[GAlileoHelpDesk]

Уважаемые коллеги

Mikrotik RB2011UiAS-2HnD не пропускает почту наружу,как я понимаю изза не корректной настройки работы с 443 портом.потому что так же не работает c Exschange Any есть веб-интерфейс и синхронизация с телефонами. Если почту завернуть на этот порт принудительно то все сайты использующие SSL автоматом подменяются на почтовый внутренний. так как их много тот же Google это не вариант.

Можете посоветовать правила работающие в конфигурации

Почта 25 и 443 порт

FTP 21 порт

Интернет приходит через SFP Раздается через eht1

[GAlileoHelpDesk]

Вопрос с 443 портом разрешился, осталось создать правило что бы почта ходила наружу

[GAlileoHelpDesk]

Вопрос разрешился если кому понадобиться решение то оно просто как два пальца

Табличка в NAT должна выглядеть так как в приложенном файле.

 

Или выполнить команды в терминале.

 

/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443

/ip firewall nat add action=masquerade chain=srcnat out-interface=sfp1

[sexst]

/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443

 

Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее.

/ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3

[GAlileoHelpDesk]

"Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее.

/ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3"

 

Я то же так думал, как оказалось зря, работало что-то одно или почта на 25 порту или AnyWere на 443

Развел по разным строчкам и работает нормально, что это глюк, баг или фича не знаю, но в supporte Mikrotik мне подтвердили правильность

моих действий.

[GAlileoHelpDesk]

Как оказалось Mikrotik лучшее решение для лечения скуки

теперь не работает FTP причем когда не работала почта, FTP работал как миленький.

Теперь принимаем пакет отправляем его на FTP и глохнем

[vlad11]

В тему призывается Saab95!

[Ivan_83]

Использовать пассивный фтп в клиенте или фтп-алг на тике запустить/настроить.

[GAlileoHelpDesk]

Проблема в том что FTP тиковский встроенный не потянет объем.

У же сейчас на FTP 500 Мб данных. И даже если вставить флеху на 32 Гб.

Как отвести её под FTP я не понял.

А проброска порта в NAT дает странную картину.

Я вижу пакет запроса который уходит на FTP а вот обратного движения не наблюдаю.

Изменено 16 июля, 2015 пользователем GAlileoHelpDesk

[GAlileoHelpDesk]

Подцепил флешку на 8 Гб и пока использую встроенный FTP

Но правильное решение все же хотелось бы понять

[NikAlexAn]

Подцепил флешку на 8 Гб и пока использую встроенный FTP

Но правильное решение все же хотелось бы понять

А FTP то у вас где?

[GAlileoHelpDesk]

Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина.

Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора.

[sexst]

Правила в студию!

[NikAlexAn]

Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина.

Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора.

Добавляете два правила в dst-nat на 20 и 21 порт на адрес ftp. Из локалки обращаетесь к ftp по внутреннему адресу а из мира по внешнему адресу микротика.

[GAlileoHelpDesk]

И такой вариант пробовал, не работает паскуда. От слова вообще.

[sexst]

connection-type=ftp в форвардинге указан?

[GAlileoHelpDesk]

А где это прописывать? Или как?

[sexst]

В цепочке filter forward у вас что сейчас? Суть в том что ftp (как и sip трафик, tftp, pptp и сотни их) требует хелперов в iptables при активном режиме т.к. навстречу запросу открывается новое соединение с другого порта и iptables просто не понимает этого как established или related соединение. В итоге если у вас в конце цепочки явный дроп всего, это новое соединение тупо блокируется. Поэтому я и предлагал выложить сюда ваши правила для оценки.

[Butch3r]

В тему призывается Saab95!

да вот хер он появится, он появляется там, где можно пофлудить. А когда реальная проблема - его нет.