nastavení routeru
Router nastavuji přes Winbox. Potřebuju nastavit směřování portů. Dal jsem IP/Firewall/NAT, kde jsem všechny porty co chci otevřít přidal. Jako první jsem ale přidal nastavení:
src.address 192.168.2.0/24 out-interface: wlan1
Položka dst-address zůstala nevyplněna. Myslím si že dst-address by mělo být vyplněno i položka out-interface by měla být jiná např. ether-2
Proč mi nefungujou porty nebo co mám v hlavním nastavení změnit?
forwarding se zapisuje v obráceném směru, máš to úplně blbě.
A jak bude to první nastavení?ted tam mam action:masquerade src.address 192.168.2.0/24 out-interface: wlan1
a) nepises ktery port chces forwardovat
b) src_adress 0.0.0.0/0 dst_adress ip_wlan_1 port 80 (pro http) (action) dst_nat 192.168.2.x/32 port 80
c) z toho cos napsal ty mi pripada ze nechces nastavit forward portu ale maskaradu (NAT)
PS: pokud mas napr. RB150 (tusim se 4xlan 1xwan a pravdepodobne si jim dal adresy 192.168.1-4.x/32 .. treba mas vic kompiku zapojeneho do mikrotika .. tak zkus nastavit src-adress 192.168.0.0/16 dst_adress: 0.0.0.0/0 out_interface_wlan1? action masquerade ..
PPS: pisu to z hlavy mozna to mam blbe .. ti pak napisu presnej postup
Já bych měl mít podle výrobce všechno správně nastavené včetně směrování portů. Ale mě nefungujou. Není to tím, že mám ve Webboxu zaškrtnuto Protect router a NAT? Nemusí se směrování portů třeba někde povolit?
Vubec z toho co pises neni jasne co chces vlastne udelat
takze: pro maskaradu (aby ti sel NET) ti staci nastavit toto:
0 chain=srcnat action=masquerade out-interface=WAN_INTERFACE
presmerovani napr. portu 80 na svuj komp muze vypadat takhle:
1 chain=dstnat action=dst-nat to-addresses=192.168.2.1 to-ports=80 dst-address=WAN_IP_ADRESS dst-port=80 protocol=tcp
PS: VYROBCE ti zadny forward portu v defaultu NENASTAVUJE
Ano přesně nějak takhle to tam mam nastavene, ale ty porty mi nefunguji. Není možné že by bylo něco špatně nastaveného ve webboxu? Co když u Firewallu odškrtnu NAT nebo Protect router. Vůbec se totiž nemůžu na router přihlásit přes vnitřní adresu.
Nech to zaskrtnute a podivej se jestli nemas nejak spatne pravidla v IP/FIREWALL/FILTER RULES chain INPUT
Jo a na winboxe se da prihlasit i pres MAC adresu - pust si winbox a vedle zadavani IP adresy je tam tlacitko se 3 teckama ...
Už to přes vnitřní adresu funguje. bylo to tam špatně nastavené. ještě ty porty nefungují.
cože? vždyť ty to máš nastaveno (dle dotazu přesně obráceně), přehazuješ src a dst...
Ted uz to mam nastavene spravne. i poskytovatel rikal ze ano. bude to asi necim jinym.
vis co udelej screenshot z winboxu jak to tam mas nastavene..
ip/firewall/nat nastavení:
0 action:masquerade 192.168.2.0/24 out-interface: wlan1
1 chain:dstnat protocol: 6 (tcp) dst-address: //verejna adresa routeru// dst-port: 3389 action:dstnat to address: 192.168.2.60 to ports:3389
2 chain:dstnat protocol: 17 (udp) dst-address: //verejna adresa routeru// dst-port:3389 action:dstnat to address 192.168.2.60 to ports:3389
pak tam jsou dalsi porty ale ty jsou nastaveny stejne
já tedy tyhle hračky moc neznám, ale předpokládám, že to je postaveno nad iptables. Pak by mě tedy zajímalo, jak je nastaven chain FORWARD.
pak mam jeste taky neco ve firewall filtru:
vsechno povoleno krome invalid connections,everything else
Fajn..
sice u maskarady nemas napsanej chain ale zrejme kdyz ti chodi net tak mikrotik poznal ze to bude src
Otazka teda je: skus srozumitelne napsat co ti vlastne nechodi
Z prikladu port forwardu cos napsal chces smerovat RDPcko .. takze zkousis se odjinud pripojit na svuj PC na vzdalenou plochu a ono ti to nejde? Nebo jak usuzujes ze ti to nejde
tam ten chain je taky vyplneny: chain:srcnat nefugujou mi sluzby pres ty porty jako rac server,vzdalena plocha.neni mozne ze by to bylo tim ze tam je ve webboxu zaskrtnute NAT nebo necim v tech filtrech?
