Jump to content
Калькуляторы

Проброс портов Mikrotik не работет

То ли лыжи не едут, то ли я.....

Не получается сделать проброс портов во внешнюю сеть извне.

Есть постоянный внешний IP на который надо повесить веб сервер 80 порт, сам сервер IP 192.168.0.22 находится за микротиком. Подключение к интернету происходит через PPPoE соединение.

В NAT создаю новое правило dstnat,dst.port:80,protocol 6(tcp),in interface ppoe-out,action:dst-nat,address:192.168.0.22, to ports 80

Вроде все как по мануалам, но нихрена не работает, таким-же макаром через простой интерфейс d-link 300 все работало. Микротик мучаю уже неделю все облазил и пробовал в разных комбинациях, но не получается. Пожалуйста подскажите что делаю не так, а то уже всю голову сломал.

 

Пробовал на место ин интерфейс ставить ether1-gateway через который и подключается pppoe но нихрена не менялось, пробовал два правила делать и т.д. не работает хоть убейте.

Share this post


Link to post
Share on other sites

У микротика на 80 порту свой веб, в IP->Services отключите его.

 

Вот так можно сделать DMZ на микротик, порт винбокса исключается из проброса, поэтому указаны 2 диапазона для проброса. Входной интерфейс тут ether1, если у вас PPPoE нужно указать его, IP поставите свои.

 

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290

add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535

add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

Share this post


Link to post
Share on other sites

В сервисах включен только винбокс и ssh все остальные порты выключены, доступа нет и по 10010 порту тоже, вот настройки, все поставил как в примере, все равно не работает.

c9432462fbc6.jpg

Share this post


Link to post
Share on other sites

Сорри, спасибо огромное, все работает, только единственное из внутренней сети не пускает на сервер при обращении по внешнему айпи, поэтому я и думал что сервак недоступен, я так думаю для исправления этого надо прописать маршруты....

Только вот где они :) ?

Share this post


Link to post
Share on other sites

Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1.

Share this post


Link to post
Share on other sites

Огромное спасибо, все заработало как надо.

Микротек действительно очень универсален, но для свободного решения своих задач все-таки нужно быть "в теме" именно его настроек.

Share this post


Link to post
Share on other sites

Добрый день.

 

Проблема аналогичная.

 

PPPOE соединение in-interface=Internet

VM CentOS = 192.168.1.151

 

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=Internet protocol=tcp to-addresses=192.168.1.151 to-ports=1-8290

/ip firewall nat add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=Internet protocol=tcp to-addresses=192.168.1.151 to-ports=8292-65535

/ip firewall nat add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=Internet protocol=udp to-addresses=192.168.1.151 to-ports=8292-65535

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=Internet protocol=udp to-addresses=192.168.1.151 to-ports=1-8290

 

Работает если отключить правило

add action=drop chain=customer comment="Added by webbox" disabled=no

 

спасибо за консультацию.

Edited by dimage

Share this post


Link to post
Share on other sites

Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1.

Поясните примером пожалуйста.

 

могу ли я указывать порты через знак разделителя "," , указывая список а не диапазон.

Edited by dimage

Share this post


Link to post
Share on other sites

Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1.

Поясните примером пожалуйста.

 

могу ли я указывать порты через знак разделителя "," , указывая список а не диапазон.

 

Нельзя, через запятую можно указывать только на первой вкладке в полях указания портов, на вкладке action перенаправление только на один порт, либо на диапазон.

Share this post


Link to post
Share on other sites

Кстати, не разбирался но у меня на 5.26 action=dst-nat как-то странно работает, поэтому сделал через netmap, что по моему правильней. Работает стабильно. Пример соответственно именно на 80 порт. Первое правило чтобы http виделся снаружи (ISP-порт провайдера), второе чтобы http виделся изнутри, где 64.4.11.37-внешний IP микротика.

/ip firewall nat
add action=netmap chain=dstnat disabled=no dst-port=80 in-interface=ISP protocol=tcp to-addresses=192.168.1.151 to-ports=80
add action=netmap chain=dstnat disabled=no dst-address=64.4.11.37 dst-port=80 in-interface=Local_Bridge protocol=tcp src-address=192.168.0.0/16 to-addresses=192.168.1.151 to-ports=80

Share this post


Link to post
Share on other sites

Сааб подскажи пожалуйста по пробросу... Как грамотнее в этой ситуации пробросить порт через микротик из внешней сети (инет - есть статика) во внутреннюю (пппое раздает адреса). И нужно ли прописывать проброс в клиентской убнт, на котором авторизация происходит по логин-пасу - и тут же в роутере, который стоит у клиента - а настроен ван у него в подсеть убнт-клиентской - т. е. тоже нат есть там. Ну вот схема:

487c9a01028ft.jpg

Edited by Catzzz

Share this post


Link to post
Share on other sites

Про убнт не скажу, но проще всего будет поднять отдельное VPN подключение прямо с компа абонента до вашего сервера и сделать проброс уже на этот адрес.

