Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток!
Приобрел себе RouterBOARD 952Ui-5ac2nD и при настройке столкнулся со следующей проблемой: не качает torrent-клиент. Стоит подключение к пирам 0.0%
Перерыл кучу информации из гугла, но нигде нет решения данной проблемы, кроме проброса порта. Что в принципе я и сделал, но результат - ноль.
Первоначальную настройку делал по инструкции Настройка+RouterOS. Самая первая в поисковике и актуальная как я понимаю. Торрент не работал.
Сделал изменения по многим другим источникам, чуть без инета не остался, благо сохранил настройки. Файервол и блок портов отключал, просто проверить будет ли работать, но так тоже не работает. После изменений делал перезагрузку, если важно. На данный момент работа меня устраивает, кроме соответственно проблемы с торрентом.
Проброс стоит. Порт замазал **951. Посмотрите пожалуйста, в чем может быть проблема.
Схема соединения: Интернет pppoe - роутер - клиенты wifi-2,4; клиенты wifi-5 (именно здесь сидит ПК с торрент-клиентом, он один в этом диапазоне).
Если где-то что-то упустил не замазав интимные подробности, дайте знать пожалуйста)

Код: Выделить всё

  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 6.43.2 (c) 1999-2018       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
(228 messages not shown)
nov/05/2018 21:02:24 system,error,critical login failure for user admin from 178.2
06.109.166 via telnet
nov/05/2018 21:02:25 system,error,critical login failure for user root from 178.20
6.109.166 via telnet
nov/05/2018 21:02:26 system,error,critical login failure for user root from 178.20
6.109.166 via telnet
nov/05/2018 21:02:27 system,error,critical login failure for user root from 178.20
6.109.166 via telnet
nov/05/2018 21:02:28 system,error,critical login failure for user supervisor from 
178.206.109.166 via telnet
nov/05/2018 21:02:29 system,error,critical login failure for user user from 178.20
6.109.166 via telnet
nov/05/2018 21:02:30 system,error,critical login failure for user root from 178.20
6.109.166 via telnet
nov/05/2018 21:04:08 system,error,critical login failure for user admin from 14.16
9.176.119 via ssh
[admin@MikroTik] > export
# nov/06/2018 18:10:13 by RouterOS 6.43.2
# software id = 2TNA-9R**
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 7C30085ED4**
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=******* user=*******
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn basic-rates-b="" channel-width=\
    20/40mhz-XX country=russia disabled=no distance=indoors frequency=2452 \
    hw-protection-mode=rts-cts mode=ap-bridge rate-set=configured ssid=\
    MikroTik-75 supported-rates-b="" tx-power=18 tx-power-mode=all-rates-fixed \
    wds-default-bridge=bridge1 wds-mode=dynamic wireless-protocol=802.11 \
    wmm-support=enabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
    band=5ghz-n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no \
    distance=indoors frequency=auto frequency-mode=regulatory-domain \
    guard-interval=long hw-protection-mode=rts-cts mode=ap-bridge radio-name=\
    MikroTik-75 ssid=MikroTik-755 wireless-protocol=802.11 wmm-support=enabled \
    wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=******* \
    wpa2-pre-shared-key=*******
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 bootp-support=dynamic disabled=no \
    interface=bridge1 lease-time=3d name=dhcp1
/interface bridge port
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 hw=no interface=ether3
add bridge=bridge1 hw=no interface=ether4
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.0.3 client-id=1:*** mac-address=\
    *** server=dhcp1
add address=192.168.0.4 client-id=1:*** mac-address=\
    *** server=dhcp1
add address=192.168.0.6 client-id=1:*** mac-address=\
    *** server=dhcp1
add address=192.168.0.2 client-id=1:*** mac-address=\
    *** server=dhcp1
add address=192.168.0.5 client-id=1:*** mac-address=\
    *** server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=\
    24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input connection-state="" disabled=yes protocol=icmp
add action=accept chain=input connection-state=established disabled=yes
add action=accept chain=input connection-state=related disabled=yes
add action=drop chain=input disabled=yes in-interface=pppoe-out1
add action=accept chain=input connection-state=established,related disabled=yes
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=input disabled=yes protocol=tcp
add action=drop chain=input disabled=yes in-interface=pppoe-out1
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept estabilished connections" \
    connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connections" \
    connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Local Input" in-interface=!ether1 \
    src-address=192.168.0.0/24
add action=accept chain=input comment="Accept Torrent" connection-mark="" \
    dst-port=22951 in-interface=ether1 protocol=tcp src-address=***
add action=accept chain=forward out-interface=pppoe-out1 protocol=tcp
add action=accept chain=input dst-port=**951 in-interface=pppoe-out1 protocol=\
    udp src-address=***
add action=accept chain=forward in-interface=pppoe-out1 protocol=udp
add action=accept chain=forward comment="Allow access inside LAN" dst-address=\
    192.168.0.0/24 in-interface=bridge1 out-interface=bridge1 src-address=\
    192.168.0.0/24
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=pppoe-out1
add action=accept chain=forward comment="Accept forward from local to internet" \
    in-interface=!pppoe-out1 out-interface=pppoe-out1
add action=drop chain=forward comment="Drop allow other forward"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=Torrents disabled=yes dst-port=**951 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.5 to-ports=\
    **951
add action=dst-nat chain=dstnat disabled=yes dst-port=**951 in-interface=\
    pppoe-out1 protocol=udp to-ports=**951
add action=netmap chain=dstnat comment="Torrent 2" dst-port=**951 in-interface=\
    ether1 protocol=tcp src-address=*** to-addresses=192.168.0.5
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge1 type=internal
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
[admin@MikroTik] >

У меня в правилах проброса еще и dst-address присутствует. И в торрент-клиенте порт входящих соединений указан намертво, а не случайный.

podarok66 писал(а): ↑06 ноя 2018, 20:27 У меня в правилах проброса еще и dst-address присутствует. И в торрент-клиенте порт входящих соединений указан намертво, а не случайный.

