falconmaster Опубликовано 12 ноября, 2013 · Жалоба То ли лыжи не едут, то ли я..... Не получается сделать проброс портов во внешнюю сеть извне. Есть постоянный внешний IP на который надо повесить веб сервер 80 порт, сам сервер IP 192.168.0.22 находится за микротиком. Подключение к интернету происходит через PPPoE соединение. В NAT создаю новое правило dstnat,dst.port:80,protocol 6(tcp),in interface ppoe-out,action:dst-nat,address:192.168.0.22, to ports 80 Вроде все как по мануалам, но нихрена не работает, таким-же макаром через простой интерфейс d-link 300 все работало. Микротик мучаю уже неделю все облазил и пробовал в разных комбинациях, но не получается. Пожалуйста подскажите что делаю не так, а то уже всю голову сломал. Пробовал на место ин интерфейс ставить ether1-gateway через который и подключается pppoe но нихрена не менялось, пробовал два правила делать и т.д. не работает хоть убейте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 ноября, 2013 · Жалоба У микротика на 80 порту свой веб, в IP->Services отключите его. Вот так можно сделать DMZ на микротик, порт винбокса исключается из проброса, поэтому указаны 2 диапазона для проброса. Входной интерфейс тут ether1, если у вас PPPoE нужно указать его, IP поставите свои. /ip firewall nat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
falconmaster Опубликовано 12 ноября, 2013 · Жалоба В сервисах включен только винбокс и ssh все остальные порты выключены, доступа нет и по 10010 порту тоже, вот настройки, все поставил как в примере, все равно не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
falconmaster Опубликовано 12 ноября, 2013 · Жалоба Сорри, спасибо огромное, все работает, только единственное из внутренней сети не пускает на сервер при обращении по внешнему айпи, поэтому я и думал что сервак недоступен, я так думаю для исправления этого надо прописать маршруты.... Только вот где они :) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 ноября, 2013 · Жалоба Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
falconmaster Опубликовано 13 ноября, 2013 · Жалоба Огромное спасибо, все заработало как надо. Микротек действительно очень универсален, но для свободного решения своих задач все-таки нужно быть "в теме" именно его настроек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimage Опубликовано 26 ноября, 2013 (изменено) · Жалоба Добрый день. Проблема аналогичная. PPPOE соединение in-interface=Internet VM CentOS = 192.168.1.151 /ip firewall nat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=Internet protocol=tcp to-addresses=192.168.1.151 to-ports=1-8290 /ip firewall nat add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=Internet protocol=tcp to-addresses=192.168.1.151 to-ports=8292-65535 /ip firewall nat add action=dst-nat chain=dstnat dst-port=8292-65535 in-interface=Internet protocol=udp to-addresses=192.168.1.151 to-ports=8292-65535 /ip firewall nat add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=Internet protocol=udp to-addresses=192.168.1.151 to-ports=1-8290 Работает если отключить правило add action=drop chain=customer comment="Added by webbox" disabled=no спасибо за консультацию. Изменено 26 ноября, 2013 пользователем dimage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimage Опубликовано 26 ноября, 2013 (изменено) · Жалоба Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1. Поясните примером пожалуйста. могу ли я указывать порты через знак разделителя "," , указывая список а не диапазон. Изменено 26 ноября, 2013 пользователем dimage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 ноября, 2013 · Жалоба Ничего не надо прописывать, просто создайте копию этих правил, но укажите Dst.Address = вашему внешнему IP, а Src.Address = ваша подсеть, например 10.0.0.0/24, тогда запросы изнутри на этот адрес так же будут перенаправляться, только вместо In.Interface укажите уже интерфейс, через который внутренняя сеть идет, например bridge1. Поясните примером пожалуйста. могу ли я указывать порты через знак разделителя "," , указывая список а не диапазон. Нельзя, через запятую можно указывать только на первой вкладке в полях указания портов, на вкладке action перенаправление только на один порт, либо на диапазон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 3 декабря, 2013 · Жалоба Кстати, не разбирался но у меня на 5.26 action=dst-nat как-то странно работает, поэтому сделал через netmap, что по моему правильней. Работает стабильно. Пример соответственно именно на 80 порт. Первое правило чтобы http виделся снаружи (ISP-порт провайдера), второе чтобы http виделся изнутри, где 64.4.11.37-внешний IP микротика. /ip firewall nat add action=netmap chain=dstnat disabled=no dst-port=80 in-interface=ISP protocol=tcp to-addresses=192.168.1.151 to-ports=80 add action=netmap chain=dstnat disabled=no dst-address=64.4.11.37 dst-port=80 in-interface=Local_Bridge protocol=tcp src-address=192.168.0.0/16 to-addresses=192.168.1.151 to-ports=80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 3 октября, 2014 (изменено) · Жалоба Сааб подскажи пожалуйста по пробросу... Как грамотнее в этой ситуации пробросить порт через микротик из внешней сети (инет - есть статика) во внутреннюю (пппое раздает адреса). И нужно ли прописывать проброс в клиентской убнт, на котором авторизация происходит по логин-пасу - и тут же в роутере, который стоит у клиента - а настроен ван у него в подсеть убнт-клиентской - т. е. тоже нат есть там. Ну вот схема: Изменено 3 октября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 