zxw Опубликовано 4 июля, 2020 · Жалоба Добрый день! Прошу помощи с проблемой, борюсь уже пару дней. Есть Mikrotik hap (rb951ui-2nd) с RouterOS 6.47. Ether1 - wan, смотрит к провайдеру, там статический белый IP. К Ether5 подключен видеорегистратор RVI с рабочими портами 8080,554,37777 и 37778. Регистратор доступен в локальной сети через браузер по 192.168.1.108:8080 Собственно, задача: Реализовать доступ из интернета к регистратору (не столько важен веб-интерфейс, сколько остальные порты, но проверять удобнее всего именно его). Проблема: не получается :) При обращении из интернета по адресу внешнийip:8080 ответ не приходит, но счётчик пакетов NAT и Filter rules на микротике растёт, да и в логах появляется запись о срабатывании нат правила: Time Jul/04/2020 13:19:21 Buffer memory Topics firewall info Message dvr dstnat: in:ether1 out:(unknown 0), src-mac 00:04:96:::**, proto TCP (SYN), мойip:9576->внешнийip:8080, len 52 Подскажите пожалуйста, в чём проблема может быть? Сам прочитал кучу веток и не допёр. Все правила с дропами отключал, это не помогало.Правила вот: /ip firewall filter add action=accept chain=forward dst-address=192.168.1.0/24 dst-port=8080 protocol=tcp add action=drop chain=forward comment="drop from guest network to private" dst-address=192.168.1.0/24 src-address=192.168.89.0/24 add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080,554,37777,37778 in-interface=all-ethernet log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Crazy_Max Опубликовано 4 июля, 2020 · Жалоба default gateway прописан у видеорегистратора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxw Опубликовано 4 июля, 2020 · Жалоба 49 минут назад, Crazy_Max сказал: default gateway прописан у видеорегистратора? Прописан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 июля, 2020 · Жалоба 1 час назад, zxw сказал: /ip firewall nat add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080,554,37777,37778 in-interface=all-ethernet log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN вот тут полная лажа вот пример работающих правил: add action=dst-nat chain=dstnat dst-address=212.ххх.ххх.ххх dst-port=3389 protocol=tcp to-addresses=192.168.0.83 to-ports=3389 add action=masquerade chain=srcnat out-interface=pppoe-out1 у вас проблемма в том что вы сделали по методичке с интернета, и не понимаете как это работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxw Опубликовано 4 июля, 2020 (изменено) · Жалоба 32 минуты назад, Constantin сказал: вот тут полная лажа Отличие только в ipsec-policy=out,none , по сути? Цитата у вас проблемма в том что вы сделали по методичке с интернета, и не понимаете как это работает не отрицаю, конечно) Изменено 4 июля, 2020 пользователем zxw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 июля, 2020 · Жалоба 6 минут назад, zxw сказал: Отличие только в ipsec-policy=out,none , по сути? я вас умоляю, ну ладно вам виднее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxw Опубликовано 4 июля, 2020 (изменено) · Жалоба 6 минут назад, Constantin сказал: я вас умоляю, ну ладно вам виднее куда уж мне до профессоров, которые только и могут, что ходить чморить других) Если вы видите какие-то отличия моего конфига от вашего, из-за которых и может быть проблема, будьте так любезны, ткните меня в них носом. Пока же вы прислали только практически идентичный моему запрос и сразу слились. Изменено 4 июля, 2020 пользователем zxw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 июля, 2020 · Жалоба 7 минут назад, zxw сказал: будьте так любезны, ткните меня в них носом. я ткнул я дал вам 2 правила , ( одно на проброс порта второе на правло ната) правильных, конкретных, вам осталось только сравнить посимвольно, и найти касяк у себя если вы и это не можете то можно тупо скопировать текст подставить свои параметры и радоваться жизни.... разжевывать и класть в клювик никто не будет. ТЗ настолько тривиально, что даже не интересно )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxw Опубликовано 4 июля, 2020 (изменено) · Жалоба Вы ткнули в два правила, которые я, естественно, сравнил, и разницы особой не увидел. Но сделал всё равно по аналогии у себя: add action=dst-nat chain=dstnat dst-address=внешнийip dst-port=8080 log=yes log-prefix=dvr protocol=tcp to-addresses=192.168.1.108 to-ports=8080 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN и не помогло. ------------ все дропы выключил (и выключал до этого). Всё равно не подключается. В логах также всё как раньше. Изменено 4 июля, 2020 пользователем zxw лимит на сообщения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 июля, 2020 · Жалоба теперь задисаблите все правила дроп в фильтрах и найдете которое банит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Crazy_Max Опубликовано 4 июля, 2020 · Жалоба Имею привычку вне зависимости от дальнейших правил верхними ставить разрешения на конкретный тип трафика который планирую пробросить и в коментариях написать для чего, несмотря на необязательность такого подхода позволяет не забыть что и куда проброшено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 июля, 2020 · Жалоба 18 часов назад, Constantin сказал: вот пример работающих правил: add action=dst-nat chain=dstnat dst-address=!192.168.0.0/24 dst-port=3389 protocol=tcp to-addresses=192.168.0.83 to-ports=3389 add action=masquerade chain=srcnat src-address=192.168.0.0/24 Привязываться к внешним интерфейсам лучше не стоит, так же и к внешним IP, т.к. они могут измениться. А еще можно сделать так: add action=netmap chain=dstnat dst-port=1-8290 in-interface=!bridge1 protocol=tcp to-addresses=192.168.0.83 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=!bridge1 protocol=tcp to-addresses=192.168.0.83 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=!bridge1 protocol=udp to-addresses=192.168.0.83 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=!bridge1 protocol=udp to-addresses=192.168.0.83 to-ports=1-8290 Тут если пакет пришел не из бриджа (а значит он пришел с интернета), то сделать DMZ на все порты в сторону видеосервера, ясно дело в IP - services такие же порты нужно отключить, по крайней пере веб. Но самое основное это сброс начальной конфигурации, т.к. в ней 99 причин всех непонятных проблем с микротиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 5 июля, 2020 · Жалоба 1 час назад, Saab95 сказал: Привязываться к внешним интерфейсам лучше не стоит, так же и к внешним IP, т.к. они могут измениться. это совет тому кто не понимает что как работает, а я славо богу это понимаю и поэтому у мя то что мне необходимо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 июля, 2020 · Жалоба Вы же давно работаете с микротиком. А те, кто еще не освоили все его азы, могут сталкиваться с проблемами. И эта тема явное тому подтверждение. По сути, после того как вынули микротик из коробки, нужно сбросить дефолтную конфигурацию. Далее сделать следующие шаги: 1. Отключить все службы микротика ip-services, кроме винбокса, ему можно указать и диапазон адресов = только локальной сети. 2. В настройках учетной записи администратора так же указать ему диапазон для доступа = только локальная сеть. 3. При использовании локального DNS создать правила блокировки 53 порта по UDP и TCP на все адреса кроме локальной сети. 4. Для особых конспираторов можно в файрволе закрыть пинг на микротик извне, и дополнительно правилом заблокировать доступ на порт винбокса извне. Все, больше ничего не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...