Переезд микротика

[Chupaka]

Ну, поскольку перед Dst-NAT есть только Raw prerouting и Mangle prerouting, а там у вас, наверное, ничего интересного нет, можно заключить, что нужные пакеты до вашего роутера не долетают.

Не совсем только понятно, что вы тогда в Torch видите...

А про DMZ не понял, что вы имели в виду. В мануале такого слова не нахожу...

[san1kan]

Код: Выделить всё

# dec/06/2020 09:44:34 by RouterOS 6.43.8
# software id = 1KLS-X2HT
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 7C30078F6DE0
/interface bridge
add admin-mac=64:D1:54:B5:94:C4 arp=proxy-arp auto-mac=no comment=defconf name=\
    bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full arp=proxy-arp
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full poe-out=off
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-a/g="" \
    basic-rates-b="" channel-width=20/40mhz-Ce disabled=no distance=indoors \
    frequency=2422 frequency-mode=superchannel mode=ap-bridge rate-set=\
    configured ssid=MKT2019s supported-rates-a/g=36Mbps,48Mbps,54Mbps \
    supported-rates-b="" wireless-protocol=802.11 wps-mode=\
    push-button-virtual-only
set [ find default-name=wlan2 ] band=5ghz-a/n/ac bridge-mode=disabled \
    channel-width=20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto \
    frequency-mode=superchannel mode=ap-bridge ssid=MKT20205g \
    wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip \
    management-protection=allowed mode=dynamic-keys name=profile1 \
    supplicant-identity="" unicast-ciphers=tkip
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.101-192.168.88.254
add name=ovp_pool ranges=172.16.0.2-172.16.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add local-address=172.16.0.2 name=OVPN_server remote-address=ovp_pool
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
# no interface
add action=drop chain=output out-interface=*F00030 packet-type=multicast
add action=drop chain=output out-interface=wlan2 packet-type=multicast
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=srv-OVPN cipher=blowfish128,aes128,aes256 \
    default-profile=OVPN_server enabled=yes netmask=23 port=1193 \
    require-client-certificate=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.21.163.211/24 interface=ether1 network=172.21.163.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.88.10 client-id=1:4c:cc:6a:d1:35:a0 mac-address=\
    4C:CC:6A:D1:35:A0 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=195.64.192.35,195.64.222.2
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=172.16.0.2-172.16.0.255 list=ovpn_clients
/ip firewall filter
add action=accept chain=input disabled=yes in-interface=ether1 port="" \
    protocol=tcp
add action=accept chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \ED\E0 \EF\EE\F0\F2 OVPN" dst-port=1193 \
    in-interface=ether1 protocol=tcp
add action=drop chain=forward comment=\
    "\E7\E0\EF\F0\E5\F2 \EC\E5\E6\E4\F3 ovpn \EA\EB\E8\E5\ED\F2\E0\EC\E8" \
    disabled=yes dst-address-list=ovpn_clients protocol=tcp src-address-list=\
    ovpn_clients
add action=drop chain=forward comment="\E7\E0\EF\F0\E5\F2 ovpn \EA\EB\E8\E5\ED\
    \F2\E0\EC \EA \EB\EE\EA\E0\EB\EA\E5" disabled=yes dst-address=\
    192.168.88.0/24 protocol=tcp src-address-list=ovpn_clients
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.88.254 to-ports=3389
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=172.21.163.1
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
/ppp secret
add local-address=172.16.0.1 name=L1 profile=OVPN_server remote-address=\
    172.16.0.150 service=ovpn
/system clock
set time-zone-name=Asia/Yekaterinburg
/system logging
add disabled=yes topics=ovpn,debug
add disabled=yes topics=certificate,debug
add topics=ovpn
/system ntp client
set enabled=yes primary-ntp=37.235.209.151 secondary-ntp=85.21.78.23
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[san1kan]

Ну, поскольку перед Dst-NAT есть только Raw prerouting и Mangle prerouting, а там у вас, наверное, ничего интересного нет, можно заключить, что нужные пакеты до вашего роутера не долетают.

Не совсем только понятно, что вы тогда в Torch видите...

А про DMZ не понял, что вы имели в виду. В мануале такого слова не нахожу...

Про prerouting не скажу, не знаю, что это и где. Но, в основной своей массе, настройки микротика сугубо домашние, напомню, что на другом адресе всё работало. Провайдер утверждает, что я открыт для всех и вся..

DMZ: Настройка MikroTik DMZ
DMZ вступит в силу если не заполнить поля Protocol и Dst. port.

По torch прилагаю скрин

[Chupaka]

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254

Вот это правило (самое верхнее) отправляет весь входящий трафик из Интернета (включая всякие OVPN) на 88.254, не меняя номеров портов. Так и должно быть?

[san1kan]

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254

Вот это правило (самое верхнее) отправляет весь входящий трафик из Интернета (включая всякие OVPN) на 88.254, не меняя номеров портов. Так и должно быть?

Это правило, выполняющее функцию DMZ, как бы разрешает любой траффик на этот ip с любым правильно указанным портом. Без него ситуация прежняя. Всё таки мне кажется темнит провайдер..

[Sir_Prikol]

Судя по тому ip что вам выдал провайдер, у вас или за cgnat или вы полностью за nat провайдера
у вас никак не белая сеть, какие соединения к себе вы ходите видеть???

Ваш адрес - 172.21.163.211/24 находится в сегменте "серой сети" 172.16.0.0/12


Address: 172.16.0.0
Netmask: 255.240.0.0 = 12
Wildcard: 0.15.255.255
=>
Network: 172.16.0.0/12
Broadcast: 172.31.255.255
HostMin: 172.16.0.1
HostMax: 172.31.255.254
Hosts/Net: 1048574 (Private Internet)

Поищите в гугле ресурсы, которые проверяют открытость портов, ну или от соседа, по вашему внешнему айпишнику, отсканируйте сами себя. Вы поймёте что у вас

Ну или требуйте статику от прова и тогда всё должно взлететь. По крайней мере обращения точно будут по белому ip

[san1kan]

Поищите в гугле ресурсы, которые проверяют открытость портов, ну или от соседа, по вашему внешнему айпишнику, отсканируйте сами себя. Вы поймёте что у вас

Два сервиса пробовал, порты закрыты из вне. Чисто логически, закрытость своих портов я начал подозревать сразу как перенастроил микротик на новый интерфейс, но провайдер сбил с толку и я начал сомневаться в своих настройках, они утверждают что я не за нат. С соседом нет возможности, но пров сказал, подключить комп напрямую, и тогда я убежусь что все порты открыты, посмотрим)

[Sir_Prikol]

Как вы не за нат, когда у вас серая сеть

Вы в сетях вообще понимаете? Что такое BOGON сети? У вас IP из этой серии, он не может в мир анонсится. А если пров его в мир анонсит, то в пору прова забанить

[san1kan]

Как вы не за нат, когда у вас серая сеть

Вы в сетях вообще понимаете? Что такое BOGON сети? У вас IP из этой серии, он не может в мир анонсится. А если пров его в мир анонсит, то в пору прова забанить

К сожалению в сетях я слаб, намеренно глубоко не изучал, нужды не было) Потому собственно и такие вопросы. Спасибо всем за советы!

[Sir_Prikol]

Так это совершенные азы, что есть белая сеть и что есть серая сеть. Там всего-то 13 подсетей запомнить

[san1kan]

Так это совершенные азы, что есть белая сеть и что есть серая сеть. Там всего-то 13 подсетей запомнить

Я ценю Ваш опыт, и благодарен за советы! Мои "азы" это ip, маска, шлюз) выданные провайдером.