• Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Писал тут сообщение, но всё резко заработало. Вот так, просто взяло и заработало. Я даже "лишние" правила включил обратно и всё работает. Завтра-послезавтра переустановлю дебиан (ибо я там от безысходности насрал конкретно), поставлю сервер заново и, если всё будет дальше работать, закрою тикет. Спасибо всем за помощь, в особенности вам, Александр Карабанов .
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Не менял. Более того, сам фаервол удален к чертям собачим.
    На счёт логов не уверен, я в принципе впервые в них влез после ребута, а он был час назад.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Ещё я залез в логи и вижу вот такую информацию
    server dstnat: in:ether1 out:(unknown 0), src-mac a4:a1:c2:28:65:3b, proto TCP (SYN), 178.140.41.110:63927->128.74.168.163:53115, len 52

    Может скажет что-нибудь. 178.140.41.110 - IP друга.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Мой косяк, не заметил опечатки. Но всё ещё не работает)
    add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
        ipsec-policy=out,none out-interface-list=WAN
    add action=netmap chain=dstnat comment="Minecraft LAN" disabled=yes \
        in-interface=all-ethernet log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223 to-ports=40000-65535
    add action=netmap chain=dstnat comment="Server utils like SSH, FTP, etc." \
        disabled=yes in-interface=all-ethernet log=yes log-prefix=secserver \
        protocol=tcp to-addresses=192.168.88.156 to-ports=31150-31200
    add action=dst-nat chain=dstnat comment=Server disabled=yes in-interface=\
        ether1 protocol=tcp to-addresses=192.168.88.156 to-ports=40000-65535
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
        out,none out-interface-list=WAN
    add action=dst-nat chain=dstnat comment="Minecraft LAN" disabled=yes dst-port=\
        40000-65535 in-interface-list=WAN log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223
    add action=dst-nat chain=dstnat comment="Server utils like SSH, FTP, etc." \
        disabled=yes dst-port=31150-31200 in-interface-list=WAN log=yes \
        log-prefix=secserver protocol=tcp to-addresses=192.168.88.156
    add action=dst-nat chain=dstnat comment="Server Mine" dst-port=53115 \
        in-interface-list=WAN log=yes log-prefix=server protocol=tcp to-addresses=\
        192.168.88.156
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Всё ещё жалуется на закрытые порты, хоть я и оставил включенными лишь два правила на один и тот же порт по двум разным протоколам.
    add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
        ipsec-policy=out,none out-interface-list=WAN
    add action=netmap chain=dstnat comment="Minecraft LAN" disabled=yes \
        in-interface=all-ethernet log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223 to-ports=40000-65535
    add action=netmap chain=dstnat comment="Server utils like SSH, FTP, etc." \
        disabled=yes in-interface=all-ethernet log=yes log-prefix=secserver \
        protocol=tcp to-addresses=192.168.88.156 to-ports=31150-31200
    add action=dst-nat chain=dstnat comment=Server disabled=yes in-interface=\
        ether1 protocol=tcp to-addresses=192.168.88.156 to-ports=40000-65535
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
        out,none out-interface-list=WAN
    add action=dst-nat chain=dstnat comment="Minecraft LAN" disabled=yes dst-port=\
        40000-65535 in-interface-list=WAN log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223
    add action=dst-nat chain=dstnat comment="Server utils like SSH, FTP, etc." \
        disabled=yes dst-port=31150-31200 in-interface-list=WAN log=yes \
        log-prefix=secserver protocol=tcp to-addresses=192.168.88.156
    add action=dst-nat chain=dstnat comment="Server Mine" dst-port=53115 \
        in-interface-list=WAN log=yes log-prefix=server protocol=tcp to-addresses=\
        192.168.88.1
    add action=dst-nat chain=dstnat comment="Server Mine UDP" dst-port=53115 \
        in-interface-list=WAN protocol=udp to-addresses=192.168.88.156
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов,
    add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
        ipsec-policy=out,none out-interface-list=WAN
    add action=netmap chain=dstnat comment="Minecraft LAN" disabled=yes \
        in-interface=all-ethernet log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223 to-ports=40000-65535
    add action=netmap chain=dstnat comment="Server utils like SSH, FTP, etc." \
        disabled=yes in-interface=all-ethernet log=yes log-prefix=secserver \
        protocol=tcp to-addresses=192.168.88.156 to-ports=31150-31200
    add action=dst-nat chain=dstnat comment=Server disabled=yes in-interface=\
        ether1 protocol=tcp to-addresses=192.168.88.156 to-ports=40000-65535
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
        out,none out-interface-list=WAN
    add action=dst-nat chain=dstnat comment="Minecraft LAN" dst-port=40000-65535 \
        in-interface-list=WAN log=yes log-prefix="mine\?" protocol=tcp \
        to-addresses=192.168.88.223
    add action=dst-nat chain=dstnat comment="Server utils like SSH, FTP, etc." \
        dst-port=31150-31200 in-interface-list=WAN log=yes log-prefix=secserver \
        protocol=tcp to-addresses=192.168.88.156
    add action=dst-nat chain=dstnat comment=Server dst-port=40000-65535 \
        in-interface-list=WAN log=yes log-prefix=server protocol=tcp to-addresses=\
        192.168.88.1
    add action=dst-nat chain=dstnat comment="Server UDP" dst-port=40000-65535 \
        in-interface-list=WAN protocol=udp to-addresses=192.168.88.156
    add action=dst-nat chain=dstnat comment=Server_test dst-address=128.74.168.163 \
        dst-port=53115 protocol=tcp to-addresses=192.168.88.156 to-ports=53115
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов,
    Ты уверен, что праило NAT для проброса порта на компьютер ничем кроме IP не отличается от правила дл проброса порта на сервер?

