Как разрешить доступ из локальной сети на веб морду Mikrotik?

Question

[Талян]

Роутер RB2011.
Первые 5 интерфейсов - Gigabit, Следующие 5 - FE.
Поменял в интерфейсах WAN с первого интерфейса на 9й, так как входящие интернет PPPoE все равно меньше 100Мбит, так что пусть будет FE. 10-й интерфейс оставил под Mikrotik CAP ac, так как ему нужен PoE, а 10-й порт как раз PoE.
Первый порт добавил в список LAN.

Сам сижу с 5-го порта, который в списке LAN, но зайти на веб морду почему-то не могу. Могу зайти только по MAC-адресу через Winbox.

В настройках файрвола, если выключить правило "defconf: drop all not coming from LAN", то морда в браузере открывается.

Но ведь 1-8й порты и так в списке LAN.
Не могу понять почему. С микротами вообще никогда не работал, все делаю чисто интуитивно.

Вот скрины:





подскажите пожалуйста, где косяк?
И еще - почему-то 5-й интерфейс в списке указан обычным шрифтом, а все остальные - шрифтом Italic. Не в этом ли дело?

Скрины, которые попросил пользователь brar:

Comments

[Талян]

Может в микротиках есть что-то типа
iptables-save

чтобы увидеть все правила файрволла? Ибо вы видите, что Eth5 в списке LAN, но с него трафик на морду не проходит.

[graf_Alibert]

А что в окне IP>Services? может в принципе выключен web-сервер.

[graf_Alibert]

Поменял в интерфейсах WAN с первого интерфейса на 9й,

А как меняли? в Interface List и все? Нужно еще в Bridge Ports проверить. Не помню как подефолту микротик настраивает интерфейсы, лучше действительно сбросить конфигурацию и настроить вручную.

[Талян]

graf_Alibert, сейчас по совету SunRiser поставил long-term прошивку и сбросил настройки, но настроил через Quick set.

Винбокс по маку заходит, а на веб морду все равно не пускает из локалки =((

В сервисах вебсервер включен. Опять же - в файрволе при отключении правила Drop all not coming from LAN на морду пускает.
В Interface List порт 5 добавлен в список LAN. В Bridge ports тоже добавлен.

Микрот может так глючить?

[graf_Alibert]

Талян, а по IP winbox пускает? Я думаю дело не в прошивке, а в настройках. Вы IP получаете по DHCP, уверены, что от микротика? ведь если у вас приход включен в 1й порт, а по умолчанию WAN порт это 9й, то вполне возможно что настройки прилетают от внешнего DHCP сервера. Не ломайте себе голову, а просто настройте правильно по одной из многочисленных инструкций.
Вот например Как настроить роутер Микротик

[Талян]

graf_Alibert, по IP Winbox тоже не пускает. Nmap показывает все порты микротика закрытыми. Роутер тупо считает, что бридж - это не LAN, который находится в бридже, как и 1-8,10 порты, а так же находится в списке LAN.

По поводу инструкции по вашей ссылке - все делал точно так же за исключением файрвола - его я не трогал вообще, и доступ к роутеру теряется после переназначения адресов сети на 192.168.1.0/24 вместо страндартной 192.168.88.0/24.

Сейчас попробую настроить файрвол с нуля

[graf_Alibert]

Талян, я предпочитаю собирать бридж вручную, без Interface List. В крайнем случае выложи полный конфиг:
Открой терминал в winbox и набери "export"

[SunRiser]

Талян, дайте полный export. А то у нас гадание на кофейной гуще

[Талян]

graf_Alibert, SunRiser, Товарищи, проблема решена. Спасибо за ваше потраченное время. В список "LAN" добавил бридж. Видимо после добавления интерфейсов в бридж требуется использовать именно родительский объект. В принципе да - логично.

[graf_Alibert]

Талян, Я на домашнем микротике сделал вот так.

[SunRiser]

Талян, Когда вы добавляйте интерфейсы в бридж вы работайте ТОЛЬКО с бриджом. Если нужно вланы делать в последующем, вешайте их на бридж, во вкладке влан объявляйте их и назначайте pvid (во вкладке ports) на портах. После чего включайте Bridge VLAN Filtering. Перед тем как включать VLAN Filtering делайте бэкап на ПК т.к. в случае неправильной настройки теряйте доступ к девайсу.

Подробнее тут https://wiki.mikrotik.com/wiki/Manual:Interface/Br...
В разделе Bridge VLAN Filtering

[Талян]

graf_Alibert, опираясь на комментарий СанРайзера, и на то, что я только что сделал - у вас в Interface-list строки 1-4 можно удалить, так как от них нет толку вообще никакого =) а вместо них добавить bridge-LAN в лист LAN

[graf_Alibert]

Талян, тогда нужно будет добавить все порты в bridge-LAN, в принципе то же самое только наоборот.
Изначально у меня вот так все было:

[Талян]

graf_Alibert, угу, вот так норм

[graf_Alibert]

Талян, оба варианта рабочие, просто в первом случае добавляется list в bridge-LAN, а во втором наоборот

Answer 1

[brar]

Первое, что бы я сделал прям сейчас, это поменял бы пароли, выложенные в первом скрине, и заменил бы сам скрин.
По самому вопросу. "Италиком" показываются интерфейсы, которые физически в дауне (не подключен кабель, например).
Раз выключение правила в файрволе разрешает затем подключаться, значит проблема в файрволе.
Сделайте скрин фильтра файрвола (/ip firewall filter)

Comments

[Талян]

Епрст! про скрин - Спасибо. Забыл что принтскрин фоткает оба монитора.

[Талян]

brar добавил скрины по вашей просьбе в вопрос

[brar]

Талян,
Так как ip у вас на бридже, а не на физическом интерфейсе, есесно с таким набором правил не будет работать.
Вариантов решения много. Вот два из них:
1. Добавить бридж-интерфейс в список LAN:

/interface list member
add interface=bridge list=LAN

2.Добавить разрешающее правило на входящие пакеты из ip-подсети на бридж:

/ip firewall filter add action=accept chain=input in-interface=bridge src-address=\
    192.168.21.0/24 place-before=4

где 192.168.21.0/24 ваша подсеть.

[Талян]

brar, спасибо, завтра попробую. Сейчас не буду пока пробовать ибо боюсь потерять управление.

С iptables я бы имел представление, что iptables -I добавляет правило в начало, а iptables -A - в конец, а в микротиках я не шарю - не знаю куда добавится правило.

Answer 2

[SunRiser]

Сбросьте настройки с параметрами "No Default Configuration", "No Backup" и сами настройте те, которые вам нужны.

Comments

[Талян]

Хорошая идея. Так наверное и сделаю завтра. Заодно ОС надо обновить на микротике. Был бы на микротике инструмент для анализа кто чего кого блокирует - было бы хорошо.

Не очень люблю переделывать все с нуля, переустанавливать ОС, и т.д.
Люблю разобраться, если жто займет времени в рамках разумных пределов времязатрат.

[SunRiser]

Талян, разбираться надо когда у вас
настройка производилась с чистой ОС ветки long term, а не пример конфигурации которая сделана для ознакомления.