Страница 1 из 1
Открыть - пробросить порт
Добавлено: 13 дек 2019, 15:38
excellion
Доброго времени суток всем участникам форума! Прошу вашей помощи в открытии - пробросе порта 3389
делал по вот такой инструкции
https://lantorg.com/article/probros-portov-na-mikrotik но увы не помогло.
интернет через PPOE, я не знаю как вывести коды настроек роутера поэтому прикреплю скрин настроек. -
https://yadi.sk/d/B2EXqFieWQPAkg
помогите люди добрые, что не так делаю - плиз заумными словечками швыряться не надо, по простому куда ткнуть и на что нажать (кроме сонной артерии)
Re: Открыть - пробросить порт
Добавлено: 13 дек 2019, 16:11
KARaS'b
Скрины малоинформативны, как прикрепить "коды настроек" описано в шапке, красным цветом, в пункте 5.
Из скринов пока понятно, что нат правило отрабатывает, значит проблема теоритически в фаерволе, выключайте все правила и пробуйте. И да, изнутри проброс при текущих настройках работать не будет, проверяйте только снаружи.
А так же вы очень неудачно выбрали адреса для лок. сети. Ознакомьтесь -
https://ru.wikipedia.org/wiki/%D0%A7%D0 ... 0%B5%D1%81
Re: Открыть - пробросить порт
Добавлено: 16 дек 2019, 14:24
excellion
Пробовал отключать все правила в FireWall во вкладке FilterRules - не помогло (Пробовал из вне)
Код: Выделить всё
# dec/16/2019 14:18:04 by RouterOS 6.38.4
# software id = Q0CN-Z5F0
#
/interface ethernet
set [ find default-name=ether1 ] comment=INET2 name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-WAN
set [ find default-name=ether3 ] name=ether3-LAN
set [ find default-name=ether4 ] master-port=ether3-LAN
set [ find default-name=ether5 ] master-port=ether3-LAN
/interface pppoe-client
add add-default-route=yes comment=INET1 default-route-distance=1 disabled=no \
interface=ether2-WAN keepalive-timeout=3 name=INTERNET use-peer-dns=yes \
user=admshar
/ip firewall layer7-protocol
add name=SocSeti regexp="^.+(vk.com|ok.ru|facebook.com).*\$"
add name=RADIO regexp="^.+(online-red.com|onlayn-radio.ru|zvooq.online|slushat-r\
adio.online|101.ru|onlineradiobox.com|tv-radio.online|rusradio.ru|wwwfm.ru|a\
vtoradio.ru|europaplus.ru|dfm.ru|veseloeradio.ru|dorognoe.ru|hitfm.ru|likefm\
.ru|radio.yandex.ru|radioshanson.fm|top-radio.ru|radiopotok.ru).*\$"
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool2 ranges=\
192.168.0.1-192.168.0.100,192.168.0.102-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool2 interface=ether3-LAN lease-time=5d name=dhcp1
/system logging action
add name=WebProxyLog remote=192.168.0.254 target=remote
/interface pppoe-server server
add interface=ether1-WAN keepalive-timeout=30 one-session-per-host=yes \
service-name="PPoE VPN"
/ip address
add address=192.168.0.101/24 interface=ether3-LAN network=192.168.0.0
add address=172.18.49.102/24 interface=ether1-WAN network=172.18.49.0
add address=172.18.49.102/24 disabled=yes interface=ether3-LAN network=\
172.18.49.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=\
109.236.208.14,109.236.209.14,192.168.0.101 gateway=192.168.0.101
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes max-concurrent-queries=150 \
max-concurrent-tcp-sessions=150 servers=10.0.12.2,10.0.12.3,8.8.8.8
/ip firewall filter
add action=reject chain=forward comment=SOCSETI disabled=yes layer7-protocol=\
SocSeti protocol=tcp reject-with=tcp-reset src-address=192.168.0.0/24
add action=accept chain=input comment="VPN SERVER" disabled=yes dst-port=1723 \
in-interface=INTERNET protocol=tcp
add action=drop chain=input comment=\
"Drop All ports and protocols in input chain by default" disabled=yes
add action=drop chain=forward comment=\
"Drop All ports and protocols in forward chain by default" disabled=yes
add action=reject chain=forward comment=Radio layer7-protocol=RADIO protocol=\
tcp reject-with=tcp-reset src-address=192.168.0.0/24
add action=drop chain=forward comment="BLOCK RAIONA" src-address-list=Raion
add action=drop chain=input src-address-list=Raion
add action=drop chain=input comment="\C4\F0\EE\EF \E8\ED\E2\E0\EB\E8\E4\EE\E2" \
connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections, forward chain" \
connection-state=invalid
add action=accept chain=input comment=\
"\D3\E4\E0\EB\E5\ED\ED\FB\E9 \F0\E0\E1\EE\F7\E8\E9 \F1\F2\EE\EB" dst-port=\
3389 in-interface=INTERNET protocol=tcp
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward comment="Allow Ping" protocol=icmp
add action=accept chain=forward comment=\
