+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Удалил Интернет… Теперь перенаправление портов работает только для DNS.

Удалил Интернет… Теперь перенаправление портов работает только для DNS., RouterOS

KamiNashi

Guest

12.01.2014 02:57:00

Впервые пишу здесь, хотя давно пользуюсь MT/ROS. Вчера удаленно подключился к маршрутизатору, который неправильно назвал, и сбросил его настройки, чтобы переназначить. Из-за моей невнимательности стер конфигурацию на основном маршрутизаторе. Потерял все настройки NAT, переадресацию портов, правила брандмауэра и т.д. Пришлось перестраивать систему, чтобы хоть немного изолировать вещи. NAT работает, переадресация портов для DNS тоже, но подключения POP и SMTP упорно не работают, и я не понимаю, почему. Более внимательный осмотр показывает, что переадресация происходит только для DNS по UDP, а по TCP — ничего. Я вижу, что счетчики размера и пакетов растут, но кажется, что чего-то не хватает. Прилагаю схему моей сети и конфигурацию основного маршрутизатора. Что думаете?

[admin@FAY-RTR01] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 A.B.C.177 1
1 ADC A.B.C.176/29 A.B.C.180 ether2 0
2 ADr 172.16.64.0/18 192.168.10.3 120
3 ADC 192.168.10.0/23 192.168.10.1 vlan_810 0
4 ADr 192.168.100.0/24 192.168.10.2 120
5 ADr 192.168.200.0/24 192.168.10.2 120

[admin@FAY-RTR01] /routing rip route> print
Flags: C - connect, S - static, R - rip, O - ospf, B - bgp
# DST-ADDRESS GATEWAY FROM METRIC TIMEOUT
0 R 172.16.64.0/18 192.168.10.3 2 2m48s
1 R 192.168.10.0/23 1
2 R 192.168.100.0/24 192.168.10.2 2 2m51s
3 R 192.168.200.0/24 192.168.10.2 2 2m51s

[admin@FAY-RTR01] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept

1 ;;; Disallow weird packets
chain=input action=drop connection-state=invalid

2 ;;; Disallow weird packets
chain=forward action=drop connection-state=invalid

3 chain=forward action=accept

[admin@FAY-RTR01] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether2

1 ;;; DNS TCP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.14 to-ports=53
protocol=tcp dst-address=70.63.80.180 dst-port=53

2 ;;; DNS UDP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.14 to-ports=53
protocol=udp dst-address=70.63.80.180 dst-port=53

3 ;;; SMTP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.12 to-ports=25
protocol=tcp dst-address=70.63.80.180 dst-port=25

4 ;;; POP3 Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.12 to-ports=110
protocol=tcp dst-address=70.63.80.180 in-interface=ether2 dst-port=110

5 ;;; IMAP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.12 to-ports=143
protocol=tcp dst-address=70.63.80.180 dst-port=143

6 ;;; Secure SMTP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.12 to-ports=465
protocol=tcp dst-address=70.63.80.180 dst-port=465

7 ;;; Secure POP Forward Rule
chain=dstnat action=dst-nat to-addresses=192.168.100.12 to-ports=995
protocol=tcp dst-address=70.63.80.180 dst-port=995

cbrown Guest	#2 0 13.01.2014 14:15:00 Распечатки сложно читать и они не показывают всю необходимую информацию. Пожалуйста, публикуйте /export или /export compact, если используете версию 5.26 или более раннюю.

KamiNashi

Guest

14.01.2014 01:25:00

Странно, что результаты так сильно отличаются друг от друга. Также видно, что я настроил правила логирования по электронной почте на 192.168.100.12, но они тоже не работают, выдает ошибку "Error connecting to host".

/interface ethernet
set 1 name=ether5 speed=1Gbps

/interface vlan
add interface=ether5 name=vlan_810 vlan-id=810

/system logging action
add email-to=192.168.100.12 name=email target=email

/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no permissions=owner signup-allowed=no time-zone=-00:00

/ip address
add address=A.B.C.180/29 comment="added by setup" interface=ether2
add address=192.168.10.1/23 interface=vlan_810

/ip dns
set servers=192.168.100.2

/ip firewall filter
add chain=input
add action=drop chain=input comment="Disallow weird packets" connection-state=invalid
add action=drop chain=forward comment="Disallow weird packets" connection-state=invalid
add chain=forward