    Да, я в терминале вводил ваши команды для создания правила и просто поменял IP. Они идентичны 100%.

    Ты уверен, что приложение на сервере слушает порт 53115, а не какой-то из этого списка?

    Уверен. Проверял открытые порты разными утилитами и дебиан сообщал, что 53115 слушает Java, то есть сервер майна.

    И да, используй WinBox или консоль.

    Уже. Просто графики было проще найти в вебе.

    Проверить доступен ли TCP порт c Mikrotika можно так

    Уже проверял.
    [admin@MikroTik] > /system telnet 192.168.88.156 53115
    Trying 192.168.88.156...
    Connected to 192.168.88.156.
    Escape character is '^]'.
    Connection closed by foreign host.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Тогда я не понимаю, в чём проблема. Только что проверял - идентичные настройки для ПК и для сервера (IP разный, естественно). Хостую на ПК - всё работает, хостую на сервере - не работает. Причём игра выдает типичную для закрытых портов ошибку.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Всё предоставлено в виде "как есть", без каких-либо изменений.
    # oct/02/2021 19:30:26 by RouterOS 6.44.5
    # software id = HPD7-5M08
    #
    # model = RB941-2nD
    # serial number = A1C30BC77780
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
        192.168.88.0


    [admin@MikroTik] > /ip address print
    Flags: X - disabled, I - invalid, D - dynamic 
     #   ADDRESS            NETWORK         INTERFACE                               
     0   ;;; defconf
         192.168.88.1/24    192.168.88.0    ether2                                  
     1 D 128.74.168.163/21  128.74.168.0    ether1
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов,
    И да, твой IP 128.74.168.163, что там на скриншотах за попытка проверять 185.29.237.91 непонятно.
    Это скриншот-пример из инета.

    И какие это правила? Только пожалуйста текстом, а не картинкой.

    Те же, что и на скрине. На данный момент я вообще выпилил iptables, сейчас буду тестировать. UFW не ставил.

    INPUT -p tcp -m tcp --dport 40000:65535 -j ACCEPT
    INPUT -p udp -m udp --dport 40000:65535 -j ACCEPT
    OUTPUT -p tcp -m tcp --dport 40000:65535 -j ACCEPT
    OUTPUT -p udp -m udp --dport 40000:65535 -j ACCEPT


    UPD: Проверил, всё ещё не фурычит, порты закрыты. Хотя дебиану уже нечем их закрывать. Проблема всё таки на стороне микрота.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов,
    Зачем ты текст прикрепляешь в виде картники?