Share this post


Link to post
Share on other sites

В общем нифига так и не выходит сделать проброс(( Поднимать отдельное подключение с компа не вариант - все авторизуются в убнт (а так то конечно проще - так проще вообще тогда не делать пппое и тупо воткнуть всех да пусть сидят и тянут напрямую инет как хотят)... Неужели никто не пробрасывал порты по приведенной схеме - ВЕДЬ схема то по сути стандартная! База---клиентская убнт с авторизацией на пппое---роутер дома---комп... ппц...

Edited by Catzzz

Share this post


Link to post
Share on other sites

Все настроил! и все из-за того, что клиент сам не запускал сервер у себя и проверял порты на доступность - соответственно ниче и не работало... Хотя пробросы изначально были сделаны верно.

Share this post


Link to post
Share on other sites

Всем привет.

Озадачен не работающим редиректом.

rb2011uas2hnd-in. routeros 6.20

 

Нужно пробросить порт 9786 на комп внутри сети.

 

;;; udp

chain=dstnat action=netmap to-addresses=192.168.1.9 to-ports=9786

protocol=udp in-interface=wan dst-port=9786 log=yes log-prefix=""

 

;;; tcp

chain=dstnat action=netmap to-addresses=192.168.1.9 to-ports=9786

protocol=tcp in-interface=wan dst-port=9786 log=yes log-prefix=""

 

внутри локалки на 192.168.1.9:9786 все отлично открывается, а вот снаружи вообще никак (коннекты есть-байтики ходят, но без результатно) ...

не понимаю в чем может быть трабл =(

Share this post


Link to post
Share on other sites

action=netmap

action=dst-nat

Edited by Fumo

Share this post


Link to post
Share on other sites

0dmin

Линию настраиваете? У меня за микротиком тоже линия, проблем нет.

 

/ip firewall nat
add action=netmap chain=dstnat comment="Linia web 9786" disabled=no dst-port=\
   9786 in-interface=wan protocol=tcp to-addresses=192.168.1.9 to-ports=9786

Вот мое правило с вашим адресом линии.

Edited by noxcha

Share this post


Link to post
Share on other sites

Абсолютно схожие исходные данные с топикстартером, но правило у меня было такое:

action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

 

Во внутренней сети сайт открывается по внутреннему айпишнику. По внешнему - не открывается. Но и извне он не открывается. Правила, рекомендованные Saab95 не помогли.

Веб-морду роутера отключил. До этого вешал ее на другой порт.

Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak.

Edited by krokrys

Share this post


Link to post
Share on other sites

Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak.

Покажите это правило?

Share this post


Link to post
Share on other sites

Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak.

Покажите это правило?

 

Да, вы правы. Из внешней сети не виден и сервер тимспик.

 

Правила:

action=dst-nat chain=dstnat dst-port=9987 in-interface=ether1 protocol=udp to-addresses=192.168.0.2 to-ports=9987

action=dst-nat chain=dstnat dst-port=30033 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=30033

action=dst-nat chain=dstnat dst-port=30033 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=30033

 

И по локальному айпи и по внешнему айпи из локальной сети работает. Из внешней сети не работает.

 

Объясните, где чайник ошибся, что не учел.

Только не объясняйте чайнику, что он чайник. Он это знает и так.

Share this post


Link to post
Share on other sites

in-interface=ether1

Вот это - точно верно?

Уберите этот пункт правила вообще.

Edited by Fumo

Share this post


Link to post
Share on other sites

in-interface=ether1

Вот это - точно верно?

Уберите этот пункт правила вообще.

 

Без этого пункта перестают открываться внешние вебсайты из локальной сети.

 

Пишу здесь ответ на следующее сообщение, потому что у меня закончился лимит. )))

Я не знаю, почему так. Я не знаю, какая связь. Это просто факт, который имеет место быть.

Edited by krokrys

Share this post


Link to post
Share on other sites

Без этого пункта перестают открываться внешние вебсайты из локальной сети.

0_o какая связь?

Share this post


Link to post
Share on other sites

Без этого пункта перестают открываться внешние вебсайты из локальной сети.

 

Так удалите входной интерфейс, а вместо него для уточнения используйте src.address = ! ваша локальная сеть, тогда сайты будут открываться, ведь вы не будете из своей же сети пользоваться пробросом портов.

Share this post


Link to post
Share on other sites

Девайте все же отложим пока тимспик. Надо разобраться с веб-сервером.

Везде, где бы я не искал инфу по запуску вебсервера за NAT микротика, дают вот такое правило:

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

И везде утверждают, что после появления такого правила все заработает. Так вот не работает. Не работает и с заменой ether1 на pppoe-интерфейс.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this