил хоть срабатывает? Что со счётчиком правил?
4) Шлюз у компа 0.10 надеюсь стоит локальный адрес микротика?
5) Брандмаур очень любит такое блокировать, разрешение сделали явно в файрволе на компа 0.10 ?

[Vlad-2]

/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN

ООО, добавили данне:
мастер-порт , давно не обновлялись?
Старая прошивка?

P.S.
Давайте весь конфиг....

[sarge]

Вот кстати про обновление то и забыл скорее всего.
Даю весь конфиг:
# aug/14/2019 00:33:39 by RouterOS 6.37
# software id = 1UPI-LX4G
#
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ] comment=WAN
/ip neighbor discovery
set ether1 comment=LAN
set ether10 comment=WAN
/ip pool
add name="local dhcp" ranges=192.168.0.10-192.168.0.200
/ip dhcp-server
add address-pool="local dhcp" disabled=no interface=ether1 name="local net"
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 comment="Local net" interface=ether1 network=192.168.0.0
add address=XXX.XX.XXX.115/29 interface=ether10 network=XXX.XX.XXX.113
/ip dhcp-server lease
add address=192.168.0.10 mac-address=38:D5:47:00:77:76 server="local net"
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=77.88.8.8,77.88.8.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1
/ip firewall address-list
add address=XXX.XX.XXX.25 list=to1Cserver
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=ether10 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether10 protocol=tcp
add action=accept chain=input in-interface=ether10 protocol=gre
add action=accept chain=input connection-state=new dst-port=80,8291,22 in-interface=ether1 protocol=tcp src-address=192.168.0.0/24
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.0.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward comment="test add" connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether10 out-interface=ether1
add action=drop chain=input
add action=drop chain=input in-interface=ether10
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10 to-ports=3389
add action=masquerade chain=srcnat out-interface=ether10 src-address=192.168.0.0/24
/ip route
add distance=1 gateway=XXX.XX.XXX.114
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes port=11994
set api disabled=yes
set api-ssl disabled=yes
/ip socks
set port=1620
/ppp secret
add local-address=172.16.0.1 name=1cadmin password=r434tW# profile=default-encryption remote-address=172.16.0.10 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled

1) У Вас один внешний адрес? Если да, то зачем явно указывать внешний в правиле проброса?
> да, один, для теста указал, но ни так ни эдак...
2) Ну и я советую явно указать порт локальный проброса (то есть в закладке Action - там где указан адрес 0.10 внизу поле порт явно описать локальный порт)
> указал, безрезультатно
3) Счётчик правил хоть срабатывает? Что со счётчиком правил?
> На правиле байтики видны при попвтке коннекта, на этом и все..
4) Шлюз у компа 0.10 надеюсь стоит локальный адрес микротика?
> дак на всей локалке одинаковый шлюз, это микротовский.
5) Брандмаур очень любит такое блокировать, разрешение сделали явно в файрволе на компа 0.10 ?
> Это было первой же версией, сделал отдельное правило, потом попробовал с другими компами для теста, та же ситуация....

[Vlad-2]

Вот кстати про обновление то и забыл скорее всего.
Даю весь конфиг:
# aug/14/2019 00:33:39 by RouterOS 6.37

Ну не серьёзно то! На коробке, в инструкции написано = обновить перед
использованием, старые прошивки имеют уязвимости, а ВЫ ?
СРОЧНО обновлять прошивку, и загрузчик, но лучше это делать
локально у роутера.
Сейчас 6.45.3

/ip dhcp-server
add address-pool="local dhcp" disabled=no interface=ether1 name="local net"

DHCP должен быть на бридже

/ip address
add address=192.168.0.1/24 comment="Local net" interface=ether1 network=192.168.0.0

Адрес локальный перенесите с порт1 на бридж локальный

/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10

Правило скорректировать, давал описание по нему в первом сообщении

/ip socks
set port=1620

Юзаете СОКС-сервер или Вас уже взломали?

И должно всё работать потом.

[Vlad-2]

Дополню свой ответ ещё отдельно:

Так как у Вас нет бриджа совсем, уточняю, что
НЕТ мастер порта больше, поэтому сейчас надо обновиться ВАМ
сделать бридж(он может сам создаться анализируя Ваши настройки),
в него включить Ваши локальные порты и бриджу задать адрес локальный
и уже на бридже делать DHCP сервер.

P.S.
Отстали от новшевств в микротике на год-полтора.
После обновления = мастер порт заменили на Hardware Offload (HW),
в будущем советую почитать об этом.

[sarge]

Переделал на бридж.
Прошивку закачал, но ребутать для обновления не рискнул, т.к. боюсь геморроя.
Утром кто нибудь будет в офисе, чтобы мог переткнуть, я ребутну.
По результату отпишусь.

[algerka]

Куда и чем копать?

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="test add" connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,new in-interface=ether1 out-interface=ether10 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=ether10 out-interface=ether1
add action=drop chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP server" dst-address=XXX.XX.XXX.115 dst-port=9999 in-interface=ether10 port="" protocol=tcp to-addresses=192.168.0.10 to-ports=3389

разрешающего forward правила для проброса RDP не увидел

[sarge]

Насколько я понимаю, сначала обрабатываются правила NAT, а потом уже firewall.
Так что никакого форварда для проброса порта не требуется.
Или я ошибаюсь?
Напишите тогда, пожалуйста, как это правило должно выглядеть.

P.S. Тупо добавил forward accept на порт 3389 и все взлетело! Значит я ошибаюсь
Теперь осталось обновить прошивку.
Спасибо за ваш ответ.