    Прошу прощения, забыл как копировать из PuTTy.

    Закрыто фаирволом.

    Весьма странно, ведь он по-умолчанию пропускает весь траффик. Получается он не пропускает траффик ни до, ни после настроек разрешений. Спасибо, буду копать в эту сторону.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Александр Карабанов, Drno, нет, я не пытаюсь коннектится из локалки по внешнему IP. Всё таки я необразованный, а не тупой) Я просто каждый раз прошу подключится друга.

    Проверьте открыт ли порт на сайте 2ip.ru. там когда пойдет запрос, в фаерволе микротика должен меняться счетчик пакетов, в большую сторону... если меняется - с правилом ок, вопрос к линуксу

    Я открыл два правила с одинаковыми настройками, но с разным IP. Первый это ПК и у него есть скачки, второй же сервер и у него ни-че-го.
    615871f548751113109054.png
    6158720422afb268937715.png
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Drno, Попробовал и ваш вариант. Всё ещё глухо. Мне кажется беда совсем не в портах, ибо даже старые настройки вполне работали для PC1. То есть хостил с ПК и всё работало, все могли подключаться.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Drno, только что протестировал. Всё ещё не работает. На всякий случай прикладываю скрин открытых портов из линя. Сейчас используется порт 53115 (т.е. в радиусе 40000-65535).
    6154e145874f4011053657.png

    UPD: Утилита NMAP не может просканировать порты.
    6154e29e73880564094248.png
    А вот как должно выглядеть:
    6154e2c29ae59410967857.png

    UPD2: при обращении к локальному IP говорит, что открыт нужный мне порт.
    6154e3b87686b114035369.png
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    и ты захочешь подключиться к игровому серверу по внешнему IP из LAN то ничего не выйдет

    Я правильно понял, что Вы имели ввиду подключение к серверу из локальной сети через внешний IP? Если да, то зачем? Для коннекта с компьютера в локальной сети мне достаточно локального IP сервера.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    Drno, спасибо за ответ. В данный момент провёл команды, написанные Александр Карабанов , вашим словам они, вроде как, не противоречат. Касательно правила fasttrack: я понятия не имею как его убрать. На Q&A есть вопрос, как его отключить и там сказано, что глобально его отключить нельзя, нужно найти к какой именно опции он привязан и отключать вручную с перезагрузкой роутера. А я в дебрях микротика, естественно, не разберусь.

    Александр Карабанов, обычно я открываю и TCP, и UDP, но для работы сервера на ПК хватало и TCP, потому ставил только его. На всякий случай открыл сейчас и UDP.
    И ты уверен, что порты именно 40000-65535?

    Порт настраивается вручную. конкретно у меня 53115. Так же все настройки ПО сервера, которые подразумевают вход из внешней сети, я тоже вешаю внутри этого радиуса, так как могу дать им "говорящие" номера и проще будет их запомнить.

    Спасибо за помощь, правила установил, завтра протестирую.
  • Mikrotik: Как настроить правильно маршрутизацию?

    BroShow
    @BroShow Автор вопроса
    # sep/29/2021 22:43:36 by RouterOS 6.44.5
    # software id = HPD7-5M08
    #
    # model = RB941-2nD
    # serial number = A1C30BC77780
    /ip firewall filter
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    add action=netmap chain=dstnat comment="Minecraft LAN" in-interface=all-ethernet log=yes log-prefix="mine\?" protocol=tcp to-addresses=192.168.88.223 to-ports=40000-65535
    add action=netmap chain=dstnat comment="Server utils like SSH, FTP, etc." in-interface=all-ethernet log=yes log-prefix=secserver protocol=tcp to-addresses=192.168.88.156 to-ports=31150-31200
    add action=netmap chain=dstnat comment=Server in-interface=all-ethernet protocol=tcp to-addresses=192.168.88.156 to-ports=40000-65535


    192.168.88.156 - сервер
    192.168.88.223 - PC1