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat comment="DNS TCP Forward Rule" dst-address=A.B.C.180 dst-port=53 protocol=tcp to-addresses=192.168.100.14 to-ports=53
add action=dst-nat chain=dstnat comment="DNS UDP Forward Rule" dst-address=A.B.C.180 dst-port=53 protocol=udp to-addresses=192.168.100.14 to-ports=53
add action=dst-nat chain=dstnat comment="SMTP Forward Rule" dst-address=A.B.C.180 dst-port=25 protocol=tcp to-addresses=192.168.100.12 to-ports=25
add action=dst-nat chain=dstnat comment="POP3 Forward Rule" dst-address=A.B.C.180 dst-port=110 in-interface=ether2 protocol=tcp to-addresses=192.168.100.12 to-ports=110
add action=dst-nat chain=dstnat comment="IMAP Forward Rule" dst-address=A.B.C.180 dst-port=143 protocol=tcp to-addresses=192.168.100.12 to-ports=143
add action=dst-nat chain=dstnat comment="Secure SMTP Forward Rule" dst-address=A.B.C.180 dst-port=465 protocol=tcp to-addresses=192.168.100.12 to-ports=465
add action=dst-nat chain=dstnat comment="Secure POP Forward Rule" dst-address=A.B.C.180 dst-port=995 protocol=tcp to-addresses=192.168.100.12 to-ports=995

/ip neighbor discovery
set ether1 disabled=yes
set ether5 disabled=yes
set vlan_810 disabled=yes
set ether2 disabled=yes

/ip route
add distance=1 gateway=A.B.C.177

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox address=192.168.200.0/24,192.168.100.0/24,192.168.10.0/24

/routing rip neighbor
add address=192.168.10.2
add address=192.168.10.3

/routing rip network
add network=192.168.10.0/23

/system identity
set name=FAY-RTR01

/system logging
add action=email topics=info

cbrown Guest	#4 0 14.01.2014 12:12:00 Всё выглядит нормально. Можешь пропинговать 192.168.100.X с роутера?

KamiNashi

Guest

14.01.2014 13:01:00

От FAY-RTR01: могу пинговать 192.168.100.12&14. Пингую из интерфейса VLAN_810 успешно, и могу это делать с исходным адресом 192.168.10.1. На FAY-RTR02 нет никаких правил брандмауэра, только конфигурации интерфейса и RIP. Интересно, может ли это что-то значить? Трудно представить, что да. Вот экспорт для этого. Также получаю ошибку в логах про неудачную отправку электронной почты. Странно, что когда в VLAN 76, 100 и 200 я использую 192.168.100.12 в качестве почтового сервера в почтовых клиентах, все в порядке. Просто не получается использовать мое DNS-имя, которое разрешается в A.B.C.180, или этот публичный IP-адрес изнутри, снаружи или где-либо между ними.
/interface vlan
add interface=ether1 name=vlan_810 vlan-id=810
add interface=ether1 name=vlan_100 vlan-id=100
add interface=ether1 name=vlan_200 vlan-id=200
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=dhcp_pool1 ranges=192.168.200.100-192.168.200.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=vlan_200 lease-time=12h name=dhcp1
/system logging action
add email-to=192.168.100.12 name=email target=email
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no permissions=owner signup-allowed=no time-zone=-00:00
/ip address
add address=192.168.10.2/23 interface=vlan_810
add address=192.168.100.254/24 interface=vlan_100
add address=192.168.200.1/24 interface=vlan_200
/ip dhcp-server network
add address=192.168.200.0/24 dns-server=192.168.100.2 gateway=192.168.200.1
/ip neighbor discovery
set vlan_810 disabled=yes
set vlan_100 disabled=yes
set vlan_200 disabled=yes
/ip route
add distance=1 gateway=192.168.10.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox address=192.168.100.0/24,192.168.200.0/24,192.168.10.0/23
/routing rip network
add network=192.168.10.0/23
add network=192.168.100.0/24
add network=192.168.200.0/24
/system identity
set name=FAY-RTR02
/system logging
add action=email topics=info

cbrown

Guest

14.01.2014 13:16:00

Я не вижу ничего, что могло бы вызывать у вас проблемы. У вас есть полные таблицы маршрутизации на обоих роутерах? Почему вы используете RIP вместо OSPF? Попробуйте проследить трафик на вашем роутере, чтобы увидеть, куда он фактически доходит и где останавливается.

KamiNashi

Guest

14.01.2014 14:12:00

Отлично, что второй взгляд не обнаружил никаких проблем с конфигурациями. OSPF почему-то не распространяет маршруты. RIP тоже не распространяет, если я не укажу его соседа вручную, тогда всё в порядке. Хотите, я скину вам вывод таблиц маршрутизации обоих роутеров?

cbrown Guest	#8 0 14.01.2014 14:14:00 Конечно, /ip route print detail. Если хотите, можете написать мне на почту, и я предоставлю вам наши расценки. Можем настроить OSPF для вас, если нужно.

