Почему Микротик не пропускает подключения к внешнему smtp?

Question

[Вячеслав Гранченко]

Конфигурация Микротика:
>> WAN - встроенный в микротик LTE модем, который подключается к мобильному интернету;
>> LAN и WLAN - объединены в бридж, сеть 192.168.11.0/24, подключенные устройства получают ip из этой подсети по DHCP, который настроен на Микротике в диапазоне 192.168.11.100-192.168.11.253; адреса 2-99 используются устройствами с статическими ip (например, принтеры);
>> Поднят IPSec тунель между сетью 11.0 и удаленной корпоративной сетью 2.0 (Mikrotik - Sophos XG);
>> В файрволе добавлено два правила разрешающие форвард пакетов между двумя сетями по туннелю; NAT srcnat уходит в маскарадинг;
>> В IP>Routes добавлен только один маршрут: dst.address 0.0.0.0/24, out.int -> WLAN (LTE).

И теперь самое интересное. Интернет у пользователей, подключенных через вай-фай есть. Сеть работает, пользователи имеют доступ к принтерам, подключенных по LAN. Удаленную сеть видно, пинги ходят. Все бы ничего, да одна хрень не работает: принтер из локальной сети не может выслать по smtp отсканированный документ.

Smtp сервер имеет внешний ip (допустим 85.230.110.120), который видно из инета. Он работает (проверенно отправкой тестового письма из другой сети). Этот сервер пингуется с микротика, с интерфейса lte (который WAN), но не пингуется с бриджа. Соответственно, все кто подключен по LAN или WLAN тоже его не видят.

Где и что я забыл настроить?

Comments

[Valentin Barbolin]

> В IP>Routes добавлен только один маршрут: dst.address 0.0.0.0/24, out.int -> WLAN (LTE).
Почему не 0.0.0.0/0 ?

С микротом, лучше сразу показывать свой конфиг.
Открываешь терминал, пишешь export и выкладываешь сюда.

[Вячеслав Гранченко]

Andrey Barbolin, все правильно 0.0.0.0/0, то я в первый раз опечатался
ок, выложу чуть позже

[Вячеслав Гранченко]

Andrey Barbolin, вот конфиг

# sep/03/2022 11:23:33 by RouterOS 7.5
#
# model = RBD53GR-5HacD2HnD

/interface bridge
add admin-mac=48:8F:5A:35:18:3C auto-mac=no comment=BRIDGE name=bridge \
protocol-mode=none
/interface lte
set [ find default-name=lte1 ] allow-roaming=no band=""
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
MikroTik-351842 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profile1 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
comment=WLAN disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge security-profile=profile1 ssid="Mikrotik AP" \
wireless-protocol=802.11
/interface wireless nstreme
set wlan1 comment=WLAN
/interface wireless manual-tx-power-table
set wlan1 comment=WLAN
/ip ipsec profile
add dh-group=ecp256,ecp521,modp8192,modp4096,modp2048,modp1024 enc-algorithm=\
aes-256,aes-128,3des hash-algorithm=sha256 name=Mikrotik_profile
/ip ipsec peer
add address=айпи.фаервола.с.внешним.ip/32 exchange-mode=ike2 name=Mikrotik_Sophos port=500 \
profile=Mikrotik_profile
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-128-cbc name=\
mikrotik_proposal pfs-group=ecp256
/ip pool
add name=default-dhcp ranges=192.168.11.100-192.168.11.253
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/routing table
add fib name=VPN_woda
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.11.1/24 comment=defconf interface=bridge network=\
192.168.11.0
add address=192.168.1.2/24 disabled=yes interface=ether1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.11.0/24 comment=defconf dns-server=\
192.168.2.15,8.8.8.8,1.1.1.1 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=winbox dst-port=8291 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward dst-address=192.168.2.0/24 src-address=\
192.168.11.0/24
add action=accept chain=forward dst-address=192.168.11.0/24 src-address=\
192.168.2.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface=lte1
/ip ipsec identity
add peer=Mikrotik_Sophos
/ip ipsec policy
add dst-address=192.168.2.0/24 peer=Mikrotik_Sophos proposal=mikrotik_proposal \
src-address=192.168.11.0/24 tunnel=yes
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 pref-src=\
0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Warsaw
/system identity
set name="MK"
/system routerboard mode-button
set enabled=yes on-event=dark-mode
/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys \
policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
source="\r\
\n :if ([system leds settings get all-leds-off] = \"never\") do={\r\
\n /system leds settings set all-leds-off=immediate \r\
\n } else={\r\
\n /system leds settings set all-leds-off=never \r\
\n }\r\
\n "
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Valentin Barbolin]

Вячеслав Гранченко,
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

disabled=yes - почему маршрут выключен?
pref-src=0.0.0.0 - так не пойдет
routing-table=main scope=30 suppress-hw-offload=no target-scope=10 - зачем все это?

