Не работает проброс портов

[zxw]

Добрый день! Прошу помощи с проблемой, борюсь уже пару дней.
Есть Mikrotik hap (rb951ui-2nd) с RouterOS 6.47.
Ether1 - wan, смотрит к провайдеру, там статический белый IP.
К Ether5 подключен видеорегистратор RVI с рабочими портами 8080,554,37777 и 37778. Регистратор доступен в локальной сети через браузер по 192.168.1.108:8080 

Собственно, задача:
Реализовать доступ из интернета к регистратору (не столько важен веб-интерфейс, сколько остальные порты, но проверять удобнее всего именно его).
Проблема: не получается :) При обращении из интернета по адресу внешнийip:8080 ответ не приходит, но счётчик пакетов NAT и Filter rules на микротике растёт, да и в логах появляется запись о срабатывании нат правила:

Time    Jul/04/2020 13:19:21
Buffer    memory
Topics firewall info
Message    dvr dstnat: in:ether1 out:(unknown 0), src-mac 00:04:96:::**, proto TCP (SYN), мойip:9576->внешнийip:8080, len 52

Подскажите пожалуйста, в чём проблема может быть? Сам прочитал кучу веток и не допёр. Все правила с дропами отключал, это не помогало.

Правила вот:

 

/ip firewall filter
add action=accept chain=forward dst-address=192.168.1.0/24 dst-port=8080 protocol=tcp
add action=drop chain=forward comment="drop from guest network to private" dst-address=192.168.1.0/24 src-address=192.168.89.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080,554,37777,37778 in-interface=all-ethernet log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

 

[Crazy_Max]

default gateway прописан у видеорегистратора?

[zxw]

49 минут назад, Crazy_Max сказал:

default gateway прописан у видеорегистратора?

Прописан. 

[Constantin]

1 час назад, zxw сказал:

/ip firewall nat add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080,554,37777,37778 in-interface=all-ethernet log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

вот тут полная лажа

 

вот пример работающих правил:

 

add action=dst-nat chain=dstnat dst-address=212.ххх.ххх.ххх dst-port=3389 protocol=tcp to-addresses=192.168.0.83 to-ports=3389

add action=masquerade chain=srcnat out-interface=pppoe-out1

 

 

у вас проблемма в том что вы сделали по методичке с интернета, и не понимаете как это работает

[zxw]

32 минуты назад, Constantin сказал:

вот тут полная лажа

Отличие только в 

ipsec-policy=out,none

, по сути?

 

 

Цитата

у вас проблемма в том что вы сделали по методичке с интернета, и не понимаете как это работает

не отрицаю, конечно)

Edited July 4, 2020 by zxw

[Constantin]

6 минут назад, zxw сказал:

Отличие только в 

ipsec-policy=out,none

, по сути? 

я вас умоляю, ну ладно вам виднее

[zxw]

6 минут назад, Constantin сказал:

я вас умоляю, ну ладно вам виднее

куда уж мне до профессоров, которые только и могут, что ходить чморить других)

 

Если вы видите какие-то отличия моего конфига от вашего, из-за которых и может быть проблема, будьте так любезны, ткните меня в них носом. Пока же вы прислали только практически идентичный моему запрос и сразу слились.

Edited July 4, 2020 by zxw

[Constantin]

7 минут назад, zxw сказал:

будьте так любезны, ткните меня в них носом.

я ткнул

 

я дал вам 2 правила , ( одно на проброс порта второе на правло ната) правильных, конкретных, вам осталось только сравнить посимвольно, и найти касяк у себя

если вы и это не можете то можно тупо скопировать текст подставить свои параметры и радоваться жизни....

разжевывать и класть в клювик никто не будет. ТЗ настолько тривиально, что даже не интересно ))))

[zxw]

Вы ткнули в два правила, которые я, естественно, сравнил, и разницы особой не увидел.

 

Но сделал всё равно по аналогии у себя:

add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080 log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108 to-ports=8080
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN

и не помогло.

 

------------

 

все дропы выключил (и выключал до этого). Всё равно не подключается. В логах также всё как раньше.

Edited July 4, 2020 by zxw
лимит на сообщения

[Constantin]

теперь задисаблите все правила дроп в фильтрах и найдете которое банит

[Crazy_Max]

Имею привычку вне зависимости от дальнейших правил верхними ставить разрешения на конкретный тип трафика который планирую пробросить и в коментариях написать для чего, несмотря на необязательность такого подхода позволяет не забыть что и куда проброшено.

[Saab95]

18 часов назад, Constantin сказал:

вот пример работающих правил:

add action=dst-nat chain=dstnat dst-address=!192.168.0.0/24 dst-port=3389 protocol=tcp to-addresses=192.168.0.83 to-ports=3389

add action=masquerade chain=srcnat src-address=192.168.0.0/24

Привязываться к внешним интерфейсам лучше не стоит, так же и к внешним IP, т.к. они могут измениться.

 

А еще можно сделать так:

 

add action=netmap chain=dstnat dst-port=1-8290 in-interface=!bridge1 protocol=tcp to-addresses=192.168.0.83 to-ports=1-8290
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=!bridge1 protocol=tcp to-addresses=192.168.0.83 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=!bridge1 protocol=udp to-addresses=192.168.0.83 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=1-8290 in-interface=!bridge1 protocol=udp to-addresses=192.168.0.83 to-ports=1-8290

Тут если пакет пришел не из бриджа (а значит он пришел с интернета), то сделать DMZ на все порты в сторону видеосервера, ясно дело в IP - services такие же порты нужно отключить, по крайней пере веб.

 

Но самое основное это сброс начальной конфигурации, т.к. в ней 99 причин всех непонятных проблем с микротиком.

[Constantin]

1 час назад, Saab95 сказал:

Привязываться к внешним интерфейсам лучше не стоит, так же и к внешним IP, т.к. они могут измениться.

это совет тому кто не понимает что как работает, а я славо богу это понимаю и поэтому  у мя то что мне необходимо.

[Saab95]

Вы же давно работаете с микротиком. А те, кто еще не освоили все его азы, могут сталкиваться с проблемами.

И эта тема явное тому подтверждение.

 

По сути, после того как вынули микротик из коробки, нужно сбросить дефолтную конфигурацию. Далее сделать следующие шаги:

1. Отключить все службы микротика ip-services, кроме винбокса, ему можно указать и диапазон адресов = только локальной сети.

2. В настройках учетной записи администратора так же указать ему диапазон для доступа = только локальная сеть.

3. При использовании локального DNS создать правила блокировки 53 порта по UDP и TCP на все адреса кроме локальной сети.

4. Для особых конспираторов можно в файрволе закрыть пинг на микротик извне, и дополнительно правилом заблокировать доступ на порт винбокса извне.

 

Все, больше ничего не требуется.