Как настроить проброс портов Mikrotik из внешней сети?

Question

[Bogdan Dolgopolov]

Оборудование:
MikroTok hEX S (mmips) Версия прошивки 7.11.2 (stable)
Сервер, с несколькими виртуальными машинами, доступными в локальной сети.
Интернет поставляется провайдером по PPPoE с получением белого IP динамически (интерфейс pppoe-out1)

На данный момент из внешней сети по белому IP доступен интерфейс входа в роутер OS.

Подскажите, пожалуйста, как настроить проброс портов во внешнюю сеть (пример 192.168.0.98:9003). Пробовал настроить правило NAT c различными параметрами Dst. Address, не работает.
По умолчанию с десятками разных настроек начального адреса по белому IP доступен интерфейс роутера.

Цель, которую я преследую, выбрасывать определенные порты с разных машин в локальной сети для доступа в вебе. Дальше уже проксировать трафик у себя и отдавать во вне.

Answer 1

[hint000]

Файервол не пускает?
/ip firewall filter export

пример 192.168.0.98:9003

на 192.168.0.98 кто-то слушает порт 9003? из локальной сети на 192.168.0.98:9003 удаётся подключиться?
на 192.168.0.98 нет файервола, который блокирует доступ из внешнего мира (например, на виндовых машинах блокируется по умолчанию)?

Comments

[Bogdan Dolgopolov]

1. Файервол настроен только против брутфорс'а

# 2023-11-04 08:38:56 by RouterOS 7.11.2
# software id = BJGH-2N44
#
# model = RB760iGS
# serial number = A815099DACFA
/ip firewall filter
add action=jump chain=input comment="sshbruteforces chain" connection-state=new dst-port=22 jump-target=\
sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=\
sshbruteforces connection-state=new src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=sshbruteforces \
connection-state=new src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=sshbruteforces \
connection-state=new src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=sshbruteforces \
connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp \
src-address-list=ssh_blacklist
add chain=sshbruteforces connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp \
src-address-list=ssh_blacklist
add action=jump chain=input comment="telnetbruteforces chain" connection-state=new dst-port=23 \
jump-target=telnetbruteforces protocol=tcp
add action=drop chain=telnetbruteforces comment="drop telnet brute forcers" src-address-list=\
telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=\
telnetbruteforces connection-state=new src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=\
telnetbruteforces connection-state=new src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=\
telnetbruteforces connection-state=new src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=\
telnetbruteforces connection-state=new
add chain=telnetbruteforces dst-port=23 protocol=tcp
add action=drop chain=forward comment="drop telnet brute downstream" dst-port=23 protocol=tcp \
src-address-list=telnet_blacklist
add chain=telnetbruteforces connection-state=new dst-port=23 protocol=tcp
add action=drop chain=forward comment="drop telnet brute downstream" dst-port=23 protocol=tcp \
src-address-list=telnet_blacklist
add action=jump chain=input comment="winboxbruteforces chain" connection-state=new dst-port=8291 \
jump-target=winboxbruteforces protocol=tcp
add action=drop chain=winboxbruteforces comment="drop winbox brute forcers" src-address-list=\
winbox_blacklist
add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=1w3d chain=\
winboxbruteforces connection-state=new src-address-list=winbox_stage5
add action=add-src-to-address-list address-list=winbox_stage5 address-list-timeout=1m chain=\
winboxbruteforces connection-state=new src-address-list=winbox_stage4
add action=add-src-to-address-list address-list=winbox_stage4 address-list-timeout=1m chain=\
winboxbruteforces connection-state=new src-address-list=winbox_stage3
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m chain=\
winboxbruteforces connection-state=new src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m chain=\
winboxbruteforces connection-state=new src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m chain=\
winboxbruteforces connection-state=new
add chain=winboxbruteforces dst-port=8291 protocol=tcp
add action=drop chain=forward comment="drop winbox brute downstream" dst-port=8291 protocol=tcp \
src-address-list=winbox_blacklist
add chain=winboxbruteforces connection-state=new dst-port=8291 protocol=tcp
add action=drop chain=forward comment="drop winbox brute downstream" dst-port=8291 protocol=tcp \
src-address-list=winbox_blacklist

Эти настройки были добавлены мной только что, после того как консоль начала пестрить попытками входа. На момент написания топика его не было и он ни на что не влиял.

2. 192.168.0.98:9003 доступен в локальной сети, как и несколько других портов, которые я поднимал в машинках.

[Bogdan Dolgopolov]

Беспокоит доступность по белому IP интерфейса входа в роутер

[Bogdan Dolgopolov]

hint000, не вижу, где я оставил полный ipv4

[Bogdan Dolgopolov]

hint000, Там только китайские ipшники, да и порты управления были закрыты. Вопрос по пробросу портов всё еще актуален

[Bogdan Dolgopolov]

hint000, Близко, но нет. Диапозон большой, у Ростелика

[hint000]

Bogdan Dolgopolov, на сервере, куда пробрасываете, стоит Linux? Или есть любой другой с Linux'ом, куда для теста можно пробросить? Запустите на сервере sudo tcpdump port 9003 и после этого пытайтесь подключиться извне. tcpdump покажет, дошло хоть что-то до сервера или нет. Потому что могут быть разные варианты:
- запрос не доходит до сервера
- запрос доходит, но сервер не отвечает на него
- запрос доходит и сервер отвечает, но до клиента не доходит ответ
Вот это можно и выяснить через tcpdump.
На виндовом сервере тоже можно такое проделать, но чуть сложнее - надо ставить драйвер для захвата пакетов и Wireshark, но в целом то же самое.