Ne, spis nemas nakonfigurovany firewall na svem PC
tam mam. driv me to fungovalo. pak to bylo v servisu a tam nam ten router nastavili znova a od te doby to nefunguje. ted sem tam ty porty pridaval jak tam byli predtim. mozna maji byt jinak, ale poskytovatel rikal ze je to spravne nastavene.
mozna pomuze kdyz udelas demo ucet a das pristup
jenze ten router je chraneny a neda se na nej z jine nez mistni site pripojit
tak znova: jak máš nastaven FORWARD?
ip/firewall/nat nastavení:
0 chain:srcnat action:masquerade 192.168.2.0/24 out-interface: wlan1
1 chain:dstnat protocol: 6 (tcp) dst-address: //verejna adresa routeru// dst-port: 3389 action:dstnat to address: 192.168.2.60 to ports:3389
2 chain:dstnat protocol: 17 (udp) dst-address: //verejna adresa routeru// dst-port:3389 action:dstnat to address 192.168.2.60 to ports:3389
pak tam jsou dalsi porty ale ty jsou nastaveny stejne
ip/firewall/filter rules nastavení:
povolena všechna nastavení (UDP,připojení na router z lokální sítě) - u všeho je accept kromě invalid connections a accept everything else.
Myslím, ale, že si s tím asi neporadím sám.
Dřív nám to fungovalo, ale v NATu v nastavení 0 bylo nastavení out-interface: ether2-LAN.Ted kdyz to tam dam , tak mi nejde internet.V servisu nam to nastavili takhle a od te doby to nejde. Co kdyz zkusim ve webboxu odskrtnout u interface verejne site policko NAT? Nebo čím by to mohlo byt, ze ty porty nejdou?
ale já nechci výpis NAT tabulek, já chtěl klasický Forward..
nevim co tim presne myslite. vsechny udaje najdete v tech tabulkach. Potřebuju povolit naslouchání na port 3389 jak tcp, tak udp. Mam to tam jiz nastavene, ale nefunguje to.
Podivej se na schema iptables http://zchan.homeunix.net/blog/media/1/20070526-ipt ables_packetflow.png pak treba pochopis, co tim touchwood myslel. Uprimne receno, mikrotik nepatri mezi typy routru nastavitelne beznym BFU, doporucuji nastudovat dokumentaci.
A ja si prave myslel ze mikrotik se da BFUckem krasne nastavit :) teda ja jich mam v provozu asi 6 :)
chain forward zadny vyplneny nemam.mam jen chain input
a jaká je defaultní akce u forwardu?
ted uz jsem odskrtnul protect router, takze zadne filtry nastavene nejsou, ale i tak to nejde.
můžeš se přihlásit do toho routeru shellem? klikací kraviny jsou k ničemu.
zaregistruj se na poradne, a jestli chces tak mi pak muzes zkusit poslat admin/demo ucet pres private message. Ja vcera scanoval sit na ktere jsi ale na rozdil od adminu poradny bohuzel nevidim koncove IP ale myslim ze vim ktere mas :) pokud ti tam jede teda verze 2.9.45.
Podival bych se ti na to.
Tak sem provedl par testu na mikrotiku 3.7 ,, a uzasnem klikatku na web. rozhrani (ne winboxu)
Port forward mi nesel pokud jsem mel zapnuto "protect customer" coz nedela nic jinyho nez do chainu input a forward hodi navic nejaka pravidla.
Pokud mas tu samou verzi a dela ti to ty samy pravidla, tak ti chybu zpusobuje nejspis
12 ;;; Drop and log everything else
chain=customer action=drop
Zkus tohle pravidlo vypnout.
Kdyz ani to nepujde, dej do disable vsechny pravidla v INPUT+FORWARD a zkus to znova.
mam verzi 2.2
ted jsem odskrtnul vse co tam bylo akorat jsem musel u ether2 nechat zaskrtnuto NAT jinak mi nesel internet.
ani nyni porty nefungujou.kdyz jsem odskrtnul protect router znamena to, ze se muze na nas internet pripojit kdokoliv?
posli mi nejakej ucet nebo tohle bude nikdy nekoncici thread (neco jako zvetseni kapacity disku otocenim sroubku - coz mi fungovalo)
napis mi (jestli muzes) na ICQ 402-231-230 a tam se domluvime
jednou davas nat na wlan_1 jednou na ether2 .. :)
Už mi porty fungujou. Vyřešili jsme to s uživatelem MKc.