Переезд микротика

[san1kan]

Всех приветствую. Использую Mikrotik RB952Ui 6.43.8 (stable), на борту работает OpenVPN сервер, использовался с провайдером Дом.ру, авторизация pppoe, с выделенным ip адресом, всё работало отлично. Переехал с этим роутером на другой адрес с этим же провайдером, но тут авторизация по статике, так вот с внехи трафик на микротик не приходит вообще, ни на OVPN, ни на проброшенные порты. Пров утверждает, что с их стороны блокировок по портам нет. Естественно интерфейс везде поправил на ether1. В лог микротика тишина на любой входящий трафик.

[Chupaka]

Здравствуйте.

Запускайте Tools -> Torch (или Packet Sniffer) на внешнем интерфейсе, пытайтесь извне подключиться на какой-нибудь порт - и смотрите, видно ли эти пакеты на интерфейсе. Если не видно - то проблема не на роутере.

[san1kan]

Не уверен правильно ли я делаю, но при старте torch в списке фигурирует внешний ip с которого на ovpn сервер должны приходить клиенты. Сейчас попробую отключить OVPN, если IP клиентов пропадет, то вероятно дело всё таки в настройках роутера. Что в таком случае можно проверить ?

PS: отключил ovpn, но внешний ip клиента снова в списке, судя по всему они по прежнему пытаются достучаться..

[Chupaka]

Значит, надо смотреть конфиг, статистику правил файрвола...

[san1kan]

Значит, надо смотреть конфиг, статистику правил файрвола...

Правила не менялись. Только смена интерфейса по сути, с пппое на статику. Если речь про конфиг ovpn, то можно проще, стоит стандартный проброс на RDP, результат не меняется. Ip выданный для настройки провайдером кстати, отличается от реального внешнего IP. Сейчас скриншотами отправлю правила файрвола и нат.

[Chupaka]

На скриншотах далеко не вся информация. Что там на других вкладках правила NAT? Что за третье правило NAT? В него точно не уходит OVPN?

Конфиг лучше через "/export hide-sensitive" показывать

[san1kan]

На скриншотах далеко не вся информация. Что там на других вкладках правила NAT? Что за третье правило NAT? В него точно не уходит OVPN?

Конфиг лучше через "/export hide-sensitive" показывать

Я могу конечно сделать данный экспорт, но он будет объемным. В целом не так важно разобраться с OVPN, как в принципе наладить входящий трафик на микротик, проброс RDP тоже перестал работать.. Ощущение, что как будто правила не применяются к интерфейсу ether1.

[Chupaka]

Пока вы не ответите на мои вопросы или я не найму телепата - дальше мы точно не продвинемся. На второе у меня сейчас денег нет, поэтому придётся работать не по ощущениям, а по фактическим данным.

[san1kan]

Пока вы не ответите на мои вопросы или я не найму телепата - дальше мы точно не продвинемся. На второе у меня сейчас денег нет, поэтому придётся работать не по ощущениям, а по фактическим данным.

OVPN отключаем, можем разобраться с входящим трафиком? Просто проброс даже не работает, а разница в пробросе до переноса была только во внешнем интерфейсе. Прилагаю скриншоты, остальные вкладки фаервола по умолчанию, туда ничего не вносилось руками. Выгрузку каких настроек для этого нужно сделать ?

[san1kan]

настроил DMZ на ip с rdp, тоже нет коннекта.. осталось только комп подключить напрямую без роутера.

[Chupaka]

Ну, поскольку перед Dst-NAT есть только Raw prerouting и Mangle prerouting, а там у вас, наверное, ничего интересного нет, можно заключить, что нужные пакеты до вашего роутера не долетают.

Не совсем только понятно, что вы тогда в Torch видите...

А про DMZ не понял, что вы имели в виду. В мануале такого слова не нахожу...

[san1kan]

Код: Выделить всё

# dec/06/2020 09:44:34 by RouterOS 6.43.8
# software id = 1KLS-X2HT
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 7C30078F6DE0
/interface bridge
add admin-mac=64:D1:54:B5:94:C4 arp=proxy-arp auto-mac=no comment=defconf name=\
    bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full arp=proxy-arp
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full poe-out=off
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-a/g="" \
    basic-rates-b="" channel-width=20/40mhz-Ce disabled=no distance=indoors \
    frequency=2422 frequency-mode=superchannel mode=ap-bridge rate-set=\
    configured ssid=MKT2019s supported-rates-a/g=36Mbps,48Mbps,54Mbps \
    supported-rates-b="" wireless-protocol=802.11 wps-mode=\
    push-button-virtual-only
set [ find default-name=wlan2 ] band=5ghz-a/n/ac bridge-mode=disabled \
    channel-width=20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto \
    frequency-mode=superchannel mode=ap-bridge ssid=MKT20205g \
    wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip \
    management-protection=allowed mode=dynamic-keys name=profile1 \
    supplicant-identity="" unicast-ciphers=tkip
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.101-192.168.88.254
add name=ovp_pool ranges=172.16.0.2-172.16.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add local-address=172.16.0.2 name=OVPN_server remote-address=ovp_pool
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
# no interface
add action=drop chain=output out-interface=*F00030 packet-type=multicast
add action=drop chain=output out-interface=wlan2 packet-type=multicast
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=srv-OVPN cipher=blowfish128,aes128,aes256 \
    default-profile=OVPN_server enabled=yes netmask=23 port=1193 \
    require-client-certificate=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.21.163.211/24 interface=ether1 network=172.21.163.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.88.10 client-id=1:4c:cc:6a:d1:35:a0 mac-address=\
    4C:CC:6A:D1:35:A0 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=195.64.192.35,195.64.222.2
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=172.16.0.2-172.16.0.255 list=ovpn_clients
/ip firewall filter
add action=accept chain=input disabled=yes in-interface=ether1 port="" \
    protocol=tcp
add action=accept chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \ED\E0 \EF\EE\F0\F2 OVPN" dst-port=1193 \
    in-interface=ether1 protocol=tcp
add action=drop chain=forward comment=\
    "\E7\E0\EF\F0\E5\F2 \EC\E5\E6\E4\F3 ovpn \EA\EB\E8\E5\ED\F2\E0\EC\E8" \
    disabled=yes dst-address-list=ovpn_clients protocol=tcp src-address-list=\
    ovpn_clients
add action=drop chain=forward comment="\E7\E0\EF\F0\E5\F2 ovpn \EA\EB\E8\E5\ED\
    \F2\E0\EC \EA \EB\EE\EA\E0\EB\EA\E5" disabled=yes dst-address=\
    192.168.88.0/24 protocol=tcp src-address-list=ovpn_clients
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.88.254 to-ports=3389
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=172.21.163.1
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
/ppp secret
add local-address=172.16.0.1 name=L1 profile=OVPN_server remote-address=\
    172.16.0.150 service=ovpn
/system clock
set time-zone-name=Asia/Yekaterinburg
/system logging
add disabled=yes topics=ovpn,debug
add disabled=yes topics=certificate,debug
add topics=ovpn
/system ntp client
set enabled=yes primary-ntp=37.235.209.151 secondary-ntp=85.21.78.23
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[san1kan]

Ну, поскольку перед Dst-NAT есть только Raw prerouting и Mangle prerouting, а там у вас, наверное, ничего интересного нет, можно заключить, что нужные пакеты до вашего роутера не долетают.

Не совсем только понятно, что вы тогда в Torch видите...

А про DMZ не понял, что вы имели в виду. В мануале такого слова не нахожу...

Про prerouting не скажу, не знаю, что это и где. Но, в основной своей массе, настройки микротика сугубо домашние, напомню, что на другом адресе всё работало. Провайдер утверждает, что я открыт для всех и вся..

DMZ: Настройка MikroTik DMZ
DMZ вступит в силу если не заполнить поля Protocol и Dst. port.

По torch прилагаю скрин

[Chupaka]

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254

Вот это правило (самое верхнее) отправляет весь входящий трафик из Интернета (включая всякие OVPN) на 88.254, не меняя номеров портов. Так и должно быть?

[san1kan]

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.88.254

Вот это правило (самое верхнее) отправляет весь входящий трафик из Интернета (включая всякие OVPN) на 88.254, не меняя номеров портов. Так и должно быть?

Это правило, выполняющее функцию DMZ, как бы разрешает любой траффик на этот ip с любым правильно указанным портом. Без него ситуация прежняя. Всё таки мне кажется темнит провайдер..

[Sir_Prikol]

Судя по тому ip что вам выдал провайдер, у вас или за cgnat или вы полностью за nat провайдера
у вас никак не белая сеть, какие соединения к себе вы ходите видеть???

Ваш адрес - 172.21.163.211/24 находится в сегменте "серой сети" 172.16.0.0/12


Address: 172.16.0.0
Netmask: 255.240.0.0 = 12
Wildcard: 0.15.255.255
=>
Network: 172.16.0.0/12
Broadcast: 172.31.255.255
HostMin: 172.16.0.1
HostMax: 172.31.255.254
Hosts/Net: 1048574 (Private Internet)

Поищите в гугле ресурсы, которые проверяют открытость портов, ну или от соседа, по вашему внешнему айпишнику, отсканируйте сами себя. Вы поймёте что у вас

Ну или требуйте статику от прова и тогда всё должно взлететь. По крайней мере обращения точно будут по белому ip

[san1kan]

Поищите в гугле ресурсы, которые проверяют открытость портов, ну или от соседа, по вашему внешнему айпишнику, отсканируйте сами себя. Вы поймёте что у вас

Два сервиса пробовал, порты закрыты из вне. Чисто логически, закрытость своих портов я начал подозревать сразу как перенастроил микротик на новый интерфейс, но провайдер сбил с толку и я начал сомневаться в своих настройках, они утверждают что я не за нат. С соседом нет возможности, но пров сказал, подключить комп напрямую, и тогда я убежусь что все порты открыты, посмотрим)

[Sir_Prikol]

Как вы не за нат, когда у вас серая сеть

Вы в сетях вообще понимаете? Что такое BOGON сети? У вас IP из этой серии, он не может в мир анонсится. А если пров его в мир анонсит, то в пору прова забанить

[san1kan]

Как вы не за нат, когда у вас серая сеть

Вы в сетях вообще понимаете? Что такое BOGON сети? У вас IP из этой серии, он не может в мир анонсится. А если пров его в мир анонсит, то в пору прова забанить

К сожалению в сетях я слаб, намеренно глубоко не изучал, нужды не было) Потому собственно и такие вопросы. Спасибо всем за советы!

[Sir_Prikol]

Так это совершенные азы, что есть белая сеть и что есть серая сеть. Там всего-то 13 подсетей запомнить

[san1kan]

Так это совершенные азы, что есть белая сеть и что есть серая сеть. Там всего-то 13 подсетей запомнить

Я ценю Ваш опыт, и благодарен за советы! Мои "азы" это ip, маска, шлюз) выданные провайдером.