mikrotik 750 не пробрасывается порт

[taif]

Приветствую всех.

Есть Mikrotik RB750r2, провайдер 1, провайдер 2 (оба PPPOE и внешний IP)

Не могу пробросить порт с 3333 на 3389 с пров. 1. Пробовал изменять 3333 на др. N портов

и отключал запрещающие правила.

______________________

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp to-addresses=\

192.168.0.10 to-ports=3389

 

С теми же настройками роутера на пров. 2 проброс работает (в настройках менял только логин\пароль PPOE)

Если устанавливать соединение мимо роутера (напрямую с компа) на пров. 1, все работает. Проверял в т.ч. подключением по RDP **.***.***.***:3389

Пров. 1 утверждает что с их стороны порты не блокируются.

Было ли у кого подобное? Есть мысли в какую сторону смотреть?

[.None]

ответные пакеты от RDP сервера уходят через шлюз по умолчанию т.е. через первого провайдера

 

нужно пометить в mangle транзитные конекты (forward) для in-interface=Internet_telestar.net, и там же в prerouting для пакетов с этой меткой сделать mark routing через второго провайдера, +добавить в таблицу маршрутизации маршрут с routing-mark

 

/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=from-telestar in-interface=интерфейс_локальной сети new-routing-mark=to-telestar passthrough=no
add action=mark-connection chain=forward in-interface=Internet_telestar.net new-connection-mark=from-telestar passthrough=yes

/ip route add distance=1 gateway=шлюз_telestar.net routing-mark=to-telestar

[taif]

Там все проще, работать должно только на пров. 1.

Пров. 2 использовал для проверки работает ли вообще проброс (были мысли про косяк в настройках)

[.None]

затупил, думал нужно пробросить со второго провайдера

 

смотрите через torch приходит что либо на PPOE интерфейс при попытке подключения к RDP (можно поставить фильтр по src-address или по порту)?

[taif]

Сегодня тестировались, от провайдера пакет приходит на внешний интерфейс, до внутреннего не доходит.

[.None]

torch на интерфейсе локальной сети видит этот пакет?

wireshark на сервере видит пакеты на rdp?

 

показывайте ip firewall filter

ip firewall nat

[nkusnetsov]

taif, вы изнутри своей локалки тестируете, пытаясь войти на внешнний IP, сидя в одной подсети с сервером?

Посмотрел часть конфига. Особо доставили первые строчки:

/ip firewall filter

add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24

add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24

Edited June 7, 2017 by nkusnetsov

[taif]

/interface ethernet

set [ find default-name=ether1 ] comment=WAN l2mtu=1526

set [ find default-name=ether2 ] comment=LAN l2mtu=1524

set [ find default-name=ether3 ] master-port=ether2

set [ find default-name=ether4 ] master-port=ether2

set [ find default-name=ether5 ] master-port=ether2

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\

disabled max-mru=1480 max-mtu=1480 name=Internet_telestar.net password=\

******* use-peer-dns=yes user=psho23

/ip neighbor discovery

set ether1 comment=WAN

set ether2 comment=LAN

/ip dhcp-server

add interface=ether1 name=server1

/ip hotspot profile

set [ find default=yes ] html-directory=flash/hotspot

/ip address

add address=192.168.0.2/24 interface=ether2 network=192.168.0.0

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid interface=ether1

/ip dns

set allow-remote-requests=yes max-udp-packet-size=512 servers=\

77.88.8.8,77.88.8.1

/ip firewall filter

add chain=forward comment="Allow all for admin" dst-address=192.168.0.0/24

add chain=forward comment="Allow all for admin" src-address=192.168.0.0/24

add chain=forward comment="internet to doc" disabled=yes dst-address=\

192.168.0.10 dst-port=3389 in-interface=Internet_telestar.net protocol=tcp

add chain=input comment="Added by webbox" protocol=icmp

# Internet_telestar.net not ready

add chain=input comment="Added by webbox" connection-state=established \

in-interface=Internet_telestar.net

# Internet_telestar.net not ready

add chain=forward comment="Added by webbox" connection-state=related \

in-interface=Internet_telestar.net

add action=drop chain=input comment="Added by webbox" disabled=yes \

in-interface=Internet_telestar.net

add action=jump chain=forward comment="Added by webbox" disabled=yes \

in-interface=Internet_telestar.net jump-target=customer

add chain=customer comment="Added by webbox" connection-state=established \

disabled=yes

add chain=customer comment="Added by webbox" connection-state=related \

disabled=yes

add action=drop chain=customer comment="Added by webbox" disabled=yes

add chain=forward disabled=yes

/ip firewall nat

# Internet_telestar.net not ready

add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\

Internet_telestar.net

# Internet_telestar.net not ready

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \

to-addresses=192.168.0.10 to-ports=3389

/ip service

set www-ssl disabled=no

/system clock

set time-zone-autodetect=no time-zone-name=Europe/Moscow

/system routerboard settings

set cpu-frequency=850MHz protected-routerboot=disabled

[taif]

Тестировал из внешней сети.

[taif]

Решено

В IP---Addresses посмотрел айпишник отличался от внешнего, его и прописал в

 

add action=dst-nat chain=dstnat comment="inet test" dst-address=**.***.***.*** \

dst-port=3333 in-interface=Internet_telestar.net protocol=tcp \

to-addresses=192.168.0.10 to-ports=3389