+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проброс портов не работает.

Проброс портов не работает., RouterOS

thexder1

Guest

13.12.2010 07:47:00

Я пытаюсь настроить переадресацию портов на моём роутере Mikrotik RB750, но ничего не выходит. Делаю ровно так, как написано в мануале на этой странице http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping, но при тестировании постоянно получаю отказ в соединении. Я добавил два правила: одно — чтобы принимать пакеты во входящем трафике, и второе — в NAT, чтобы перенаправлять пакеты на компьютер. Вот эти правила:
chain=input action=accept protocol=tcp dst-port=22
chain=dstnat action=dst-nat to-addresses=192.168.3.100 to-ports=22 protocol=tcp dst-port=22

Один раз у меня получилось заставить это работать, но без каких-либо изменений всё снова перестало работать. Я также смотрю правила через WinBox, и кажется, что никакие пакеты вообще не проходят через настроенные мной правила.

fewi Guest	#2 0 18.03.2011 12:58:00 Измените ваши правила исходящего NAT так, чтобы они не совпадали с трафиком к прокси.

otgooneo

Guest

18.03.2011 06:32:00

Привет, у меня проблема. Я настроил прокси-сервер вне роутера и пробросил порт 80 на этот прокси. Я знаю, что в RouterOS уже есть прокси, но мой прокси работает со SquidGuard. По части прокси всё работает отлично. Но мне нужно узнать, какой исходный IP, какой клиент заблокирован SquidGuard. Сейчас роутер пересылает трафик с собственного исходного IP. Помогите, пожалуйста. Как можно перенаправить или пробросить трафик с оригинальным исходным IP?

otgooneo

Guest

28.03.2011 03:07:00

Привет, Fewi, спасибо. Я всё сделал. Создал правило mangle, которое помечает маршрут для всего трафика с dst-port=80 (tcp). Затем добавил маршрут для этого трафика через SquidGuard. Но этот трафик не идёт напрямую в SquidProxy. Он проходит через Squid gateway, а потом сам Squid перенаправляет трафик в собственный SquidGuard Proxy. Впрочем, это действительно отлично работает.

ALX1S

Guest

13.09.2015 12:16:00

Привет, кто-нибудь может помочь? У меня такая же проблема, и правил фаервола нет. Самое странное — роутер видит пакеты (в NAT-правиле), но не связывает соединение. Ниже копирую скриншот, который просили в одном из предыдущих постов.

/ip address print detail
0 ;; стандартная конфигурация
address=192.168.88.1/24 network=192.168.88.0 interface=WAN actual-interface=WAN
1 address=192.168.0.1/24 network=192.168.0.0 interface=CAIB LAN actual-interface=CAIB LAN
2 address=192.168.10.1/24 network=192.168.10.0 interface=2nd Floor actual-interface=2nd Floor
3 D address=A.B.C.D/24 network=A.B.C.0 interface=WAN actual-interface=WAN

/ip route print detail
0 ADS dst-address=0.0.0.0/0 gateway=A.B.C.D gateway-status=A.B.C.D reachable via WAN distance=0 scope=30 target-scope=10 vrf-interface=WAN
1 ADC dst-address=A.B.C.0/24 pref-src=A.B.C.D55 gateway=WAN gateway-status=WAN reachable distance=0 scope=10
2 ADC dst-address=192.168.0.0/24 pref-src=192.168.0.1 gateway=CAIB LAN gateway-status=CAIB LAN reachable distance=0 scope=10
3 ADC dst-address=192.168.10.0/24 pref-src=192.168.10.1 gateway=2nd Floor gateway-status=2nd Floor reachable distance=0 scope=10
4 ADC dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=WAN gateway-status=WAN reachable distance=0 scope=10

/ip firewall export
add address=192.168.0.0/24 list="CAIB LAN"
add address=192.168.0.1 list="CAIB RB"
add address=192.168.0.5 list=XBONE
add address=192.168.0.15 list=ALIEN
add address=192.168.0.10 list=BMU

/ip firewall nat
add action=masquerade chain=srcnat comment="Gateway CAIB" out-interface=WAN src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="Gateway Analia" out-interface=WAN src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=WAN
add action=dst-nat chain=dstnat comment="XBONE STREAMMING" protocol=tcp src-port=5050 to-addresses=192.168.0.5 to-ports=5050
add action=dst-nat chain=dstnat protocol=tcp src-port=4838 to-addresses=192.168.0.5 to-ports=4838
add action=dst-nat chain=dstnat protocol=udp src-port=5050 to-addresses=192.168.0.5 to-ports=5050
add action=dst-nat chain=dstnat protocol=udp src-port=4838 to-addresses=192.168.0.5 to-ports=4838
add action=dst-nat chain=dstnat comment="ALIEN STEAM" protocol=udp src-port=4380 to-addresses=192.168.0.15 to-ports=4380
add action=dst-nat chain=dstnat protocol=tcp src-port=4380 to-addresses=192.168.0.15 to-ports=4380
add action=dst-nat chain=dstnat comment=TEST dst-port=3389 log=yes protocol=tcp to-addresses=192.168.0.228 to-ports=3389

Я просто тестирую последнее правило под названием «TEST», чтобы подключиться к удалённому рабочему столу локального компьютера в сети.

