Форум интернет-магазина Микрокомп
0 Список сравнения
0 Избранные товары
0
Страницы: 1
RDP и MikroTik
 
Ситуация такая:
Айпи белый, выдает провайдер.
Интернет пашет на все машины, нужно чтобы из инета, коннектились на 1 машину вводят 78.1.1.1:3890
если ввести 78.1.1.1:3899 попадали на нужную машину. В лане на DHCP серваке, за этими двумя машинами закреплены ип.



1. RDP порт (tcp 3389) на внутренний сервер 192.168.1.2

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=3399

Дописываем правило в firewall

add action=accept chain=input dst-port=3399 protocol=tcp
-------------

2. RDP порт (tcp 3389) на внутренний сервер 192.168.1.3

chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=3389 protocol=tcp dst-port=3390

Дописываем правило в firewall

add action=accept chain=input dst-port=3390 protocol=tcp

И нифига не пашет, что делаю не так? :(
 
Смотрите мануал и всё получится
 
Цитата
Смотрите мануал и всё получится

Прочитал, толи я туплю, толи лыжи не едут :(
Вроде всё так - как я выше прописал.

В нате и в файрволе все добавил - но RDP всё равно пишет, невозможно подключится.
Точно дело не в винде, ибо если заменить роутер на tplink где настроен DMZ и возможность только 1 машины  подключиться по RDP, то всё пашет.
В то время как на Микротике ни к 1 ни ко второй машине не подступиться.
 
Внимательней сравнивайте свои правила и в мануале, плохо что вы не видете различия в правилах.
Почему не ввели внешний ip адрес в правиле.
 
Цитата
Внимательней сравнивайте свои правила и в мануале, плохо что вы не видете различия в правилах.
Почему не ввели внешний ip адрес в правиле.

Фишка в том, что там пишут про public и это не ether1 так? Потому что если это ether1, то внешний ип он получил по мас.
Или нужно именно объявить паблик, на который потом будет ориентироваться данные правила?
А как же порты? В вашей ссылке про порты не слова :(
а у меня 2 пк, к которым нужно стучаться параллельно.
 
Вы же пытаетесь подключиться из внешней сети интернет, и без разници какой порт сделан внешним, ether1 или ether5, или у вас подключение pppoe или pptp к провайдеру, в мануале сказано про одну машину и проброс сделан всех портов раз порт не указан, вы же пробрасываете каждый порт на определённый ip адрес, поэтому и указываете порт, а внешний ip адрес, а вернее ip адрес с которого пробрасывается порт в любом случае нужно указывать.
Да и форвард трафика этим машинам нужно разрешить в интернет что бы работало.

А public и подразумевается внешний интерфейс, а то есть интерфейс на который будут подключаться , и без разници какой ip адрес он получает.
 
Цитата
Вы же пытаетесь подключиться из внешней сети интернет, и без разници какой порт сделан внешним, ether1 или ether5, или у вас подключение pppoe или pptp к провайдеру, в мануале сказано про одну машину и проброс сделан всех портов раз порт не указан, вы же пробрасываете каждый порт на определённый ip адрес, поэтому и указываете порт, а внешний ip адрес, а вернее ip адрес с которого пробрасывается порт в любом случае нужно указывать.
Да и форвард трафика этим машинам нужно разрешить в интернет что бы работало.

Провайдер сразу дает Ип, без всяких pptp или pppoe.
То есть мне сделать как в мануале, только вместо паблик написать ether1
И добавить порт - так? Ну и конечно - сделать так два раза для каждого ПК что в лане.
+ нужно 2 форварда:
add action=accept chain=forward dst-port=3399 protocol=tcp
add action=accept chain=forward dst-port=3390 protocol=tcp
так?
 
Цитата
То есть мне сделать как в мануале, только вместо паблик написать ether1
без разници как вы назовёте интерфейс, английскими буквами и желательно без пробелов.
в правилах вообще интерфейс не указывайте, а только ip адрес, разве в мануале указан интерфейс.


Цитата
Ну и конечно - сделать так два раза для каждого ПК что в лане.
+ нужно 2 форварда:
add action=accept chain=forward dst-port=3399 protocol=tcp
add action=accept chain=forward dst-port=3390 protocol=tcp
так?

правила для фоварда можно и одно, не обязательно два, и правила для форварда трафика имелось ввиду в фаерволе а не в мангле разделе, что бы был доступ у этих компьютеров в интернет.
 
Цитата
правила для фоварда можно и одно, не обязательно два, и правила для форварда трафика имелось ввиду в фаерволе а не в мангле разделе, что бы был доступ у этих компьютеров в интернет.