Проброс портов в Микротике — ликбез для начинающих писал(а): Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет.

Ставил исходя из данных слов в инструкции по пробросу. Поэтому, полагаю не в этом соль.
В торрент-клиенте порт тоже стоит намертво.

Firewall работает после dst-nat, соответственно правила разрешающие проброшенный трафик надо писать исходя уже из того, что адрес/порт назначения изменены - то есть уже не направлены самому роутеру - а значит должны быть в цепочке forward.

xvo писал(а): ↑07 ноя 2018, 01:06 Firewall работает после dst-nat, соответственно правила разрешающие проброшенный трафик надо писать исходя уже из того, что адрес/порт назначения изменены - то есть уже не направлены самому роутеру - а значит должны быть в цепочке forward.

Я удалил все правила, кроме основного srcnat. Наткнулся на UPnP в настройках микротика. Включил, но торрент так же не работает. Ниже выкладываю скрин NAT. Видно что он пытается, но не получается. Где идет просадка? Ведь все настройки автоматически он сам создал.

UP!
Не знаю каким образом, но в Adresses - Adress List на локалку был вписан интерфейс ether2, хотя точно указывал bridge. Решил пробежаться по всем пунктам и заметил. В общем клиент заработал на UPnP.
Так как стало легче, уже интересует следующий вопрос. Хочу вернуть правила и убрать UPnP, вроде как просочиться можно через нее. При пробросе портов tcp и udp нужно указывать Dst. Adress, а он у меня динамический. Что писать в нем? Или где прописать?

Ну так вы firewall поправили?

xvo писал(а): ↑07 ноя 2018, 02:51 Ну так вы firewall поправили?

Нет. Я все удалил. Все имеющиеся правила, во вкладке IP - Firewall есть только во вкладке NAT, на скриншоте выше. Созданные правила для tcp и udp были сформированы самим микротиком, после включения функции IP - UPnP. Кроме основного правила masquarade, там все стандартно.

Win_DIEzel писал(а): ↑07 ноя 2018, 11:38
xvo писал(а): ↑07 ноя 2018, 02:51 Ну так вы firewall поправили?
Нет. Я все удалил. Все имеющиеся правила, во вкладке IP - Firewall есть только во вкладке NAT, на скриншоте выше. Созданные правила для tcp и udp были сформированы самим микротиком, после включения функции IP - UPnP. Кроме основного правила masquarade, там все стандартно.

А что тогда не работает в тех правилах, которые вы руками пытаетесь добавить?
dst-address не обязателен, если указан in-interface.
И to-ports тоже лучше не указывать, если вы порт не меняете: если указать, то машина делает, что ей сказано - меняет один на другой, и когда они одинаковые, то это совершенно бесполезное лишнее действие.

Получается адрес динамический, но "белый"?
Вы главное потом тогда не забудьте firewall на место вернуть :)

А что тогда не работает в тех правилах, которые вы руками пытаетесь добавить?
dst-address не обязателен, если указан in-interface.
И to-ports тоже лучше не указывать, если вы порт не меняете: если указать, то машина делает, что ей сказано - меняет один на другой, и когда они одинаковые, то это совершенно бесполезное лишнее действие.

Получается адрес динамический, но "белый"?
Вы главное потом тогда не забудьте firewall на место вернуть :)

Отключил UPnP. Не указывал dst-address и прописал dst-port. Клиент продолжает работать. Благодарю за оказанную помощь!
В Interface - pppoe-out1 есть Local Adress178.*.*.* он меняется, динамический как я понимаю. Есть Remote Adress 10.*.*.* он не меняется, получается белый? Не силен в этом.
Есть еще один вопрос. Где можно найти хороший стандартный шаблон для правил Filter Rules? Сейчас очень много различных майнеров, до сих пор есть уязвимости портов, DDoS и т.д. Я не параноик, но достойную защиту хотелось бы иметь, так как Микротик позволяет это реализовать.

Win_DIEzel писал(а): ↑07 ноя 2018, 19:47 Отключил UPnP. Не указывал dst-address и прописал dst-port. Клиент продолжает работать. Благодарю за оказанную помощь!
В Interface - pppoe-out1 есть Local Adress178.*.*.* он меняется, динамический как я понимаю. Есть Remote Adress 10.*.*.* он не меняется, получается белый? Не силен в этом.
Есть еще один вопрос. Где можно найти хороший стандартный шаблон для правил Filter Rules? Сейчас очень много различных майнеров, до сих пор есть уязвимости портов, DDoS и т.д. Я не параноик, но достойную защиту хотелось бы иметь, так как Микротик позволяет это реализовать.

Remote-address - это адрес другого конца туннеля, он как бы не ваш.
Но если Local 178... то получается все-таки белый, хоть и динамический.

У микротика вполне достойный "дефолтный" firewall:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"

Russian Users MikroTik | Форум пользователей MikroTik

Не пропускает torrent-клиент

Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент

Re: Не пропускает torrent-клиент