KamiNashi

Guest

14.01.2014 14:46:00

Похоже, проблема с OSPF может быть связана с тем, что всё работает в VMWare. Сейчас у меня всё в ESX5 с vCenter5, возможно, там есть какое-то ограничение в стеке, которое мешает нормальной работе. У меня есть планы вернуть всё на физический сервер, но я не хочу спешить с этим, пока не буду уверен, что всё настроено правильно. Ранее FAY-RTR02 отвечал за NAT, переадресацию портов, межсетевой маршрутизацию между VLAN и DHCP для VLAN 200. Я неправильно его обозначил и принял его за свой роутер. Цель состояла в том, чтобы сбросить роутер и убрать лишний слой NAT там, я не вижу в этом особого смысла в этой среде. Я несколько раз перезагружал VM, интересно, а не стоит его удалить и переустановить, импортировав конфигурацию? Если бы это была производственная среда, я бы уже писал обращения в поддержку, но раз все еще на стадии тестирования, лучше самому разобраться во всех деталях, прежде чем обращаться.

Вот таблицы маршрутизации.

FAY-RTR01

Флаги: X - отключено, A - активно, D - динамический, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

0 A S dst-address=0.0.0.0/0 gateway=A.B.C.177 gateway-status=A.B.C.177 reachable via ether2 distance=1 scope=30 target-scope=10

1 ADC dst-address=A.B.C.176/29 pref-src=A.B.C.180 gateway=ether2 gateway-status=ether2 reachable distance=0 scope=10

2 ADr dst-address=172.16.64.0/18 gateway=192.168.10.3 gateway-status=192.168.10.3 reachable via vlan_810 distance=120scope=20 target-scope=10 route-tag=0

3 ADC dst-address=192.168.10.0/23 pref-src=192.168.10.1 gateway=vlan_810 gateway-status=vlan_810 reachable distance=0 scope=10

4 ADr dst-address=192.168.100.0/24 gateway=192.168.10.2 gateway-status=192.168.10.2 reachable via vlan_810 distance=120 scope=20 target-scope=10 route-tag=0

5 ADr dst-address=192.168.200.0/24 gateway=192.168.10.2 gateway-status=192.168.10.2 reachable via vlan_810 distance=120 scope=20 target-scope=10 route-tag=0

FAY-RTR02

Флаги: X - отключено, A - активно, D - динамический, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

0 A S dst-address=0.0.0.0/0 gateway=192.168.10.1 gateway-status=192.168.10.1 reachable via vlan_810 distance=1 scope=30 target-scope=10

1 ADr dst-address=172.16.64.0/18 gateway=192.168.10.3 gateway-status=192.168.10.3 reachable via vlan_810 distance=120 scope=20 target-scope=10 route-tag=0

2 ADC dst-address=192.168.10.0/23 pref-src=192.168.10.2 gateway=vlan_810 gateway-status=vlan_810 reachable distance=0 scope=10

3 ADC dst-address=192.168.100.0/24 pref-src=192.168.100.254 gateway=vlan_100 gateway-status=vlan_100 reachable distance=0 scope=10

4 ADC dst-address=192.168.200.0/24 pref-src=192.168.200.1 gateway=vlan_200 gateway-status=vlan_200 reachable distance=0 scope=10

KamiNashi

Guest

#10

14.01.2014 17:17:00

Ну, это интересно. Что касается NAT/Port Forwarding, я это исправил. В FAY-RTR02 я добавил: chain=dstnat action=dst-nat to-addresses=192.168.100.12 protocol=tcp dst-address=A.B.C.180 dst-port=110 Что я могу сказать? Вижу успех. Это позволяет источникам из VLAN200 перенаправлять через FAY-RTR02 непосредственно в VLAN100, где находятся серверы, вместо того, чтобы подниматься на роутер, а потом снова спускаться – видимо, там и творилось безумие.

cbrown Guest	#11 0 15.01.2014 20:04:00 Это забавно, потому что ты, кажется, не удалил этот роутер, да?

KamiNashi Guest	#12 0 15.01.2014 20:09:00 После всего я сделал то, что изначально планировал. Хотелось проверить концепцию многоуровневой модели и сократить ресурсы за счёт удаления некоторых слоёв NAT. У меня уже был настроен FAY-RTR03 (.3) с точкой доступа, работающей как положено, поэтому я об этом не упоминал. Пока не тестировал, но мне кажется безопасным предположить, что доступ POP/SMTP для пользователей точки доступа тоже не работает без этого правила PF? Весь смысл многоуровневой модели был в том, чтобы уменьшить количество таких правил, мне кажется, это больше обходной путь, чем исправление? Я не прав в этом?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры