taif Posted June 6, 2017 Приветствую всех. Есть Mikrotik RB750r2, провайдер 1, провайдер 2 (оба PPPOE и внешний IP) Не могу пробросить порт с 3333 на 3389 с пров. 1. Пробовал изменять 3333 на др. N портов и отключал запрещающие правила. ______________________ add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \ dst-port=3333 in-interface=Internet_telestar.net protocol=tcp to-addresses=\ 192.168.0.10 to-ports=3389 С теми же настройками роутера на пров. 2 проброс работает (в настройках менял только логин\пароль PPOE) Если устанавливать соединение мимо роутера (напрямую с компа) на пров. 1, все работает. Проверял в т.ч. подключением по RDP **.***.***.***:3389 Пров. 1 утверждает что с их стороны порты не блокируются. Было ли у кого подобное? Есть мысли в какую сторону смотреть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted June 7, 2017 ответные пакеты от RDP сервера уходят через шлюз по умолчанию т.е. через первого провайдера нужно пометить в mangle транзитные конекты (forward) для in-interface=Internet_telestar.net, и там же в prerouting для пакетов с этой меткой сделать mark routing через второго провайдера, +добавить в таблицу маршрутизации маршрут с routing-mark /ip firewall mangle add action=mark-routing chain=prerouting connection-mark=from-telestar in-interface=интерфейс_локальной сети new-routing-mark=to-telestar passthrough=no add action=mark-connection chain=forward in-interface=Internet_telestar.net new-connection-mark=from-telestar passthrough=yes /ip route add distance=1 gateway=шлюз_telestar.net routing-mark=to-telestar Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taif Posted June 7, 2017 Там все проще, работать должно только на пров. 1. Пров. 2 использовал для проверки работает ли вообще проброс (были мысли про косяк в настройках) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted June 7, 2017 затупил, думал нужно пробросить со второго провайдера смотрите через torch приходит что либо на PPOE интерфейс при попытке подключения к RDP (можно поставить фильтр по src-address или по порту)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taif Posted June 7, 2017 Сегодня тестировались, от провайдера пакет приходит на внешний интерфейс, до внутреннего не доходит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted June 7, 2017 torch на интерфейсе локальной сети видит этот пакет? wireshark на сервере видит пакеты на rdp? показывайте ip firewall filter ip firewall nat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted June 7, 2017 (edited) taif, вы изнутри своей локалки тестируете, пытаясь войти на внешнний IP, сидя в одной подсети с сервером? Посмотрел часть конфига. Особо доставили первые строчки: /ip firewall filter add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24 add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24 Edited June 7, 2017 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taif Posted June 8, 2017 /interface ethernet set [ find default-name=ether1 ] comment=WAN l2mtu=1526 set [ find default-name=ether2 ] comment=LAN l2mtu=1524 set [ find default-name=ether3 ] master-port=ether2 set [ find default-name=ether4 ] master-port=ether2 set [ find default-name=ether5 ] master-port=ether2 /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\ disabled max-mru=1480 max-mtu=1480 name=Internet_telestar.net password=\ ******* use-peer-dns=yes user=psho23 /ip neighbor discovery set ether1 comment=WAN set ether2 comment=LAN /ip dhcp-server add interface=ether1 name=server1 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip address add address=192.168.0.2/24 interface=ether2 network=192.168.0.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid interface=ether1 /ip dns set allow-remote-requests=yes max-udp-packet-size=512 servers=\ 77.88.8.8,77.88.8.1 /ip firewall filter add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24 add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24 add chain=forward comment="internet to doc" disabled=yes dst-address=\ 192.168.0.10 dst-port=3389 in-interface=Internet_telestar.net protocol=tcp add chain=input comment="Added by webbox" protocol=icmp # Internet_telestar.net not ready add chain=input comment="Added by webbox" connection-state=established \ in-interface=Internet_telestar.net # Internet_telestar.net not ready add chain=forward comment="Added by webbox" connection-state=related \ in-interface=Internet_telestar.net add action=drop chain=input comment="Added by webbox" disabled=yes \ in-interface=Internet_telestar.net add action=jump chain=forward comment="Added by webbox" disabled=yes \ in-interface=Internet_telestar.net jump-target=customer add chain=customer comment="Added by webbox" connection-state=established \ disabled=yes add chain=customer comment="Added by webbox" connection-state=related \ disabled=yes add action=drop chain=customer comment="Added by webbox" disabled=yes add chain=forward disabled=yes /ip firewall nat # Internet_telestar.net not ready add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\ Internet_telestar.net # Internet_telestar.net not ready add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \ dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \ to-addresses=192.168.0.10 to-ports=3389 /ip service set www-ssl disabled=no /system clock set time-zone-autodetect=no time-zone-name=Europe/Moscow /system routerboard settings set cpu-frequency=850MHz protected-routerboot=disabled Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taif Posted June 8, 2017 Тестировал из внешней сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taif Posted June 9, 2017 Решено В IP---Addresses посмотрел айпишник отличался от внешнего, его и прописал в add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \ dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \ to-addresses=192.168.0.10 to-ports=3389 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