Но порта же два? один будет отвечать за 1 ПК, второй за второй ПК.
разве не надо 2 форварда для этих портов?
У них ПК доступ в Инет есть.

Не подскажите - как должно выглядеть правило?
 
Ну и что что порта два, разрешить правилами в фаерволе input трафика можно и одним правилом, а для forward раз интернет у них разрешен не надо правил.
Разрешить можно как адрес листом так и ip адрес или подсеть, к примеру 192.168.0.0/28

Код
/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3399 protocol=tcp to-addresses=192.168.1.2 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.2 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3399

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.2 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.1.3 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.3 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3390

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.3 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535
  


Первое правило для проброса в внутреннюю сеть
второе для ответов в внешнюю сеть
третье для доступа внутренних компьютеров при запросе по внешнему адресу
аналогично и для второго порта
правила должны быть выше правила маскардинга
 
Цитата
Ну и что что порта два, разрешить правилами в фаерволе input трафика можно и одним правилом, а для forward раз интернет у них разрешен не надо правил.
Разрешить можно как адрес листом так и ip адрес или подсеть, к примеру 192.168.0.0/28

Код
/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=\
    100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.0.1 \
    to-ports=3389
add action=src-nat chain=srcnat comment=src_out protocol=tcp \
    src-address=192.168.0.1 src-port=3389 to-addresses=100.XXX.XXX.XXX \
    to-ports=3390
add action=src-nat chain=srcnat comment=src_in dst-address=\
    192.168.0.1 dst-port=3390 protocol=tcp to-addresses=100.XXX.XXX.XXX \
    to-ports=0-65535
  


Первое правило для проброса в внутреннюю сеть
второе для ответов в внешнюю сеть
третье для доступа внутренних компьютеров при запросе по внешнему адресу
аналогично и для второго порта
правила должны быть выше правила маскардинга


Спасибо, попробую, потом отпишусь.
 
Цитата
Ну и что что порта два, разрешить правилами в фаерволе input трафика можно и одним правилом, а для forward раз интернет у них разрешен не надо правил.
Разрешить можно как адрес листом так и ip адрес или подсеть, к примеру 192.168.0.0/28

Код
/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3399 protocol=tcp to-addresses=192.168.1.2 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.2 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3399

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.2 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.1.3 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.3 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3390

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.3 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535
  


Первое правило для проброса в внутреннюю сеть
второе для ответов в внешнюю сеть
третье для доступа внутренних компьютеров при запросе по внешнему адресу
аналогично и для второго порта
правила должны быть выше правила маскардинга


На первый сервак завелось, причем все на него пошло и другой порт тоже - а вот на второй никак не получается зайти.
Что я делаю не так? :(

На 99 даже кпк по 3401 порту ходют, а на второй сервак ходить отказываются


Код
 0   ;;; dst_in
     chain=dstnat action=dst-nat to-addresses=192.168.0.99 to-ports=3399 
     protocol=tcp dst-address=78.ххх.ххх.ххх dst-port=3399 

 1   ;;; src_out
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3399 
     protocol=tcp src-address=192.168.0.99 src-port=3399 

 2   ;;; scr_in
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  protocol=tcp 
     dst-address=192.168.0.99 dst-port=3399 

 3   ;;; mobysk_old
     chain=dstnat action=dst-nat to-addresses=192.168.0.99 to-ports=3401 
     protocol=tcp dst-address=78.ххх.ххх.ххх  dst-port=3401 

 4   ;;; mobysk_out
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3401 
     protocol=tcp src-address=192.168.0.99 src-port=3401 

 5   ;;; mobysk_in
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  protocol=tcp 
     dst-address=192.168.0.99 dst-port=3401 

 6   ;;; dst_in_serv2
     chain=dstnat action=dst-nat to-addresses=192.168.0.102 to-ports=3389 
     protocol=tcp dst-address=78.ххх.ххх.ххх  dst-port=3389 

7   ;;; src_out_serv2
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3389 
     protocol=tcp src-address=192.168.0.102 src-port=3389 

 8   ;;; src_in_serv2
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=0-65535 
     protocol=tcp dst-address=192.168.0.102 dst-port=3389 

 9   chain=srcnat action=masquerade out-interface=ether1 



Код
[admin@MikroTik] > /ip route print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          78.хх.ххх.1               0
 1 ADC  78.ххх.ххх.0/18     78.ххх.ххх.ххх    ether1                    0
 2 ADC  192.168.0.0/24     192.168.0.1     bridge1                   0

(Добавление)
все разобрался - оказалось, касперыч резал подключение! Из вне, в то время как внутри сети все было ок
Страницы: 1