Задать вопрос
@SofroN
сетевое-администрирование

Не работает проброс портов mikrotik. Где ошибка?

поменял недавно старенький TP-LINK на микротик.
Интернет настроил, все работает.
Стал разбираться с пробросом портов, настроить настроил, а работать не работает.
ниже все правила что есть
filter rules
95c8a7aa6bde439d87ed5ff5184c314a.JPG
nat
bda781e14e8b4470a79481b85a96ff1e.JPG
Правило №16 в filter rules не отрабатывает, даже если указать один порт. при попытке подключения отрабатывает правило № 18 это видно по увеличению счетчика пакетов и по логу
Правило №14 в NAT при попытке подключения увеличивает счетчик пакетов на 1 или 2
сами правила
правило NAT
14    ;;;          RDP
      chain=dstnat action=netmap to-addresses=192.168.1.50 to-ports=3389 
      protocol=tcp in-interface=ether1-wan dst-port=3966 log=yes 
      log-prefix="RDP"

правило filter
16    ;;; RDP
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=3390,3966,3990,3991,4132 log=no log-prefix=""

UPD: пробовал в правиле №14 как action=netmap так и action=dst-nat разницы нет
  • Вопрос задан
  • 13335 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 2
@SofroN Автор вопроса
Ошибка локализована добавил правило, проброс заработал
;;; RDP
      chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 
      dst-port=3390,3966,3990,3991,4132,3389 log=no log-prefix=""

Но какое правило тогда неверно? Все правила. Я считал что правило №8 и №9 должны были решить проблему
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;;             invalid            
      chain=input action=drop connection-state=invalid in-interface=ether1-wan 
      log=yes log-prefix="DROP-INVALID-INPUT" 

 1    ;;;             invalid            
      chain=forward action=drop connection-state=invalid 
      in-interface=ether1-wan log=yes log-prefix="DROP-INVALID-FORWARD" 

 2    ;;;                                   
      chain=input action=accept connection-state=established 
      in-interface=ether1-wan log=no log-prefix="" 

 3    ;;;                                
      chain=input action=accept connection-state=related 
      in-interface=ether1-wan log=no log-prefix="" 

 4    ;;;                                              
      chain=forward action=accept connection-state=established 
      in-interface=ether1-wan log=no log-prefix="" 

 5    ;;;                                          
      chain=forward action=accept connection-state=related 
      in-interface=ether1-wan log=no log-prefix="" 

 6    ;;;                                          
      chain=input action=accept src-address=192.168.1.0/24 
      in-interface=!ether1-wan log=no log-prefix="" 

 7    ;;;                                                        
      chain=forward action=drop src-address-list=block-Internet-to-local-client 
      out-interface=ether1-wan log=yes log-prefix="BLOCK-INTERNET" 

 8    ;;;                                     
      chain=forward action=accept src-address=192.168.1.0/24 
      in-interface=!ether1-wan log=no log-prefix="ACCEPT-LAN" 

 9    ;;;                                              
      chain=forward action=accept src-address=192.168.1.0/24 
      out-interface=ether1-wan log=no log-prefix="" 

10    ;;;                ICMP
      chain=input action=accept protocol=icmp in-interface=ether1-wan log=no 
      log-prefix="" 

11    ;;;     8
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=80,2349,3053,3055 log=no log-prefix="" 

12    ;;;     6
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=81,2350,3058,3059 log=no log-prefix="" 

13    ;;;              
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=3070 log=no log-prefix="" 

14    ;;;           
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=8919 log=no log-prefix="" 

15    ;;;       1         
      chain=forward action=accept protocol=tcp src-address-list=remote-office 
      in-interface=ether1-wan dst-port=1540,1541,1560-1591 log=no log-prefix="" 

16    ;;; RDP
      chain=forward action=accept protocol=tcp in-interface=ether1-wan 
      dst-port=3390,3966,3990,3991,4132 log=no log-prefix="" 

17    ;;; VoIP                           
      chain=forward action=accept protocol=udp src-address-list=remote-office 
      in-interface=ether1-wan dst-port=5060,13000-18000 log=no log-prefix="" 

18    ;;;                                                      
      chain=forward action=drop in-interface=ether1-wan log=yes 
      log-prefix="DROP-FORWARD" 

19    ;;;                                                    
      chain=input action=drop in-interface=ether1-wan log=yes 
      log-prefix="DROP-INPUT"

UPD: даже просто добавление порта 3389 в правило № 16 решает вопрос
Ответ написан
Комментировать
Комментировать
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
выключите правила в фильтре drop forward, потом проверяйте NAT.
Сначала настраиваем mangle потом NAT и уже в конце подытоживаем фильтром
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Alghazanth
Попробуйте вместо in-interface указать dst-address.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер
САТЕЛ Нижний Новгород
от 160 000 ₽
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходимо доработать сайт на Azot CSM
02 мая 2024, в 13:02
15000 руб./за проект
Доработать склад и резерв товаров по АПИ
02 мая 2024, в 12:58
7000 руб./за проект
Нужен специалист по модх
02 мая 2024, в 12:58
6500 руб./за проект
Ещё заказы