[LEOLINER]

Имеется микротик который используется в качестве роутора, к нему подключён напрямую интернет, имеется белый ip типа 109.225.00.00,
во внутренней сети есть мост из двух Ubiquiti Powerbeam M2 c ip адресами: 192.168.78.241,192.168.78.243.

Необходимо подключатся на Ubiquiti через глобальную сеть по веб интерфейсу. По мануалам в сети, вроде бы,
всё понятно, были произведены настройки в разделе nat: add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80 (Первое устройство Ubiquiti)
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80 (Второе устройство Ubiquiti)
Общая картина в разделе nat:
add action=masquerade chain=srcnat comment=nat1 out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=ether2 to-addresses=0.0.0.0
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50241 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.241 to-ports=\80
add action=netmap chain=dstnat dst-address=109.225.00.00 dst-port=50243 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.78.243 to-ports=\80
Также были произведены настройки в разделе firewall:
add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp
add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp
Общая картина в разделе firewall:
/ip firewall filter
add chain=input comment="access to winbox" dst-port=8291 in-interface=\
    pppoe-out1 protocol=tcp
add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \
    protocol=tcp
add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \
    protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add chain=input connection-state=related in-interface=ether2
add chain=input connection-state=established in-interface=ether2
add chain=input dst-port=50241 in-interface=pppoe-out1 protocol=tcp
add chain=input dst-port=50243 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input disabled=yes in-interface=pppoe-out1
add action=drop chain=input in-interface=ether2
add chain=forward comment=erhov2 dst-address=192.168.78.13
add chain=forward comment=dvorecki dst-address=192.168.78.35
add action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward in-interface=ether2 jump-target=customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer 
Но почему то невозможно извне подключится к  Ubiquiti Powerbeam M2. Что может быть не так? Заранее всем очень признателен.

[pingz]

Не проще ппптп туннель собрать?

[LEOLINER]

7 часов назад, pingz сказал:

Не проще ппптп туннель собрать?

такая возможность маловероятна, так как PPTP не умеет Ubiquiti Powerbeam

[DRiVen]

10 часов назад, LEOLINER сказал:

to-addresses=0.0.0.0

Зачем?

10 часов назад, LEOLINER сказал:

add action=drop chain=forward dst-address=192.168.78.0/24

Чего ж вы хотите, если дропнули всю передачу в подсеть кроме 192.168.78.13  и 192.168.78.35?
 

add chain=forward dst-address=192.168.78.241

add chain=forward dst-address=192.168.78.243

 

[pingz]

6 часов назад, LEOLINER сказал:

такая возможность маловероятна, так как PPTP не умеет Ubiquiti Powerbeam

У вас стоит микротик. Вам нужно зайти на юбикюти вы по пптп конектитесь к микротик и попадаете во внутреннию сеть

[LEOLINER]

В 20.11.2017 в 05:15, pingz сказал:

У вас стоит микротик. Вам нужно зайти на юбикюти вы по пптп конектитесь к микротик и попадаете во внутреннию сеть

PPTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микротик ,я попаду во внутреннюю сеть через фаервол и нат? 

[pingz]

3 часа назад, LEOLINER сказал:

PPTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микротик ,я попаду во внутреннюю сеть через фаервол и нат? 

 О_о прикинь ты по pptp подключился к микротику у тебя там есть ip ну циферки через 3 точки пишется 1 src nat в сеть где твой юбики через ip 3 точки микротика

[Leninxxx]

12 часов назад, LEOLINER сказал:

PTP server у меня уже давно есть, но непонятно с какой стати подключаясь к микрот

Вы серьезно? Вам реально доверили настраивать сетевое оборудование?

Вот после таких вот кадров приходится объяснять людям почему работа хорошего админа не может дешево стоить...

 

Ну ка, удивите меня, расскажите, а как вы вообще используете PPTP, для чего?

 

[LEOLINER]

20 часов назад, pingz сказал:

 О_о прикинь ты по pptp подключился к микротику у тебя там есть ip ну циферки через 3 точки пишется 1 src nat в сеть где твой юбики через ip 3 точки микротика

Что такое ip address, я без ваших соплей знаю, что это 4 десятичных числа, именуемых октетами, разделённые точками

[LEOLINER]

11 часов назад, Leninxxx сказал:

Вы серьезно? Вам реально доверили настраивать сетевое оборудование?

Вот после таких вот кадров приходится объяснять людям почему работа хорошего админа не может дешево стоить...

