• Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, смотри, если есть A запись, но нет конфига на сервере, то вместо ошибки 404 not found или дефолтной страницы сервера, у меня открывается веб морда Mikrotik
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, супер, все заработало). Но появилась другая проблема, mikrotik сует свой web интерфейс во все субдомены, которые не обозначены сервером. Я отключил web интерфейс, так как сижу через winbox, однако добавить субдомены и включить ssl на них не получается. Что делать в таком случае?
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    УРА!! С телефона на сайт могу зайти. Но по какой-то причине, изнутри сети все ещё получаю timed out..
    Почему так может быть?
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, Нет, не отвечает. Заведомо исправный сервер также себя ведет. Кстати, для полноты картины иогу конф роутера скинуть.
    # 2024-11-10 18:45:36 by RouterOS 7.15.2
    # software id = HDL7-UKNQ
    #
    # model = C53UiG+5HPaxD2HPaxD
    # serial number = HH40A4KA6TF
    /interface bridge
    add admin-mac=F4:1E:57:4E:A6:8D auto-mac=no comment=defconf name=bridge
    /interface wifi
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=MikroTik-4EA691 disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=MikroTik-4EA691 disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
    add configuration.ssid=0G0-Guest disabled=no mac-address=F6:1E:57:4E:A6:91 \
        master-interface=wifi1 name=wifi3
    add configuration.ssid=0G0-Guest disabled=no mac-address=F6:1E:57:4E:A6:92 \
        master-interface=wifi2 name=wifi4
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    /ip dhcp-server
    add address-pool=default-dhcp interface=bridge name=defconf
    /disk settings
    set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
    /interface bridge filter
    add action=drop chain=forward in-interface=wifi3
    add action=drop chain=forward out-interface=wifi3
    add action=drop chain=forward in-interface=wifi4
    add action=drop chain=forward out-interface=wifi4
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    add bridge=bridge interface=wifi3
    add bridge=bridge interface=wifi4
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=bridge network=\
        192.168.88.0
    /ip dhcp-client
    add comment=defconf interface=ether1
    /ip dhcp-server lease
    add address=192.168.88.248 client-id=1:bc:ee:7b:9d:8c:f5 mac-address=\
        BC:EE:7B:9D:8C:F5 server=defconf
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
        192.168.88.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.88.1 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    add action=accept chain=forward dst-address=192.168.88.248 in-interface-list=\
        WAN protocol=tcp
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    add action=dst-nat chain=dstnat dst-address=91.77.164.211 dst-port=9091 \
        in-interface=ether1 log=yes log-prefix=TEST protocol=tcp to-addresses=\
        192.168.88.248 to-ports=9091
    add action=dst-nat chain=dstnat dst-address=91.77.164.211 dst-address-type=\
        local dst-port=443 log=yes log-prefix=Port protocol=tcp to-addresses=\
        192.168.88.248 to-ports=443
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" \
        dst-port=33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-name=Europe/Moscow
    /system note
    set show-at-login=no
    /system routerboard wps-button
    set enabled=yes on-event=wps-accept
    /system script
    add comment=defconf dont-require-permissions=no name=wps-accept owner=*sys \
        policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
        source="\r\
        \n   :foreach iface in=[/interface/wifi find where (configuration.mode=\"a\
        p\" && disabled=no)] do={\r\
        \n     /interface/wifi wps-push-button \$iface;}\r\
        \n "
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, Я имею ввиду что VPN на роутере нет. Стоит фасттрак отключить?
    В логах только это
    Port dstnat: in:bridge out:(unknown 0), connection-state:new src-mac 04:92:26:d9:47:8d, proto TCP (SYN), 192.168.88.253:29309->91.77.164.211:443, len 52
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, VPN пока что не настроен). Мне бы сначала прописать открытые порты чтобы сервис был хоть как-то доступен.
    Из локальной сети пройдя по локальному IP сервера - сайт доступен, если пройти по домену - нет
    Кстати, то что роутер вставлен в GPON розетку (розетка в режиме моста) может вставлять палки в колёса? Если что, статический IP приобретен
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Ziptar, Как это проверить?
    Вот некоторая попытка разрешить Forward
    Flags: X - disabled, I - invalid; D - dynamic 
     0  D ;;; special dummy rule to show fasttrack counters
          chain=forward action=passthrough 
    
     1    ;;; defconf: accept established,related,untracked
          chain=input action=accept connection-state=established,related,untracked 
    
     2    ;;; defconf: drop invalid
          chain=input action=drop connection-state=invalid 
    
     3    ;;; defconf: accept ICMP
          chain=input action=accept protocol=icmp 
    
     4    ;;; defconf: accept to local loopback (for CAPsMAN)
          chain=input action=accept dst-address=127.0.0.1 
    
     5    ;;; defconf: drop all not coming from LAN
          chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 
    
     6    ;;; defconf: accept in ipsec policy
          chain=forward action=accept ipsec-policy=in,ipsec 
    
     7    ;;; defconf: accept out ipsec policy
          chain=forward action=accept ipsec-policy=out,ipsec 
    
     8    ;;; defconf: fasttrack
          chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related 
    
     9    ;;; defconf: accept established,related, untracked
          chain=forward action=accept connection-state=established,related,untracked 
    
    10    ;;; defconf: drop invalid
          chain=forward action=drop connection-state=invalid
    Написано
  • Как открыть порты на MicroTik hAP x3?

    @snippetsx Автор вопроса
    Если что, Дмитрий, конфиг mikrotik дефолтный
    Написано