Mikrotik rb951g 2hnd как подружить с QNAP_NAS?

Question

[inogda_dobriy]

за микротиком стоит NAS у которого в настройках прописано получение статичного внутреннего IP сети - он его получает, все ОК.

при попытке попасть на NAS по внутреннему IP по 80 порту -проблем нет. А вот при попытке попасть на него извне используя его имя зарегестрированное на его службе DDNS варианта 2:
1- если порт не проброшен то попадаем на микротик
2-если проброшен то не происходит ничего- просто вечная загрузка страницы и все.

порты пробовал пробросить руками и пробовал внутренней утилитой NAS (он умеет делать это сам по UPnP и с другим роутером это работало), на микротике UPnP все включено.

+ 80 это не единственный порт который нужно на него пробросить (есть еще 20,21,8080,8081,1723,1194) но тут хоть бы с одним разобраться.

Помогите если ктото сталкивался

Comments

[Maksim]

какой внт утилитой NAS вы пробрасываете порты, вам пробрасывать надо на микротике а не на NAS

[inogda_dobriy]

Maksim: все верно. В самом NAS есть утилита которая пробрасывает порты на роутере если тот поддерживает UPnP

[Maksim]

inogda_dobriy: Ну мало ли как это работает пробрасывайте вручную на микротик используйте раздел FIREWALL-NAT (а далее DNAT)

[inogda_dobriy]

пробовал и так и так...и всеравно никак

Answer 1

[Ярослав Еремин]

У тебя роутер прописан?
print правила NAT выложи
отключи сервис www на микротике:
/ip service
set www disabled=yes
если не поможет, используй packet sniffer на mikrotik и там смотри что с пакетами

Answer 2

[inogda_dobriy]

сервисы IP отключены вообще все кроме winbox.

правило NAT одно:
chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

снифером что нюхать имеет смысл? входящий трафик на 1-м порту или какой? или и тот и тот и потом сравнивать?

C гостевым WiFi разобрался...был небольшой конфликт в Фаерволе. Но скорость по прежднему режет

Comments

[Ярослав Еремин]

а где правило проброса порта? что то типа: chain=dstnat action=dst-nat to-addresses= to-ports=80 protocol=tcp in-interface=ether1-gateway dst-port=80

[inogda_dobriy]

было. Удалил т.к. оно всеравно не работате БЫЛО:
chain=dstnat dst.address=внешний адрес на который приходит пакет protocol=6(tcp) dst.port=80 astion=dst-nat to addresses=IP NAS который у нас статичный to port=80
и не работает :(((((

Answer 3

[LESHIY_ODESSA]

Ну смотрите, у вас два устройства и у обоих 80 порт. Тут несколько вариантов.

1. Отключить 80 порт у микротика, а вместо него использовать hhtpS — 443 порт. Это в общем то логично, правильно и безопасно шифровать весь трафик от вас к веб интерфейсу микротика.
2. Использовать на микротике не 80 порт, а другой. Тоже одна из фишек безопасности. Боты-хакеры по умолчанию сканируют 80 порт, так почему бы его не перенести например на 4444.

3. Использовать проброс из вне на NAS с другим портом. То есть

add action=netmap chain=dstnat dst-port=8090 protocol=tcp to-addresses=10.1.1.2 to-ports=80

То есть извне у NAS будет будет порт 8090, а потом он заруливается на 80 порт NAS. То есть чтобы попасть на веб интерфес NAS будет URL — name.DynDNS.org:8090

Открывать NAS наружу не очень безопасно, а точнее совсем не безопасно. Обычно используют VPN до локалки в которой стоит NAS.

У микротика есть встроенный FTP, поэтому 21 порт тоже будет конфликтовать.

Comments

[inogda_dobriy]

NAS открыт только по веб интерфейсу где у него стоит своя родная морда с вводом логина и пароля...пароль и логин только мой так что думаю +/- это безопасно. Хотя вариант с заходом через другой порт очень даже ничего.

К сожалению не помогло. Прична гдето видимо в самой работе службы DDNS. т.к. по прямому имени name.myqnapcloud.com я на него зайти не могу сколько порты не пробрасывал. А вот через кабинет на самом сайте myqnapcloud.com в котором есть прямая ссылка на него https://www.myqnapcloud.com/u?lang=ru#/my_device из локалки меня бросает на локальный адрес, а извне на какойто временный типа mm42fs.myqnapcloud.com. Пока буду рыть в этом направлении

[inogda_dobriy]

возможно проблема еще и в том что перебросить нужно не только входящий трафик из вне на IP NAS но и весь исходящий от IP NAS разрешить отправлять в инет

[LESHIY_ODESSA]

inogda_dobriy: Вы вообще читает что я пишу? Какой name.myqnapcloud.com если должно быть name.myqnapcloud.com:ПОРТ.
Если вы думаете что сервис DNS что блокирует, а это не так, то вы можете посмотреть текущий IP вручную и для проверки открыть по внешнему IP микротика то есть — ip:порт

Или вы совсем всё перепутали и myqnapcloud.com запускается c NAS сервера? То есть выдумает что NAS обладает экстрасенсорными навыками и должен прочесть ваши мысли о о том, что нужен внешний IP микротика, а не самого NAS.

Пока вы не запретите в Firewall микротика весь трафик от NAS спокойно уходит наружу.

К сожалению вы не разбираетесь в основах и начинаете придумывать отсебятину. Какие то отговорки. Всё что я написал выше должно работать. Если не работает то вы делаете что то не так.

[inogda_dobriy]

по внешнему IP микротика то есть — ip:порт - ничего не открывает т.к. все сервисы микротика закрыты кроме Винбокса 8291, нельзя на него попасть по 80 порту. Никак. IP->Services. Даже больше, в него и по сети по внутреннему IP попасть нельзя т.к. все закрыто.

и при всех не проброшенных портах (вообще нет никаких правил, все удалил) я всеравно могу попасть на NAS из вне но не по прямой ссылке name.myqnapcloud.com:ПОРТ , а через сервис myqnapcloud по какойто временной и не понятно откудова взявшейся incorrect_name.myqnapcloud.com:ПОРТ

тут важен сам ФАКТ того что извне я могу на него зайти

а вот почему не работает корректная ссылка это уже другой вопрос и он зависит явно не от самого наса, а от того кто эти адреса назначает.

myqnapcloud.com это производитель и одновременно и сервис. и он же одновременно и есть регистратором DDNS это у них как доп услуга к своим коробочкам идет.

понимаете о чем? вашу логику настройки порта с проброской через 8090 я понял...но пока я не поправлю работу DDNS сервиса и пока я не могу по корректному адресу найти свою коробку.

[LESHIY_ODESSA]

DDNS должен быть запущен на микротике.

forum.mikrotik.com/viewtopic.php?f=13&t=83744&p=44...
forum.ixbt.com/topic.cgi?id=14:57592:2931#2931

[LESHIY_ODESSA]

inogda_dobriy: Пишите мне на почту. От вас :

1. Регистрация тут — freedns.afraid.org
2. TeamViewer
3. Внятное техописание что вы хотите.

Answer 4

[Zommer693]

Так чем все решилось?
На данный момент такая же проблема и как решить ума не приложу.
Подскажите плиз.

Answer 5

[BobbyGun]

Решается через DMZ элементарно.
Вот тут написано как.
https://asp24.com.ua/blog/mikrotik-router-os-nastr...