Russian Users MikroTik | Форум пользователей MikroTik

winso писал(а): ↑30 окт 2022, 21:34 извините тупенького, а как

вывод скопировать сюда

# oct/31/2022 01:19:37 by RouterOS 6.49.7
# software id = 6ERM-HR5N
#
# model = RBD52G-5HacD2HnD
# serial number = HD00892BEY4
/interface bridge add admin-mac=18:FD:74:7F:7B:C7 auto-mac=no comment=defconf name=bridge
/interface ethernet set [ find default-name=ether1 ] mac-address=9C:D3:6D:02:5E:F4
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia disabl
ed=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MEGAWATT wireless-protocol=802.11
/interface wireless set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia
disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MEGAWATT5 wireless-protocol=802
.11
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-k
eys supplicant-identity=MikroTik
/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=wlan1
/interface bridge port add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease add address=192.168.88.254 client-id=1:f8:c0:91:14:a7:be mac-address=F8:C0:91:14:A7:BE server
=defconf
/ip dhcp-server lease add address=192.168.88.252 client-id=1:40:16:7e:ad:7c:e8 mac-address=40:16:7E:AD:7C:E8 server
=defconf
/ip dhcp-server lease add address=192.168.88.250 client-id=1:0:15:5d:1:c:3 mac-address=00:15:5D:01:0C:03 server=def
conf
/ip dhcp-server lease add address=192.168.88.249 client-id=1:0:15:5d:1:c:0 mac-address=00:15:5D:01:0C:00 server=def
conf
/ip dhcp-server lease add address=192.168.88.247 client-id=1:0:e0:4c:8d:1e:21 mac-address=00:E0:4C:8D:1E:21 server=
defconf
/ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns set allow-remote-requests=yes
/ip dns static add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ips
ec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=est
ablished,related
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connec
tion-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled
=yes
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-
state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall filter add action=accept chain=input protocol=icmp
/ip firewall filter add action=accept chain=input connection-state=established
/ip firewall filter add action=accept chain=input connection-state=related
/ip firewall filter add action=drop chain=input disabled=yes in-interface-list=!LAN
/ip firewall nat add action=netmap chain=dstnat dst-port=32976 in-interface=ether1 log=yes port=32976 protocol=tcp
to-addresses=192.168.88.247 to-ports=32976
/ip firewall nat add action=masquerade chain=srcnat dst-port=32976 log=yes protocol=tcp src-address=176.57.77.175
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
/ip firewall service-port set ftp disabled=yes
/ip firewall service-port set tftp disabled=yes
/ip firewall service-port set irc disabled=yes
/ip firewall service-port set h323 disabled=yes
/ip firewall service-port set sip disabled=yes
/ip firewall service-port set pptp disabled=yes
/ip firewall service-port set udplite disabled=yes
/ip firewall service-port set dccp disabled=yes
/ip firewall service-port set sctp disabled=yes
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip upnp interfaces add interface=bridge type=internal
/ip upnp interfaces add interface=ether1 type=external
/system clock set time-zone-name=Europe/Moscow
/system identity set name=RouterOS
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

в лог сыпятся попытки внешние подключиться
oct/31 01:50:00 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 5.101.
198.33:61667->176.57.77.175:32976, len 48
oct/31 01:50:00 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 188.18
7.56.81:59763->176.57.77.175:32976, len 48
oct/31 01:50:05 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac 28:a2:4b:f9:f2:a3, proto TCP (SYN), 94.228
.206.242:54273->176.57.77.175:32976, len 52

Добрый день, прошу помощи в пробросе порта 8080.
С микротиком знаком 2 дня )
В сети поднят Apache server (барахолка для личного использования на выездах) с адрессом 192.168.1.10 порт 8080
Сделал проброс порта во вне , и он работает из вне.
В локалке при вводе в браузере 192.168.1.10:8080 тоже открывается.
Проблема в том , что мне нужно в локалке открыть через внешний адресс 93.117.X.X:8080 , а он не открывется и не понимаю почему.
Ранее стоял другой роуте другой фирмы и все работало, помогите пожалуйста организовать на микротике.
Заранее спасибо!

[admin@RouterOS] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; apache
chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=8080
protocol=tcp in-interface=ether1 dst-port=8080 log=no log-prefix=""

1 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none

Гуглить hairpin nat.

xvo писал(а): ↑05 апр 2023, 12:43 Гуглить hairpin nat.

Спасибо огромное , все получилось!

Добрый день.
Помогите разобраться. Перестал работать VPN удалённых пользователей.
Закономерность такая, что выдаётся : сообщение
initiate new phase 1 (Identity Protection): XXX.XXX.XXX.XXX[500]<=>XXX.XXX.XXX.XXX[500] и если в скобках одинаковый нмер порта, например [500] и [500], то это работает. А если почему то получается разный (такое в основном через мобильные сети, например [500] и [14480] то разрывается через полминуты. Излазил все настройки, но так и не могу понять, где это правило, которое одинаковые порты присваивает....

Это не правило, это клиент за NAT'ом.

udp/4500 открыт firewall'е?

Добрый день! Стоит микротик на даче, в него воткнут usb модем(Tele2), интерфейс с модемом по DHCP Clien получает ip ( настроен по статье о подключении к LTE модему). Хочу периодически заходить удаленно на микротик с помощью WinBox, чтоб не ездить каждый раз. Включил Cloud получил DDNS(далее по статье настроил). Но не работает :( Ip начинается на 176.59... Вроде простая задача, помогите, чего можно проверить, посмотреть? Может по другому решить?

Tele2 даёт белый адрес?
Очень сомнительно.

По DHCP от модема микротик какой адрес получает?

модем 192.168.1.190, а микротик 192.168.0.10