 

Ну ка, удивите меня, расскажите, а как вы вообще используете PPTP, для чего?

 

Вы человек поверхностный, по одному инциденту судите обо всём. У меня 8 микротиков и я их всех настроил лично сам. И все прекрасно работают. У меня следующие марки : rb sxtg 2hnd, rbsxt-r2-2nd lite , rb 951-2n , rb-750, rb-2011uias-rm и на один на базе x86. И не кто меня никуда не ставил, я сам себя назначил. И вообще я живу в деревне и на многие километры вокруг на вряд ли вы найдёте какого нибудь админа, одни кабаны да лоси. Ладно немного отошли от темы - PPTP я использовал для выхода в интернет, в качестве эксперимента, но сейчас отключён, заместо него использую PPPoE. Всё! Кажется ясно всё пояснил?

[Saab95]

Проброс портов на веб не надо делать, на устройства начнутся атаки.

Нужно настроить на микротике PPTP сервер и создать для себя учетку. Тогда удаленно с компа или своего домашнего микротика поднимаете туннель, и получаете доступ на серую адресацию своих антенн. Тут либо выдаете для туннеля уникальные адреса на этой точке, либо один из свободных адресов локалки, а на интерфейсе, где подключены антенны, включаете прокси-арп.

 

И вообще проброс портов это устаревшая технология. Сейчас даже смартфон умеет подключаться через туннели.

[Leninxxx]

2 часа назад, LEOLINER сказал:

Вы человек поверхностный, по одному инциденту судите обо всём. У меня 8 микротиков и я их всех настроил лично сам.

Может быть и поверхностный. А может и нет.

Я сделал вывод из вашего первого поста - там банальные правила файрвола, для корректного написания которых необходимо лишь понимание основ ip и маршрутизации. Вы даже не понимаете какой трафик куда и откуда идет.  Следовательно, почти наверняка, у Вас начисто отсутствует база и все настройки которые вы делаете - на 99% копипаст с хабра, отсюда или еще откуда-нибудь.

То что у Вас отсутствие коллег-админов и на многие километры вокруг одни медведи конечно фактор негативный, но тем не менее не умаляет необходимости вникать в суть проделываемой работы.

Думаю со мной согласится большинство здесь присутствующих, что потратив хотя бы день на изучение этих самых основ, Вы уже никогда не будете задавать элементарные вопросы как в первом посту.

 

2 часа назад, Saab95 сказал:

И вообще проброс портов это устаревшая технология.

Согласен, но иногда она чертовски удобная и до сих пор. Настолько удобная что тоннели иногда не вариант ))))

[pingz]

Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. 

[LEOLINER]

В 22.11.2017 в 15:07, Leninxxx сказал:

Я сделал вывод из вашего первого поста - там банальные правила файрвола, для корректного написания которых необходимо лишь понимание основ ip и маршрутизации. Вы даже не понимаете какой трафик куда и откуда идет.  Следовательно, почти наверняка, у Вас начисто отсутствует база и все настройки которые вы делаете - на 99% копипаст с хабра, отсюда или еще откуда-нибудь.

Что же тебя так бомбит? Не спорю - банальных правил мне хватает и я их не сам придумал. Но согласись, что я же выбирал то эти правила не случайным образом там типа: на "спичках вытянул". А выбирал я методом осмысленного анализа, учитывая все необходимые мне параметры. Так что копипаста 99% не спасёт, полного профана. И прекрасно я разбираюсь в протоколах и стандартах, но соглашусь, что я далеко не эксперт в данной области, но усреднёнными знаниями обладаю. Так что не надо лить. 

В 22.11.2017 в 20:27, pingz сказал:

Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. 

Ладно спасибо всем, кран открыл всё заработало(Ну в смысле PPTP). Port Forvarding почему то не запустился. Вывод - что запустилось, на том и работаем. Всё тема закрыта. Всем пока! 

[pingz]

12 часов назад, LEOLINER сказал:

В 22.11.2017 в 22:27, pingz сказал:

Ну как то так. Ну если тебе и этого не хватит, уж извини, нужно будет открыть кран в ванной. 

Ладно спасибо всем, кран открыл всё заработало(Ну в смысле PPTP). Port Forvarding почему то не запустился. Вывод - что запустилось, на том и работаем. Всё тема закрыта. Всем пока! 

Так будет правильней, если нет жёсткой необходимости светить внутреннее железо(типа видеорегистратор, сервер и т.д.) всегда лучше заворачивать в тунель, пусть, хоть и не шифрованный.