Jump to content
Калькуляторы

mikrotik 750 не пробрасывается порт

Приветствую всех.

Есть Mikrotik RB750r2, провайдер 1, провайдер 2 (оба PPPOE и внешний IP)

Не могу пробросить порт с 3333 на 3389 с пров. 1. Пробовал изменять 3333 на др. N портов

и отключал запрещающие правила.

______________________

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp to-addresses=\

192.168.0.10 to-ports=3389

 

С теми же настройками роутера на пров. 2 проброс работает (в настройках менял только логин\пароль PPOE)

Если устанавливать соединение мимо роутера (напрямую с компа) на пров. 1, все работает. Проверял в т.ч. подключением по RDP **.***.***.***:3389

Пров. 1 утверждает что с их стороны порты не блокируются.

Было ли у кого подобное? Есть мысли в какую сторону смотреть?

Share this post


Link to post
Share on other sites

ответные пакеты от RDP сервера уходят через шлюз по умолчанию т.е. через первого провайдера

 

нужно пометить в mangle транзитные конекты (forward) для in-interface=Internet_telestar.net, и там же в prerouting для пакетов с этой меткой сделать mark routing через второго провайдера, +добавить в таблицу маршрутизации маршрут с routing-mark

 

/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=from-telestar in-interface=интерфейс_локальной сети new-routing-mark=to-telestar passthrough=no
add action=mark-connection chain=forward in-interface=Internet_telestar.net new-connection-mark=from-telestar passthrough=yes

/ip route add distance=1 gateway=шлюз_telestar.net routing-mark=to-telestar

Share this post


Link to post
Share on other sites

Там все проще, работать должно только на пров. 1.

Пров. 2 использовал для проверки работает ли вообще проброс (были мысли про косяк в настройках)

Share this post


Link to post
Share on other sites

затупил, думал нужно пробросить со второго провайдера

 

смотрите через torch приходит что либо на PPOE интерфейс при попытке подключения к RDP (можно поставить фильтр по src-address или по порту)?

Share this post


Link to post
Share on other sites

Сегодня тестировались, от провайдера пакет приходит на внешний интерфейс, до внутреннего не доходит.

Share this post


Link to post
Share on other sites

torch на интерфейсе локальной сети видит этот пакет?

wireshark на сервере видит пакеты на rdp?

 

показывайте ip firewall filter

ip firewall nat

Share this post


Link to post
Share on other sites

taif, вы изнутри своей локалки тестируете, пытаясь войти на внешнний IP, сидя в одной подсети с сервером?

Посмотрел часть конфига. Особо доставили первые строчки:

/ip firewall filter

add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24

add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

/interface ethernet

set [ find default-name=ether1 ] comment=WAN l2mtu=1526

set [ find default-name=ether2 ] comment=LAN l2mtu=1524

set [ find default-name=ether3 ] master-port=ether2

set [ find default-name=ether4 ] master-port=ether2

set [ find default-name=ether5 ] master-port=ether2

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\

disabled max-mru=1480 max-mtu=1480 name=Internet_telestar.net password=\

******* use-peer-dns=yes user=psho23

/ip neighbor discovery

set ether1 comment=WAN

set ether2 comment=LAN

/ip dhcp-server

add interface=ether1 name=server1

/ip hotspot profile

set [ find default=yes ] html-directory=flash/hotspot

/ip address

add address=192.168.0.2/24 interface=ether2 network=192.168.0.0

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid interface=ether1

/ip dns

set allow-remote-requests=yes max-udp-packet-size=512 servers=\

77.88.8.8,77.88.8.1

/ip firewall filter

add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24

add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24

add chain=forward comment="internet to doc" disabled=yes dst-address=\

192.168.0.10 dst-port=3389 in-interface=Internet_telestar.net protocol=tcp

add chain=input comment="Added by webbox" protocol=icmp

# Internet_telestar.net not ready

add chain=input comment="Added by webbox" connection-state=established \

in-interface=Internet_telestar.net

# Internet_telestar.net not ready

add chain=forward comment="Added by webbox" connection-state=related \

in-interface=Internet_telestar.net

add action=drop chain=input comment="Added by webbox" disabled=yes \

in-interface=Internet_telestar.net

add action=jump chain=forward comment="Added by webbox" disabled=yes \

in-interface=Internet_telestar.net jump-target=customer

add chain=customer comment="Added by webbox" connection-state=established \

disabled=yes

add chain=customer comment="Added by webbox" connection-state=related \

disabled=yes

add action=drop chain=customer comment="Added by webbox" disabled=yes

add chain=forward disabled=yes

/ip firewall nat

# Internet_telestar.net not ready

add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\

Internet_telestar.net

# Internet_telestar.net not ready

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \

to-addresses=192.168.0.10 to-ports=3389

/ip service

set www-ssl disabled=no

/system clock

set time-zone-autodetect=no time-zone-name=Europe/Moscow

/system routerboard settings

set cpu-frequency=850MHz protected-routerboot=disabled

Share this post


Link to post
Share on other sites

Тестировал из внешней сети.

Share this post


Link to post
Share on other sites

Решено

В IP---Addresses посмотрел айпишник отличался от внешнего, его и прописал в

 

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \

to-addresses=192.168.0.10 to-ports=3389

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this