не вижу, где я оставил полный ipv4

на скриншотах есть два раза.

[Bogdan Dolgopolov]

hint000, Спасибо за способ проверки, везде debian/ubuntu на стороне внутренних машин

Answer 2

[Drno]

В фаерволе разрешить входящие нужные порты, правила в самый верх добавить
Дальше dst-nat для интерфейса ppoe.

Подключение из мира к микротику советую закрыть, можно оставить для винбокса с определенных адресов

Comments

[Bogdan Dolgopolov]

Попробовал как вы говорите
Отключал весь Firewall, явно развешал все input и forward
Результат один и тот же, локально открывается, из внешней сети нет

[Drno]

Bogdan Dolgopolov, ну такого не может быть
Проверять надо с другого инета, если что

Банально - телнет на порт тоже не проходит?

Answer 3

[Юрий MikroTik]

Если я правильно понял задачу, тут нужно Hairpin NAT

Comments

[Bogdan Dolgopolov]

Извините, я не правильно софрмировал вопрос. Не отрабатывает именно стандартный проброс портов

Я описал актуальное состояние Firewall в топике - Настройка Firewall для доступа к локальным машинам из внешней сети WAN (PPPoE)?, пробовал его отключать и явно разрешать все input и forward пакеты. Не заводится.

[Юрий MikroTik]

Bogdan Dolgopolov, если проверяете изнутри, то работать не будет. Если с другого интернета, то надо разбираться приходит ли вообще пакет.

Answer 4

[Артем Кайбагоров]

/ip f na add chain=dstnat dst-address=whiteip protocol=tcp dst-port=9003 action=dst-nat to-address=192.168.0.98

Comments

[Bogdan Dolgopolov]

Доброй ночи, спасибо за ответ.

Я уже пробовал настроить правило NAT подобным образом, это не приводит к решению проблемы.
Из внешней сети бьёт ERR_CONNECTION_TIMED_OUT
Подобные действия я проводил с разными портами (в частности 80) на котором из вне доступен маршрутизатор. Пробовал перезагружать и сбрасывать с полной настройкой оборудование.

[Bogdan Dolgopolov]

Так же пробовал ставить WAN интерфейс в правило NAT. Так же без безультатно.

[Bogdan Dolgopolov]

# 2023-11-04 07:25:08 by RouterOS 7.11.2
# software id = BJGH-2N44
#
# model = RB760iGS
# serial number = A815099DACFA
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
use-peer-dns=yes user=
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 lease-time=1d name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server lease
add address=192.168.0.254 client-id=1:2c:f0:5d:7c:7a:55 comment=\
"\CE\F1\ED\EE\E2\ED\EE\E9 \CF\CA" mac-address=2C:F0:5D:7C:7A:55 server=\
dhcp1
add address=192.168.0.97 client-id=1:9c:a2:f4:6e:ba:6a comment=\
"Wi-Fi \D0\EE\F3\F2\E5\F0 TP-LINK TLWR844N 100Mbs" mac-address=\
9C:A2:F4:6E:BA:6A server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=\
85.xxx.xx.122,85.xxx.xx.130,8.8.8.8,8.8.4.4 gateway=192.168.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-address=xx.xxx.xx.xxx dst-port=80 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.98 to-ports=\
9003
/system clock
set time-zone-name=Europe/Moscow
/system note
set show-at-login=n

[Артем Кайбагоров]

Bogdan Dolgopolov, Вероятно у вас не работает connection tracker, добавьте правило в файрвол:
/ip f f add action=accept chain=forward connection-state=established,related

Или включите принудительно:
/ip f connection tracking set enabled=yes

В представленной вами конфигурпции проверять работоспособность нужно со стороны интернета.

Если внешний и внутрении порты совпадают, то в action to-port указывать не обязательно.

Экпорт нужно делать с агрументом hide-sensitive, у вас в конфиге видны учетные данные.

[Bogdan Dolgopolov]

Артем Кайбагоров, Спасибо, увидел. Благодарю за совет

[Bogdan Dolgopolov]

Артем Кайбагоров, Правило для connection-state=established,related добавлено
Актуальный конфиг Firewall указан в топике - Настройка Firewall для доступа к локальным машинам из внешней сети WAN (PPPoE)?

Так же я активировал трекер по вашему совету, к сожалению, безрезультатно

[oldsadraven]

Для начала, если у вас динамический внешний адрес, то откуда вы его взяли для правила dstnat?
А вообще, лог вам в помощь.
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat log=yes log-prefix="input: "
/ip firewall nat
add action=netmap chain=dstnat -interface=pppoe-out1 \
dst-port=9003 log=yes log-prefix="9003: " protocol=\
tcp to-addresses=192.168.0.98 to-ports=9003
Поставьте правила на правильные места. И разрешите 192.168.0.98 выходить в интернет.
А потом идите с ВНЕШКИ на <ваш внешний IP>:9003 и смотрите лог. Есть запись с префиксом "input:", значит filter отработал. Как именно - в логе будет написано. Есть запись с префиксом "9003:", значит NAT отработал. Как именно - в логе будет написано. Если всё корректно работает - значит проблема в самом сервисе на сокете 192.168.0.98:9003, копайте его.
И да, переназначьте порт WebFig с 80 на какой-то другой, если хотите транслировать порт 80 в 9003.