октября, 2014 · Жалоба Про убнт не скажу, но проще всего будет поднять отдельное VPN подключение прямо с компа абонента до вашего сервера и сделать проброс уже на этот адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 5 октября, 2014 (изменено) · Жалоба В общем нифига так и не выходит сделать проброс(( Поднимать отдельное подключение с компа не вариант - все авторизуются в убнт (а так то конечно проще - так проще вообще тогда не делать пппое и тупо воткнуть всех да пусть сидят и тянут напрямую инет как хотят)... Неужели никто не пробрасывал порты по приведенной схеме - ВЕДЬ схема то по сути стандартная! База---клиентская убнт с авторизацией на пппое---роутер дома---комп... ппц... Изменено 5 октября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 5 октября, 2014 · Жалоба Все настроил! и все из-за того, что клиент сам не запускал сервер у себя и проверял порты на доступность - соответственно ниче и не работало... Хотя пробросы изначально были сделаны верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
0dmin Опубликовано 6 октября, 2014 · Жалоба Всем привет. Озадачен не работающим редиректом. rb2011uas2hnd-in. routeros 6.20 Нужно пробросить порт 9786 на комп внутри сети. ;;; udp chain=dstnat action=netmap to-addresses=192.168.1.9 to-ports=9786 protocol=udp in-interface=wan dst-port=9786 log=yes log-prefix="" ;;; tcp chain=dstnat action=netmap to-addresses=192.168.1.9 to-ports=9786 protocol=tcp in-interface=wan dst-port=9786 log=yes log-prefix="" внутри локалки на 192.168.1.9:9786 все отлично открывается, а вот снаружи вообще никак (коннекты есть-байтики ходят, но без результатно) ... не понимаю в чем может быть трабл =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 6 октября, 2014 (изменено) · Жалоба action=netmap action=dst-nat Изменено 6 октября, 2014 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noxcha Опубликовано 7 октября, 2014 (изменено) · Жалоба 0dmin Линию настраиваете? У меня за микротиком тоже линия, проблем нет. /ip firewall nat add action=netmap chain=dstnat comment="Linia web 9786" disabled=no dst-port=\ 9786 in-interface=wan protocol=tcp to-addresses=192.168.1.9 to-ports=9786 Вот мое правило с вашим адресом линии. Изменено 7 октября, 2014 пользователем noxcha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krokrys Опубликовано 10 октября, 2014 (изменено) · Жалоба Абсолютно схожие исходные данные с топикстартером, но правило у меня было такое: action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80 Во внутренней сети сайт открывается по внутреннему айпишнику. По внешнему - не открывается. Но и извне он не открывается. Правила, рекомендованные Saab95 не помогли. Веб-морду роутера отключил. До этого вешал ее на другой порт. Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak. Изменено 10 октября, 2014 пользователем krokrys Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 10 октября, 2014 · Жалоба Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak. Покажите это правило? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krokrys Опубликовано 10 октября, 2014 · Жалоба Пробросы других портов работают отлично. Например на той же машине стоит сервер TeamSpeak. Покажите это правило? Да, вы правы. Из внешней сети не виден и сервер тимспик. Правила: action=dst-nat chain=dstnat dst-port=9987 in-interface=ether1 protocol=udp to-addresses=192.168.0.2 to-ports=9987 action=dst-nat chain=dstnat dst-port=30033 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=30033 action=dst-nat chain=dstnat dst-port=30033 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=30033 И по локальному айпи и по внешнему айпи из локальной сети работает. Из внешней сети не работает. Объясните, где чайник ошибся, что не учел. Только не объясняйте чайнику, что он чайник. Он это знает и так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 10 октября, 2014 (изменено) · Жалоба in-interface=ether1 Вот это - точно верно? Уберите этот пункт правила вообще. Изменено 10 октября, 2014 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krokrys Опубликовано 10 октября, 2014 (изменено) · Жалоба in-interface=ether1 Вот это - точно верно? Уберите этот пункт правила вообще. Без этого пункта перестают открываться внешние вебсайты из локальной сети. Пишу здесь ответ на следующее сообщение, потому что у меня закончился лимит. ))) Я не знаю, почему так. Я не знаю, какая связь. Это просто факт, который имеет место быть. Изменено 10 октября, 2014 пользователем krokrys Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 10 октября, 2014 · Жалоба Без этого пункта перестают открываться внешние вебсайты из локальной сети. 0_o какая связь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 октября, 2014 · Жалоба Без этого пункта перестают открываться внешние вебсайты из локальной сети. Так удалите входной интерфейс, а вместо него для уточнения используйте src.address = ! ваша локальная сеть, тогда сайты будут открываться, ведь вы не будете из своей же сети пользоваться пробросом портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krokrys Опубликовано 17 октября, 2014 · Жалоба Девайте все же отложим пока тимспик. Надо разобраться с веб-сервером. Везде, где бы я не искал инфу по запуску вебсервера за NAT микротика, дают вот такое правило: /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80 И везде утверждают, что после появления такого правила все заработает. Так вот не работает. Не работает и с заменой ether1 на pppoe-интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
