AcseLyezA
@AcseLyezA
iddqd

Mikrotik Открыть Порт 3389 RDP (или аналоги)?

Добрый день!
имееются правила
spoiler

add action=masquerade chain=srcnat src-address=192.168.0.0/16

add action=dst-nat chain=dstnat comment=RDP dst-address=мой внешний IP \
dst-port=33389 log=yes protocol=tcp to-addresses=192.168.7.11 to-ports=3389

и белый IP.
Интернет работает нормально!
Но при попытке подключения по белому IP с портом 33389 счетчик пакетов отрабатывает, но соединение не проходит,

правило NAT находится выше всех.
при попытке подключиться выдает сообщение

apr/08 10:50:35 firewall,info dstnat: in:ether3 out:(unknown 0), src-mac 1c:7e:e5:88:6a:01, proto TCP (SYN), 31.13.145.56:7331->мой внешний IP:33389, len 60

вот не пойму, может обратное правило нужно!
шлюзом у машины выступает IP тика.

в правиле RDP ставил netmap тоже не получается....
PS - в этой же подсети имеется WiFi роутер, при подключении с мобильного по локальному IP (192.168.7.11:3389) все нормально подключает... но вот с внешки никак,
PPS - к этой машине подключал второй белый IP мимо тика, напрямую. ... отработало прекрасно!
  • Вопрос задан
  • 3793 просмотра
Пригласить эксперта
Ответы на вопрос 4
Mi11er
@Mi11er
A human...
А вот это зачем ?
dst-address=мой внешний IP
Ответ написан
karabanov
@karabanov
Системный администратор
Без дополнительных настроек из локальной сети нельзя подключится к устройству расположенному в этой же локальной сети по внешнему IP.

Что бы это заработало нужен Hirepin-Nat
Ответ написан
@rionnagel
ковырятель
А в правилах firewall -> filter rules вы разрешили транзитный трафик на нужный out. interface, на tcp 3398?
Ответ написан
AcseLyezA
@AcseLyezA Автор вопроса
iddqd
В общем решение нашел! Если кому понадобится идем следующей последовательностью
1 - Mangle - маркируем пакет при обращении к порту,
2 - натируем по назначению,
3 - Filter - открываем порты , если были установлены правила ограничения на input или forward
фиг его знает почему простым DSTNAT не пробил!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы