Как все-таки правильно открыть порт на микротике?

Question

[susnake]

Добрый день.
Никак не могу понять и разобраться как все-таки пробрасывают порты в микротике?
Например в этом видео:

chain: dstnat
Protocol: 6 (tcp)
dst.port: 80
in.interface: ether1-gateway
Action: dst-nat
to adresses: 192.168.0.5
to ports: 80

Сделал, применил, почему-то открылся веб-интерфейс микротика (его IP 192.168.0.1).
Например в этом топике
рекомендуют выполнить команду

/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.11.118 to-port=80

, которая приводит настройки к следующему виду:

chain: dstnat
Protocol: 6 (tcp)
dst.port: 80
Action: dst-nat
to adresses: 192.168.0.5
to ports: 80

Т.е. без указания входящего интерфейса. Перехожу на свое доменое имя (example.com) и у менявываливается ошибка

This webpage is not available
ERR_CONNECTION_TIMED_OUT

В некоторых ответах говорят, что нужно еще указывать в Dst.address свой внешний IP, в некторых - в разделе action не указывать to ports.
Изучал статью на хабре, но не помогло. Также открывается веб-интерфейс микротика.
Настройка конфигурации стандартная.

Экспорт конфига микротика

/export compact
# aug/22/2015 20:15:09 by RouterOS 6.30.2
# software id =
#
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=ether10-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge-local name=default
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=sfp1
/ip address
add address=192.168.0.1/24 comment="default configuration" interface=ether2-master-local network=192.168.0.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.0.0/24 comment="default configuration" gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=netmap chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.0.5 to-ports=80
/system clock
set time-zone-name=Asia/Novosibirsk
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=sfp1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=sfp1
add interface=bridge-local
/tool romon port
add

Вот тоже не понятно, почему в строке add name=default-dhcp ranges=192.168.88.10-192.168.88.254 указан IP 192.168.88. 0, когда я его переназначил на 192.168.0.0
Boarname RB2011UiAS
Version: 6.30.2
Frimware 3.22

Comments

[Zzzz9]

Да ничего не понятно, вы в локальной сети хотите открыть web сервер на другом компьютере?, тогда не нужно пробрасывать порты.

| почему-то открылся веб-интерфейс микротика (его IP 192.168.0.1)

что тут удивительного, этот порт занят web интерфейсом микротика, он не будет слушать что-то другое.

[susnake]

Zzzz9, спасибо за ответ.

Да ничего не понятно, вы в локальной сети хотите открыть web сервер на другом компьютере?, тогда не нужно пробрасывать порты.

Подождите, как не нужно? Как тогда микротик узнает на каком адресе у меня веб-сервер?

что тут удивительного, этот порт занят web интерфейсом микротика, он не будет слушать что-то другое.

Да, я это понимаю, что в данный момент 80-ый занят микротиком. Может сравнение не корректное, но, например, у зукселя или у д-линка тоже есть веб-интерфейс. Если я указываю в настройках, что все запросы, которые идут на 80-ый с внешки перенаправлять на веб-сервер, то он это и делает и веб-интерфейс у него не открывается, пока не постучишься по внутреннему ip. Я думаю, что и сдесь так же, поправьте меня, если я ошибаюсь.

[Zzzz9]

Ваш комментарий не внес ясности. Подробней можно?, с какого адреса вы подключаетесь к web серверу, какой адрес у web сервера. Какой адрес у микротика. Почему фигурируют адреса разных подсетей (192.168.0.1; 192.168.11.118;)

[susnake]

Zzzz9:

с какого адреса вы подключаетесь к web серверу,

С локальной сети (192.168.0.0/24) или с другого провайдера.

Какой адрес у микротика.

192.168.0.1

какой адрес у web сервера.

192.168.0.5

Почему фигурируют адреса разных подсетей (192.168.0.1; 192.168.11.118;)

192.168.0.1 - моя подсеть, 192.168.11.118 - подсеть у человека, который задал вопрос в другом топике. Естественноего IP я заменил на свой.

[Zzzz9]

Что-то проясняется, в локальной сети ваши адреса, сети 192.168.0.0/24, доступны, по этому не нужно пробрасывать порты, в браузере просто набрать 192.168.0.5 (если это не тот же самый компьютер).
Из инета ваш локальный адрес (192.168.0.5) не доступен, по этому нужно пробросить порт. И соответственно проверять нужно из интернета.

Answer 1

[Дмитрий]

Посмотрите на счетчик, срабатывает ли у вас, в принципе, это правило.
Из локалки ваш адрес резолвится в IP, который сам микротик и отдает. Чтобы работало изнутри нужно делать Hairpin Nat.
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254 - пул адресов для dhcp сервера. Просто не стоит пользоваться Easy setup (окном первичной настройки). Оно работате крайне криво и про него лучше вообще забыть.

Comments

[susnake]

Да, Вы правы. "Быстрая" настройка обернулась медленной в моем случае.Сейчас удалил всю конфигурацию, сделал все вручную, открыл 80-ый порт (без удаления веб-интерфейса микротика) - получилось зайти на свой сайт. Спасибо :)

Answer 2

[Александр Иванов]

Отключи веб морду микротика вообще , и все заработает

Comments

[susnake]

Александр Иванов, отключил, но не помогло. Хром пишет, что

This webpage is not available ERR_CONNECTION_TIMED_OUT