Проброс портов во внутреннюю сеть mikrotik?

Question

[dimitriy71]

пытаюсь пробросить на Mikrotike адрес внешний

порты 80,443 во внутрь локальной сети уже добавил правило dstnat и в firewall rules forward accept и ничего
нужно ли где-то в Mikrotik дополнительно разрешать forwarding какой-то командой

может надо как-то применять их перегрузить Mikrotik

Comments

[KPOBABAK]

а ip то у тебя белый и статический?

[KPOBABAK]

а встроенный в микротик web сервис отключен?

Answer 1

[АртемЪ]

То что нужно указать обязательно-
General

1. Указываете цепочку - dstnat ибо трафик входящий
   
2. Указываете протокол - например TCP
   
3. Указываете DST порт.
   
4. Указываете In Interfase - откуда собственно пакеты ловить
   

Action

1. Указываете действие netmap или dst-nat это собственно и есть проброс.
   
2. Указываете to adresses - на какой адрес в локальной сети идет проброс
   
3. Указваете to ports - на какие порты пробрасываете.
   

Остальное оставляете не заполненным, ничего лишнего заполнять не надо.
Все
Все сразу заработает, никаких перезагрузок не надо.
Еще момент - разрешающее правило должно быть выше запрещающих, если у вас есть выше правило которое запрещает трафик оно дропнет пакет раньше чем отработает разрешающее правило. Поэтому поднимайте выше.

Вы не указали интерфейс - работать не будет.
Вы не указали на какой порт пробрасывать - работать тоже не будет.

уже добавил правило srcnat

Зачем?

Ну и самое главное - вы уверены что у вас белый IP адрес?Есть немалая вероятность что он серый, и ничего пробросить не получиться.

Comments

[dimitriy71]

Нет не работает пробовал прокидывать с указанием входящего интерфейса тоже
не работает

пробовал пробросить ssh 22 порт tcp тоже нет с 2022 на 22 порт внутреннего
(ip белый)

может все таки надо еще прописывать в firewall rules отдельно какое то правило

[АртемЪ]

dimitriy71,

может все таки надо еще прописывать в firewall rules отдельно какое то правило

Не надо.

ip белый

Откуда такая уверенность? У вас договор с провайдером за предоставление белого IP, и вы платите за этот белый адрес деньги? Как вы вообще определили что он белый?
На входящем интерфейсе микротика у вас какой адрес?

Чисто из моей практики -
Если у человека проблемы с пробросом портов - причина в 90% случаев это отсутствие белого адреса.
Причем все почему-то всегда уверены что у них именно белый IP адрес.

[dimitriy71]

добавил правило firewall rules

для established и new connections

все равно drop ает эти соединения

что посоветуете?

[АртемЪ]

добавил правило firewall rules

Я вам посоветовал выше уже.
Никаких правил добавлять не надо.
Вот нафига вы вобще туда вписали адрес 212.90.184.10????
Это что за адрес, и зачем его туда пихать? Что в первом случае, что во втором??
Вы вообще ответ для чего задавали? Я же вам четко написал какое правило нужно - никаких адресов в DstAdress я вам писать не советовал, там должно быть пусто!

1)Проверьте есть ли у вас белый адрес - зайдите во вкладку Quisk Set и посмотрите какой адрес у вас стоит в графе Internet. Хотя бы назовите первый октет этого адреса.
2)Проверьте как идут пакеты по вашему правилу - в правиле NAT в разделе Aktion включите логгирование и задайте префикс, после чего попытайтесь подключиться и посмотрите есть ли в логах сообщения с этим префиксом.

[dimitriy71]

так провайдер сказал, звонил

[Drill]

dimitriy71, судя по скринам, у вас форвардинг завернут в цепочку customer
покажите вывод команды:
ip firewall filter print chain=customer

[Drill]

АртемЪ,

Это что за адрес

Этот адрес входит в пул адресов ООО "Укрком", прекрасно пингуется.

никаких адресов в DstAdress я вам писать не советовал, там должно быть пусто!

Я бы не был так категоричен.
Сделайте Hairpin NAT, и попробуйте из локалки попасть на локальный вебсервер по внешнему адресу. Прийдется все-таки прописать DstAdress и оставить пустым InInterface.

[АртемЪ]

Drill, Категоричность обусловлена тем что у автора вопроса банально не работает проброс.
Вот когда он заработает, тогда можно делать более сложные варианты.

Этот адрес входит в пул адресов ООО "Укрком", прекрасно пингуется.