Спасибо!

ALX1S Guest	#6 0 14.09.2015 20:50:00 И вот лог, когда происходит подключение: с 192.168.0.228 — мой ноутбук, а 192.168.0.15 — настоящий SSH-сервер. Я пытаюсь зайти на свой публичный IP по порту 8000 и пробросить на 22 в своей внутренней сети. Спасибо.

StubArea51

Guest

14.09.2015 22:29:00

Если вы не указываете исходящий порт в подключении, то обычно используется высокий динамический порт, и он не применяется в части соответствия правила dst-nat. Исходя из того, что вы пытаетесь сделать, это должно помочь настроить переадресацию SSH-порта с нестандартного публичного порта, отличного от TCP/22. Где 1.1.1.1 — ваш публичный IP.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=8000 protocol=\
tcp to-addresses=192.168.0.15 to-ports=22

paulororke

Guest

19.10.2016 17:45:00

Привет, это моя первая попытка настроить маршрутизатор Mikrotik. У меня есть RB 3011 Ui AS-RM. В дальнейшем хочу использовать его для переключения между несколькими провайдерами интернет-услуг (failover) для веб-сервисов, которые я хостю. Пока что настраиваю один WAN и пробрасываю порты на хост в DMZ. Потом, когда лучше разберусь с управлением этой классной коробочкой, расширю функционал.

Честно говоря, немного стыдно. Я прочитал вот это: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping и думал, что всё сделал правильно, но не могу пробиться к своему хосту извне. Много лет не создавал правила вручную через iptables, поэтому использую GUI.

Вот вывод команд, которые просили другие участники в этой теме:

[Roger@trk-mtk-01] /ip> address print detail
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf
address=192.168.0.1/24 network=192.168.0.0 interface=ether2-master actual-interface=bridge

1 address=64.251.74.211/29 network=64.251.74.208 interface=ether1 actual-interface=ether1

[Roger@trk-mtk-01] /ip> route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=0.0.0.0/0 gateway=64.251.74.209 gateway-status=64.251.74.209 reachable via ether1 distance=1 scope=30 target-scope=10

1 ADC dst-address=64.251.74.208/29 pref-src=64.251.74.211 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10

2 ADC dst-address=192.168.0.0/24 pref-src=192.168.0.1 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

[Roger@trk-mtk-01] /ip> firewall export
# oct/18/2016 14:37:27 by RouterOS 6.34.3
# software id = 5AVW-BE3W
#
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=dst-nat chain=dstnat comment="RT - SSH" dst-address=64.251.74.211 dst-port=22 protocol=tcp to-addresses=192.168.0.11 to-ports=22
add action=dst-nat chain=dstnat comment="RT - SMTP" dst-address=64.251.74.211 dst-port=25 protocol=tcp to-addresses=192.168.0.11
add action=dst-nat chain=dstnat comment="RT - HTTP" dst-address=64.251.74.211 dst-port=80 protocol=tcp to-addresses=192.168.0.11
add action=dst-nat chain=dstnat comment="RT - HTTPS" dst-address=64.251.74.211 dst-port=443 protocol=tcp to-addresses=192.168.0.11
add action=dst-nat chain=dstnat comment="TRK-KVM-01 - SSH" dst-address=64.251.74.211 dst-port=2220 protocol=tcp to-addresses=192.168.0.20 to-ports=22
add action=dst-nat chain=dstnat comment="TRK-KVM-03 - SSH" dst-address=64.251.74.211 dst-port=2210 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.0.10 to-ports=22

Я могу пропинговать 192.168.0.10 с RB 3011 и с других хостов в подсети 192.168.0.0/24.
С других хостов в той же подсети могу подключаться по ssh к 192.168.0.10 на порт 22, но с самого RB 3011 (192.168.0.1) — нет.
SSH на 64.251.74.211:2210 таймаутится.
SSH на 64.251.74.211:22 тоже таймаутится.
Я не менял настройки сервисов в >IP : services, хотя все сервисы отображаются в GUI как активные.

Похоже, я упускаю что-то основное. Есть идеи?
Пол

paulororke

Guest

19.10.2016 22:15:00

Я решил проблему! В одном из комментариев в другой теме кто-то указал на важность того, чтобы у целевой виртуальной машины был правильный шлюз. У меня было несколько «шлюзов по умолчанию», потому что у хоста есть гостевые машины в разных сетях. Короче говоря, как только я правильно настроил шлюз гостевой машины, указав на RB 3011, всё сразу заработало. Надеюсь, это кому-то ещё поможет. Пол.

paddyvgc Guest	#10 0 23.01.2018 13:01:00 Привет, Пол! Помоги, пожалуйста, с этим тикетом. Надеюсь, ты сможешь мне помочь. http://forum.mikrotik.com/t/host-to-host-connection-not-happening-via-mikrotik-router/115741/5

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры