Форум интернет-магазина Микрокомп

RDP и MikroTik

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

29.07.2015 16:07:40

Ситуация такая:
Айпи белый, выдает провайдер.
Интернет пашет на все машины, нужно чтобы из инета, коннектились на 1 машину вводят 78.1.1.1:3890
если ввести 78.1.1.1:3899 попадали на нужную машину. В лане на DHCP серваке, за этими двумя машинами закреплены ип.

1. RDP порт (tcp 3389) на внутренний сервер 192.168.1.2

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=3399

Дописываем правило в firewall

add action=accept chain=input dst-port=3399 protocol=tcp
-------------

2. RDP порт (tcp 3389) на внутренний сервер 192.168.1.3

chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=3389 protocol=tcp dst-port=3390

Дописываем правило в firewall

add action=accept chain=input dst-port=3390 protocol=tcp

И нифига не пашет, что делаю не так?

alexnov66 Пользователь Сообщений: 1028 Регистрация: 23.06.2017	#2 29.07.2015 16:23:09 Смотрите мануал и всё получится

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

29.07.2015 16:29:44

Цитата
Смотрите мануал и всё получится

Прочитал, толи я туплю, толи лыжи не едут

Вроде всё так - как я выше прописал.

В нате и в файрволе все добавил - но RDP всё равно пишет, невозможно подключится.
Точно дело не в винде, ибо если заменить роутер на tplink где настроен DMZ и возможность только 1 машины подключиться по RDP, то всё пашет.
В то время как на Микротике ни к 1 ни ко второй машине не подступиться.

alexnov66 Пользователь Сообщений: 1028 Регистрация: 23.06.2017	#4 29.07.2015 16:34:50 Внимательней сравнивайте свои правила и в мануале, плохо что вы не видете различия в правилах. Почему не ввели внешний ip адрес в правиле.

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

29.07.2015 16:42:03

Цитата
Внимательней сравнивайте свои правила и в мануале, плохо что вы не видете различия в правилах. Почему не ввели внешний ip адрес в правиле.

Фишка в том, что там пишут про public и это не ether1 так? Потому что если это ether1, то внешний ип он получил по мас.
Или нужно именно объявить паблик, на который потом будет ориентироваться данные правила?
А как же порты? В вашей ссылке про порты не слова

а у меня 2 пк, к которым нужно стучаться параллельно.

alexnov66

Пользователь

Сообщений: 1028 Регистрация: 23.06.2017

29.07.2015 16:51:11

Вы же пытаетесь подключиться из внешней сети интернет, и без разници какой порт сделан внешним, ether1 или ether5, или у вас подключение pppoe или pptp к провайдеру, в мануале сказано про одну машину и проброс сделан всех портов раз порт не указан, вы же пробрасываете каждый порт на определённый ip адрес, поэтому и указываете порт, а внешний ip адрес, а вернее ip адрес с которого пробрасывается порт в любом случае нужно указывать.
Да и форвард трафика этим машинам нужно разрешить в интернет что бы работало.

А public и подразумевается внешний интерфейс, а то есть интерфейс на который будут подключаться , и без разници какой ip адрес он получает.

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

29.07.2015 16:57:09

Цитата

Провайдер сразу дает Ип, без всяких pptp или pppoe.
То есть мне сделать как в мануале, только вместо паблик написать ether1
И добавить порт - так? Ну и конечно - сделать так два раза для каждого ПК что в лане.
+ нужно 2 форварда:
add action=accept chain=forward dst-port=3399 protocol=tcp
add action=accept chain=forward dst-port=3390 protocol=tcp
так?

alexnov66

Пользователь

Сообщений: 1028 Регистрация: 23.06.2017

29.07.2015 17:07:35

Цитата
То есть мне сделать как в мануале, только вместо паблик написать ether1

без разници как вы назовёте интерфейс, английскими буквами и желательно без пробелов.
в правилах вообще интерфейс не указывайте, а только ip адрес, разве в мануале указан интерфейс.

Цитата
Ну и конечно - сделать так два раза для каждого ПК что в лане. + нужно 2 форварда: add action=accept chain=forward dst-port=3399 protocol=tcp add action=accept chain=forward dst-port=3390 protocol=tcp так?

правила для фоварда можно и одно, не обязательно два, и правила для форварда трафика имелось ввиду в фаерволе а не в мангле разделе, что бы был доступ у этих компьютеров в интернет.

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

29.07.2015 17:11:56

Цитата
правила для фоварда можно и одно, не обязательно два, и правила для форварда трафика имелось ввиду в фаерволе а не в мангле разделе, что бы был доступ у этих компьютеров в интернет.

