Как прокинуть порт?

Question

[Exodus11]

В настройке Микротика я совсем зелёный, просьба не судить строго. Мне необходимо прокинуть порт 3998(допустим). Обращение должно идти извне, порт открывается под удаленку.
Chain dsnat
Dst adress - указываю свой статический ИП адрес провайдера
Protocol tcp
Dst.Port 3998
In.Interface ether1
Action dst-nat
To Adresses указываю к какому ПК в LAN перенаправить подключение
To Ports 3998
Возможно я что то делаю не так? Либо есть какие то действия до прокидывания порта в NAT?

Comments

[Maksim4]

Если не подключается то отключи Брандма́уэр Windows.

[Станислав Валсинатс]

Вы исключили локальные проблемы ПК ?? если первым правилом поставить
add action=accept chain=forward in-interface=ether1-gateway

То работает ? ?

Answer 1

[Андрей Левашев]

В forwarding-е разрешить трафик на этот хост, или вообще во внутреннюю сеть, плюс все established соединения.

В консоли
# это уже сделано:
/ip firewall nat
add action=dst-nat chain=dstnat comment=for_tcp_3998 dst-address=_white_ip_ dst-port=3998 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.0.x

# например, разрешим форвардинг просто в сторону сетки
# как один из вариантов
/ip firewall filter
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward in-interface=ether1-gateway out-interface=bridge-lan connection-state=new
add action=accept chain=forward in-interface=bridge-lan out-interface=ether1-gateway connection-state=new
### другие правила ###
add action=drop chain=forward log=yes log-prefix=DROP_FORWARD_

Comments

[Exodus11]

Сделал так как написано выше, правила создались, пакеты у правил идут(значит работает, я так понимаю). Порт к сожалению не открылся.

Answer 2

[Владимир]

чтобы работал проброс портов у вас еще должен быть маскарадинг
chain=srcnat action=masquerade out-interface=ether1
где ether1 это порт к провайдеру
а также этот микротик должен быть шлюзом для пк в lan

Comments

[Exodus11]

Маскарад стоит

[fpir]

Тут ещё непоняточка у меня. Если вы пробрасываете RDP, то на шлюзе вы его не форвардите, т.е. на машину он приходит таким-же. Сама машина его слушает? иначе 2ip пройдя по цепочке упрётся в закрытый порт на машине.

Answer 3

[dimaaannn]

В дополнение к другим ответам, постараюсь пояснить более просто.

Чтобы пробросит порт, его требуется прописать в 2х местах:
1. Filter rules - разрешаем форвард этого порта из внешки
2. Непосредственно проброс порта в NAT - dstnat на нужный ip

Comments

[Exodus11]

Буду очень признателен, если вы сможете помочь с Filter rules. Смотрю мануалы по прокидыванию порта и все действия выполняются только в NAT.

[Михаил Исаев]

Exodus11, /ip firewall filter add chain=input protocol=tcp dst-port=3998 in-interface=ether1 action=accept
/ip firewall filter add chain=forward protocol=tcp dst-port=3998 in-interface=ether1 action=accept

Мог опечататься немного, т.к. пишу с телефона, но смысл думаю от этого не пострадает.

Можно ещё закрывающие правило drop подправить как в официальном стандартном конфиге:
/ip firewall filter
add action=drop chain=forward \
comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

[Exodus11]

Михаил Исаев, сделал так же как вы описываете, но к сожалению не помогло. Проверяю на 2ip порт. При попытки проверить порт, на rate graph наблюдаю скачки до 200bps(возможно это нужная информация)

Answer 4

[Softer]

Стоит проверить цепочку forward, должно быть соответствующее разрешающее правило для "To Ports".
Если маршрут для конечного ПК будет не через указанный "статический ИП адрес провайдера" - нужно строить маршрутизацию от источника.
И на "том конце" естественно порт должны слушать :)

Answer 5

[d-stream]

Угадаю: проверка открытости порта идет из этой же сети)

Тогда надо еще wiki.mikrotik.com/wiki/Hairpin_NAT

Comments

[Exodus11]

Даже если стучаться с другой сети порт остаётся закрытым. Проверяю на 2ip.

Answer 6

[Анатолий]

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-address=31.31.31.31 dst-port=3998 protocol=tcp to-addresses=192.168.1.3

если есть другие правила в файрволе, то для проверки их нужно отключить

Comments

[Exodus11]

Возможно ли что в чем то другом кроется проблема? Если да, то на вскидку пару вариантов. Буду признателен.

[Анатолий]

Exodus11, на вскидку можно дать сто вариантов, но лучше сохранить настройки, обновить прошивку и сделать сброс настроек, а затем прописать по порядку:
1. ip на интерфесах
2. dns
3. подключение к интернету
4. и сделать проброс порта
с роутера пинг должен ходить и внутрь и извне, работу днс проверить открываются ли сайты по доменному имени mail.ru например

Конфиг сохранять можно:

1. полностью в меню Files > Backup, ну и потом аналогично восстановить как было через Restore

2. сохранить через консоль:
/export file=[filename] - экспорт конфигурации роутера в файл
или
/import file-name=[filename] - импорт конфигурации роутера из файла
но не рекомендуется, так как идет привязка к этому устройству по маку

/export compact - показать конфиг в терминале

3. сохранить часть конфига по принципу:
/ip address export file=ip.rsc
/ip firewall mangle export file=mangle.rsc
/ip firewall nat export file=nat.rsc
/ip firewall filter export file=filter.rsc
/queue simple export file=simple.rsc
/ip dns export file=dns.rsc
/files backup export file=backup.rsc
/system script export file=script.rsc
/system scheduler export file=scheduler.rsc
/tool e-mail export file=email.rsc
/ip firewall address-list export file=address-list.rsc
/ip route export file=route.rsc
/ip dhcp-server network export file=network.rsc
/queue type export file=type.rsc
/queue tree export file=tree.rsc
/queue simple export file=simple.rsc
/interface ethernet export file=ethernet.rsc
/ip pool export file=pool.rsc
/ppp profile export file=profile.rsc
/log export file=log.rsc

Answer 7

[sazhyk]

Вставлю и я свои 5 копеек.
Вы тут так и не указали кое-какие входные данные.

1. Работает ли ваше подключение рдп в локалке?
   
2. Какой тип подключения к интернету?
   
3. Статический IP от провайдера или нет?
   

Answer 8

[Евгений Намчук]

Для использования удалёнки используется порт по умолчанию 3389/TCP.
В вашем примере он отличается.
Вы его изменили вручную? Если нет, то вы не сможете подключиться.

Answer 9

[Сергей]

Пальцем в небо, уж больно порт похож:
Пробросить нужен для RDP, порт 3998 - чтоб враги не догадались?
В таком случае в стандартной ситуации в dst-nat порт надо стандартный для РДП 3389.
Про файервол вам уже сказали.