Это я вообще не понял к чему вы написали. С чего бы ему не пинговаться, и какая разница пингуется он или нет?

[АртемЪ]

dimitriy71,

так провайдер сказал, звонил

Да какая разница что он сказал?
По поводу того как сделать инструкция по прежнему такая-

1)Проверьте есть ли у вас белый адрес - зайдите во вкладку Quisk Set и посмотрите какой адрес у вас стоит в графе Internet. Хотя бы назовите первый октет этого адреса.
2)Проверьте как идут пакеты по вашему правилу - в правиле NAT в разделе Aktion включите логгирование и задайте префикс, после чего попытайтесь подключиться и посмотрите есть ли в логах сообщения с этим префиксом.

[Drill]

АртемЪ,

ip белый

Откуда такая уверенность?

IP белый

[АртемЪ]

Drill, Ну так на каком основании сделан такой вывод?? Есть очень большая вероятность что это не так.
Неужто сложно сказать какой адрес получен от провайдера.
Собственно посмотреть адрес на интерфейсе WAN это единственный способ убедиться в том что адрес белый.
Других вроде нет.

[Drill]

АртемЪ,

Ну так на каком основании сделан такой вывод?? Есть очень большая вероятность что это не так.

IP адрес 212.90.184.10 не входит в диапазон частных (так называемых "серых") адресов. Он относится к анонсируемым (так называемым "белым" или внешним) адресам.
клик, еще

Собственно посмотреть адрес на интерфейсе WAN это единственный способ убедиться в том что адрес белый.

Это где такому учат? Т.е. по вашему любой адрес на WAN - это белый????

Категоричность обусловлена тем что у автора вопроса банально не работает проброс.
Вот когда он заработает, тогда можно делать более сложные варианты.

Это не сложный, а правильный вариант. Ваш вариант с указанием только входящего интерфейса возможен, но он плохой. Почему, я написал выше.

Простые работающие примеры есть в вики микротика. Например, это

[АртемЪ]

Drill,

IP адрес 212.90.184.10 не входит в диапазон частных

Я в курсе. Мне просто непонятно при чем тут этот адрес вообще?

Это где такому учат? Т.е. по вашему любой адрес на WAN - это белый????

По моему любой адрес на интерфейсе WAN вашего роутера - ваш! А уж белый или серый надо смотреть.

Чтобы узнать какой адрес - нужно посмотреть адрес на интерфейсе WAN и выяснить белый он или нет.

Ваш вариант с указанием только входящего интерфейса возможен, но он плохой. Почему, я написал выше.

Чем именно он плохой? Он как раз наиболее хороший. Зачем лепить неизвестные адреса в dst, если можно указать интерфейс?

[Drill]

АртемЪ,

Мне просто непонятно при чем тут этот адрес вообще?

Чтобы узнать какой адрес - нужно посмотреть адрес на интерфейсе WAN и выяснить белый он или нет.

1. Внимательно читаем вопрос от автора темы "пытаюсь пробросить на Mikrotike адрес внешний 212.90.184.10"
2. Смотрим на второй скрин от автора и видим кучу правил в NAT с указанием этого IP в качестве Dst.Address, при этом видно, что счетчики правил срабатывают. Причем первое правило - проброс 80 и 443 порта тоже срабатывает.
3. Попробуйте подключиться телнетом к 212.90.184.10 порт 8291. Похоже, что там микротик, и автор таки не врет насчет того, что это его внешний адрес.
Или вам нужно как минимум несколько письменных подтверждений от него?

Чем именно он плохой? Он как раз наиболее хороший. Зачем лепить неизвестные адреса в dst, если можно указать интерфейс?

Еще раз повторю, это плохой вариант. Почему, читайте выше, я уже объяснял. Адрес все-таки известен. Простой и хороший вариант описан в вики микротика. Ссылку я уже давал.

Скорее всего проблема в форвардинге. Судя по скринам, форвардинг завернут в цепочку customer, поэтому правило в файерволе для данных портов надо добавить в цепочку customer. Вариант второй -
добавить правило в цепочку forward и поставить это правило выше правила с action=jump

Answer 2

[Gregory]

10.10.5.22 - это за устройство?
покажите правила фаервола через export

Answer 3

[yanos]

Добрый день. Похожая проблема.
Проброс работает и 80 и 443 но открывается стартовая страница nginx, а хочется чтоб открывались сайты на которые пытаюсь зайти.
Что мог сделать не так? И как можно поправить?