Но порта же два? один будет отвечать за 1 ПК, второй за второй ПК.
разве не надо 2 форварда для этих портов?
У них ПК доступ в Инет есть.

Не подскажите - как должно выглядеть правило?

alexnov66

Пользователь

Сообщений: 1028 Регистрация: 23.06.2017

#10

29.07.2015 17:15:15

Ну и что что порта два, разрешить правилами в фаерволе input трафика можно и одним правилом, а для forward раз интернет у них разрешен не надо правил.
Разрешить можно как адрес листом так и ip адрес или подсеть, к примеру 192.168.0.0/28

Код

/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3399 protocol=tcp to-addresses=192.168.1.2 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.2 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3399

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.2 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.1.3 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.3 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3390

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.3 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

Первое правило для проброса в внутреннюю сеть
второе для ответов в внешнюю сеть
третье для доступа внутренних компьютеров при запросе по внешнему адресу
аналогично и для второго порта
правила должны быть выше правила маскардинга

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

#11

29.07.2015 17:29:12

Цитата

Код

/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=\
    100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.0.1 \
    to-ports=3389
add action=src-nat chain=srcnat comment=src_out protocol=tcp \
    src-address=192.168.0.1 src-port=3389 to-addresses=100.XXX.XXX.XXX \
    to-ports=3390
add action=src-nat chain=srcnat comment=src_in dst-address=\
    192.168.0.1 dst-port=3390 protocol=tcp to-addresses=100.XXX.XXX.XXX \
    to-ports=0-65535

Спасибо, попробую, потом отпишусь.

Gorgac

Пользователь

Сообщений: 7 Регистрация: 23.06.2017

#12

02.08.2015 12:45:56

Цитата

Код

/ip firewall nat
add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3399 protocol=tcp to-addresses=192.168.1.2 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.2 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3399

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.2 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

add action=dst-nat chain=dstnat comment=dst_in dst-address=100.XXX.XXX.XXX dst-port=3390 protocol=tcp to-addresses=192.168.1.3 to-ports=3389

add action=src-nat chain=srcnat comment=src_out protocol=tcp src-address=192.168.1.3 src-port=3389 to-addresses=100.XXX.XXX.XXX to-ports=3390

add action=src-nat chain=srcnat comment=src_in dst-address=192.168.1.3 dst-port=3389 protocol=tcp to-addresses=100.XXX.XXX.XXX to-ports=0-65535

На первый сервак завелось, причем все на него пошло и другой порт тоже - а вот на второй никак не получается зайти.
Что я делаю не так?

На 99 даже кпк по 3401 порту ходют, а на второй сервак ходить отказываются

Код

 0   ;;; dst_in
     chain=dstnat action=dst-nat to-addresses=192.168.0.99 to-ports=3399 
     protocol=tcp dst-address=78.ххх.ххх.ххх dst-port=3399 

 1   ;;; src_out
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3399 
     protocol=tcp src-address=192.168.0.99 src-port=3399 

 2   ;;; scr_in
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  protocol=tcp 
     dst-address=192.168.0.99 dst-port=3399 

 3   ;;; mobysk_old
     chain=dstnat action=dst-nat to-addresses=192.168.0.99 to-ports=3401 
     protocol=tcp dst-address=78.ххх.ххх.ххх  dst-port=3401 

 4   ;;; mobysk_out
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3401 
     protocol=tcp src-address=192.168.0.99 src-port=3401 

 5   ;;; mobysk_in
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  protocol=tcp 
     dst-address=192.168.0.99 dst-port=3401 

 6   ;;; dst_in_serv2
     chain=dstnat action=dst-nat to-addresses=192.168.0.102 to-ports=3389 
     protocol=tcp dst-address=78.ххх.ххх.ххх  dst-port=3389 

7   ;;; src_out_serv2
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=3389 
     protocol=tcp src-address=192.168.0.102 src-port=3389 

 8   ;;; src_in_serv2
     chain=srcnat action=src-nat to-addresses=78.ххх.ххх.ххх  to-ports=0-65535 
     protocol=tcp dst-address=192.168.0.102 dst-port=3389 

 9   chain=srcnat action=masquerade out-interface=ether1

Код

[admin@MikroTik] &gt; /ip route print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          78.хх.ххх.1               0
 1 ADC  78.ххх.ххх.0/18     78.ххх.ххх.ххх    ether1                    0
 2 ADC  192.168.0.0/24     192.168.0.1     bridge1                   0

(Добавление)
все разобрался - оказалось, касперыч резал подключение! Из вне, в то время как внутри сети все было ок

Покупателям

Контактная информация

Мы принимаем к оплате: