PPPoE + DMZ как правильно настроить?

RIP, OSFP, BGP, MPLS/VPLS
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

PPPoE + DMZ как правильно настроить?

Сообщение romko » 15 ноя 2018, 20:01

Здравствуйте! Подскажите как правильно настроить dmz. Микротик соединяется к провайдеру по pppoe и получает белый динамический IP Интерфейс ether2 скажем IP 192.168.88.1 создаю dmz к компютеру в локалке 192.168.88.2 В NAT прописываю
ip firewall nat add chain=dstnat in-interface=pppoe-out1 action=dst-nat to-addresses=192.168.88.2
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol » 15 ноя 2018, 22:24

надо дописать с какого IP на какой пойдёт трафф. При динамическом белом IP можно скриптом подставлять
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka » 15 ноя 2018, 22:39

Здравствуйте.
romko писал(а):
15 ноя 2018, 20:01
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol » 15 ноя 2018, 22:56

Как пример реализации DMZ на конкретном порту

Код: Выделить всё

add action=dst-nat chain=dstnat comment=robokassassl_1 disabled=no dst-address=123.123.123.123 dst-port=1443 to-addresses=192.168.7.24 to-ports=1443
Сам скрипт смены IP адреса в ip firewall nat

Код: Выделить всё

:global ddnsip [ /ip address get [find interface="00.pppoe-ISP01"] address ]
:for i from=( [:len $ddnsip] - 1) to=0 do={
:if ( [:pick $ddnsip $i] = "/") do={
:set ddnsip [:pick $ddnsip 0 $i];
}
}
/ip firewall nat set [find comment="robokassassl_1"] dst-address=$ddnsip
Скрипт можно вставить в момент поднятие pppoe соединения, там меняешь дефолтный профиль, на профиль со скриптом
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka » 15 ноя 2018, 23:06

А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?

romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko » 15 ноя 2018, 23:10

Chupaka писал(а):
15 ноя 2018, 22:39
Здравствуйте.
romko писал(а):
15 ноя 2018, 20:01
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.
Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol » 15 ноя 2018, 23:15

Chupaka писал(а):
15 ноя 2018, 23:06
А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?
Ну я по привычке :) Всё время больше одного аплинка, и приходится изнутри ползать по доменным именам, там проще и удобней, 2 в одном, как гриться :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol » 15 ноя 2018, 23:16

romko писал(а):
15 ноя 2018, 23:10
Chupaka писал(а):
15 ноя 2018, 22:39
Здравствуйте.
romko писал(а):
15 ноя 2018, 20:01
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.
Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1
Значит что-то с маршрутами, конфиг в студию - будем думать
И да, можно попробовать маскарад без указания интерфейсов и тогда проверить интернет, ну и ДНС настроить
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka » 16 ноя 2018, 00:46

Для начала можно трассировку в студию. С клиентского устройства в Интернет, по IP и по доменному имени.

romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko » 16 ноя 2018, 11:08

Нашел в сети такой вариант прокидки:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290
но результат тот же. С клиентской машины из локалки пинги идут на любой ресурс в интернете, но в браузерах страницы не грузятся. Трасировка только к провайдеру, почему-то дальше не идет. DHCP сервер и клиент отключены. Смущает почему в конфиге -

Код: Выделить всё

/ip dns static
add address=192.168.88.1 name=router
Через WebFig этого не видно. Изменить его на ip порта? ether2 93.183.238.233
---------------------------

Код: Выделить всё

traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.252 ms  0.198 ms  0.150 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.447 ms  13.376 ms  13.495 ms

traceroute to yahoo.com (72.30.35.9), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.276 ms  0.171 ms  0.148 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.482 ms  13.360 ms  13.499 ms
 3  * * *
----------------------------

Код: Выделить всё

[[email protected]] > export compact 

# jan/02/1970 00:08:28 by RouterOS 6.39.2
# software id = HI1U-5S9A
#
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge

/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=disabled name=pppoe-out1 password=xxxxxxx use-peer-dns=yes user=xxxxxxx

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-19BCD9 wireless-protocol=802.11

/ip neighbor discovery
set ether1 discover=no

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1

/ip address
add address=93.183.238.233/30 comment=defconf interface=ether2-master network=93.183.238.232

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes servers=80.91.174.131,80.91.160.9

/ip dns static
add address=192.168.88.1 name=router

/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface=ether1

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8292

/system routerboard settings
set init-delay=0s

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

Ответить