"Accept all established and related connections, forward chain" \
connection-state=established,related
add action=accept chain=input comment=\
"Accept all established and related connections, input chain" \
connection-state=established,related
add action=accept chain=forward comment="\C4\EE\F1\F2\F3\EF \E2 \E8\ED\F2\E5\F0\
\ED\E5\F2 \E4\EB\FF \ED\E0\F8\E5\E9 \EB\EE\EA\E0\EB\EA\E8" src-address=\
192.168.0.0/24
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF \EA \EC\E8\EA\F0\EE\F2\
\E8\EA\F3 \F1 \ED\E0\F8\E5\E9 \EB\EE\EA\E0\EB\EA\E8" src-address=\
192.168.0.0/24
add action=drop chain=input comment="\C4\F0\EE\EF\E0\E5\EC \E2\F1\E5\F5 \EA\F2\
\EE \ED\E5 \E2 \F5\EE\E4\E8\F2 \E2 \F1\E5\F2\FC" in-interface=!ether3-LAN
add action=drop chain=input comment="\CE\E1\F0\F3\E1\E0\E5\EC \F2\E5\F5 \EA\F2\
\EE \EF\FB\F2\E0\E5\F2\F1\FF \E1\F0\F3\F2\E8\F2\FC 22 \EF\EE\F0\F2" \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1h chain=input comment="\C7\E0\EF\E8\F1\FB\E2\E0\E5\EC \
IP \E0\E4\F0\E5\F1\E0 \F2\E5\F5 \EA\F2\EE \EF\FB\F2\E0\E5\F2\F1\FF \E1\F0\F3\
\F2\E8\F2\FC 22 \EF\EE\F0\F2" dst-port=22 log=yes log-prefix=\
" --- SSH ATTEMPT --- " protocol=tcp
add action=drop chain=forward comment=\
"\ED\E5\EF\EE\ED\FF\F2\ED\FB\E9 \EA\EE\EC\EF" src-address=192.168.0.99
add action=drop chain=forward src-address=192.168.0.112
add action=reject chain=forward comment=TEST content=adm-sharya.ru disabled=yes \
protocol=tcp reject-with=tcp-reset src-address=192.168.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
add action=masquerade chain=srcnat out-interface=INTERNET
add action=netmap chain=dstnat comment=\
"\D3\E4\E0\EB\E5\ED\ED\FB\E9 \F0\E0\E1\EE\F7\E8\E9 \F1\F2\EE\EB" dst-port=\
3389 in-interface=INTERNET protocol=tcp to-addresses=192.0.168.222 \
to-ports=3389
/ip proxy
set enabled=yes
/ip route
add check-gateway=ping comment=ISP1 distance=1 gateway=INTERNET
add check-gateway=ping comment=ISP2 distance=2 gateway=172.18.49.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes
/ip smb
set allow-guests=no enabled=yes interfaces=ether3-LAN
/ip smb shares
set [ find default=yes ] max-sessions=50
/ip smb users
add name=admin
/ppp secret
add disabled=yes name=excellion service=pppoe
/system clock
set time-zone-name=Europe/Moscow
/system logging
add action=WebProxyLog prefix=proxy topics=web-proxy
add action=WebProxyLog prefix=proxy topics=!debug
/tool netwatch
add disabled=yes down-script="/ip route set [find comment=\"ISP1\"] disable=yes \
\r\
\n/ip route set [find comment=\"ISP2\"] disable=no" host=8.8.4.4 interval=\
10s up-script="/ip route set [find comment=\"ISP1\"] disable=no \r\
\n/ip route set [find comment=\"ISP2\"] disable=yes"
Re: Открыть - пробросить порт
Добавлено: 16 дек 2019, 20:45
KARaS'b
Вы либо ошиблись в написания адреса, либо пробрасываете что-то не в свою сеть, т.к. судя по настройкам используете подсеть 192.168.0.0/24 а в правиле проброса почему-то указан адрес 192.0.168.222 который не имеет никакого отношения к вашей сети и скорее всего должно быть 192.168.0.222.
З.Ы. И в целом, в вашем конфиге присутствую и прочие ляпы и странности, плюс он основан на "дэфлотном", что не очень хорошо.
Re: Открыть - пробросить порт
Добавлено: 17 дек 2019, 09:08
excellion
трындец надо же так опечататься =) все заработало! спасибо огромное что увидели мою ошибку. я несколько раз все проверял и даже внимания не обратил на это.
а какие ляпы и странности вы еще увидели ?
Re: Открыть - пробросить порт
Добавлено: 17 дек 2019, 10:12
KARaS'b
excellion писал(а): ↑17 дек 2019, 09:08
трындец надо же так опечататься =) все заработало! спасибо огромное что увидели мою ошибку. я несколько раз все проверял и даже внимания не обратил на это.
а какие ляпы и странности вы еще увидели ?
Пулы 88 подсети, 2 штука и не используются, зачем-то один и тот же адрес на двух интерфейсах, хоть на одном и выключен, правило маскарада для интерфейса которого не существует и резервирование канала средствами вочдога, которое не будет работать адекватно.
Re: Открыть - пробросить порт
Добавлено: 17 дек 2019, 15:07
excellion
1 маскарад для PPoE подключения, 2 маскарад для интернета с выделенным IP.
я не знаю что за резервирование средствами вотчдог. но работает у меня так:
если PPOE подключен, то все работает через него, если он отпадает, то автоматом все начинают , брать интернет через ither-1-Wan. я уже даже и не помню как я это сделал. =)