Как это вообще работает? Помоему тут не весь конфиг. Где вообще дефолтный маршрут?

По хорошему должно быть два маршрута, один дефолт, второй в VPN.

[Вячеслав Гранченко]

Andrey Barbolin, это правило выключено, т.к. интерфейс с этим ip не задействован. это правило ни на что не влияет сейчас.

это все, что выдал микротик по запросу export. дефолтный маршрут добавляется динамически: dAS 0.0.0.0/0 -> интерфейс lte.

[Valentin Barbolin]

Вячеслав Гранченко, Тогда, вероятнее всего, что оператора блокирует этот порт, попробуй обернуть его в тунель.

[Вячеслав Гранченко]

Andrey Barbolin, так адрес сервера smtp пингуется с интерфейса lte (который смотрит в мир), но не пингуется с интерфейса бридж. я ж написал это в вопросе в самом начале.

[Valentin Barbolin]

Вячеслав Гранченко, Что-то вообще пингуется с этого интефейса? Вот так пингуется?
[admin@AP01] > ping 1.1.1.1 src-address=192.168.11.1

[Вячеслав Гранченко]

Andrey Barbolin, добавил скриншот. с 11.1 пингуется, а с клиентского ip 11.251 не пингуется

[Valentin Barbolin]

Вячеслав Гранченко,
> добавил скриншот. с 11.1 пингуется,
получается что с бриджа пингуется. Попробуй свой адрес пропинговать таким образом.

> а с клиентского ip 11.251 не пингуется
Логично, т.к. адрес не принадлежит микротику и он не может поймать обратный пакет.

[Вячеслав Гранченко]

Andrey Barbolin, с терминала пингуется, с Tools>Ping - нет

[Вячеслав Гранченко]

как видно на скриншоте, через микротик проходят запросы на тот сервер, но от сервера он ответ не получает, нет пакетов tx в обратную сторону.

это я запустил тест отправки с консоли принтера и отфильтровал снифером на микротике пакеты, которые через него проходят. где эти пакеты теряются - загадка. я не знаю где еще посмотреть.

[Valentin Barbolin]

Вячеслав Гранченко,
> с терминала пингуется,
У тебя заблокирован 25 порт.

[Вячеслав Гранченко]

Andrey Barbolin, ээээ. Микротик сам заблокировал? Кто разрешил? :) Как проверить, заблокирован ли, т.к. в фаерволе или NAT правила насчет 25 порта нет? При этом с клиентской тачки по 465 порту письма уходят на другой сервер. А на проблемный сервер по 25 порту с принтера - не ходют :(

[Valentin Barbolin]

Вячеслав Гранченко,
> ээээ. Микротик сам заблокировал? Кто разрешил? :)
Провайдер заблокировал.

> При этом с клиентской тачки по 465
Ты сравниваешь мягкое с жидким. На 25 порту общаются сервера, 465 это порт клиента.

Сделай на удаленно сервере remap порта 4425, на 25. Соответственно принтер настрой на 25 порт.

У мена даже домашний провайдер блокирует 25 порт, а 443 - пожалуйста, проходите.

Answer 1

[d-stream]

Стоит проверить что из той сети smtp откликнется и примет хотя бы HELO
А то к примеру мой провайдер уже лет 20 не пробивается и упорно блочит все исходящие на 25 порт, мотивируя это борьбой со спамом.
Ну и классику стоит проверить тоже - известен ли маршрут по которому надо идти пакетам назад? )

Comments

[Вячеслав Гранченко]

1. Так он даже не пингуется с интерфейса bridge. Какое HELO? До него еще далеко :) Проблема явно где-то в Микротике, т.к. до его установки все работало нормально.
2. Не любитель класики, я больше по электронной музыке... :) Как проверить то, о чем ты пишешь?