[garald50]

Подскажите, почему не работает проброс порта 3389 из интернета в локальную сеть на ПК 192,168,88,2.

[corlovito]

укажите входящий интерфейс в правиле

[g3fox]

укажите входящий интерфейс в правиле

 

Больше ничего не пишите...

 

Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B.

Возможные варианты:

1. Проблема в файрволе на самом ПК.

2. Микротик не является шлюзом для 88.2.

3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте.

[DRiVen]

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

[g3fox]

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

 

Ещё один эксперт...

Само правило у него работает.

Счётчик там растёт.

[zorn]

В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

Edited January 25, 2015 by zorn

[LLatypov]

В разделе нат выберите dst-nat в action используйте netmap

Edited January 25, 2015 by LLatypov

[garald50]

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

Edited January 26, 2015 by garald50

[g3fox]

В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

 

ОМГ. Каком ещё инпуте?

Третий эксперт.

Прям перепись какая-то.

[g3fox]

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

[LLatypov]

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Решение рабочее

chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

 

И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет

Edited January 26, 2015 by LLatypov

[g3fox]

Хорошо, я за вами просто понаблюдаю. Тем более, что решение я уже дважды написал.

[DRiVen]

g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся.

 

что нужно показать? (какая команда)

Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact.

[garald50]

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

[g3fox]

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

 

Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить.

Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP.

Либо можете вручную создать это правило прям в меню IP - Firewall.

[corlovito]

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

Edited January 26, 2015 by corlovito

[g3fox]

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

 

Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2:

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

[corlovito]

Но вот как ввести его в нужную позицию я, к сожалению, не знаю.

 

place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить

[garald50]

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

failure: ports can be specified if proto is tcp or udp

[corlovito]

добавьте вот это в выражение protocol=tcp

[garald50]

не работает рдп. по правилу отработало 3 пакета на 144 байта

[LLatypov]

1. Отключи полностью все правила и проверь.

2. Какой внешний ип с которого проверяешь.

3. Комп на который ты radmin прокидываешь в инет выходит?

Edited January 27, 2015 by LLatypov

[garald50]

1. Какие правила отключить и что это покажет?

2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат.

3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает

[LLatypov]

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

[garald50]

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает