RB3011UiAS перестал пускать по белому ip.

[lends]

RB3011UiAS
RouterOS 6.48.6

Было настроено удаленное подключение winbox c определенного ip:
/ip firewall filter
add action=accept chain=input comment=winbox dst-port=8291 in-interface=\
ether1 protocol=tcp src-address=xx.xxx.xxx.xxx (правило firwall)

set winbox address=192.168.1.0/24, xx.xxx.xxx.xxx (в сервисах разрешаю локалку и внешний ip)

Все работало какое то время.
Несколько дней назад что то сломалось, причем я ничего особенного в конфиге не менял.
Теперь c этого белого ip xx.xxx.xxx.xxx, не пускает winbox.
Причем если отключить все правила и фильтрацию по ip и разрешить всем подключения, с любого другого ip все работает и моего белого xx.xxx.xxx.xxx не пускает.
Уже сломал голову, в чем проблема - при любых правилах, с моего ip xx.xxx.xxx.xxx, не подключается с ошибкой в зависимости от версии winbox :
3.27 - router doest not support secure connection, please enable Legacy Mode if you want to connect anyway (Legacy Mode -пробовал, просто висит).
3.31 - router refused connection
ip xx.xxx.xxx.xxx - это обычная статика выданная провайдером, причем есть еще два таких же микрота в других местах - туда я этими же правилами с этого ip я спокойно подключаюсь....

Глюк конфигурации ? Не могу понять как может блокироваться мой ip? Причем в логах даже ничего нет о том, что микрот его блокирует (если пробовать фильтр включить и пробовать подключаться с других ip, в логах видно, что он блокирует его, а с моим xx.xxx.xxx.xxx везде тишина ...
Может ли как то блокироваться именно winbox со стороны провайдера куда подключен RB3011UiAS ?
Там оптика через свитч в микрот с статикой выделяемой динамически по маку.

Какие у кого есть мысли, буду благодарен за идеи....
Пров микрота уже на каникулах, делать сброс на заводские не хочется, тем более может не микрот виноват.....

[Sir_Prikol]

Код: Выделить всё

set winbox address=192.168.1.0/24, xx.xxx.xxx.xxx

Удаляем белый IP, заходим с локалки, выходим, заходим, прописываем белый IP. Есть такой косяк, в ROS что-то залипает и вход невозможен. Или ребут или удаление адреса и запись заново

[lends]

Код: Выделить всё

set winbox address=192.168.1.0/24, xx.xxx.xxx.xxx

Удаляем белый IP, заходим с локалки, выходим, заходим, прописываем белый IP. Есть такой косяк, в ROS что-то залипает и вход невозможен. Или ребут или удаление адреса и запись заново

Не помогает.
И удалял белый ip и ребутил....

[Sir_Prikol]

У меня только так спасало. После какой-то обновы отпустило и больше не глючит

[Chupaka]

Собственно, если доступ к роутеру всё же есть - я бы в первую очередь смотрел через Tools -> Torch (или Packet Sniffer, на вкус и цвет), долетают ли физически пакеты с хх.ххх.ххх.ххх до роутера.

[lends]

Собственно, если доступ к роутеру всё же есть - я бы в первую очередь смотрел через Tools -> Torch (или Packet Sniffer, на вкус и цвет), долетают ли физически пакеты с хх.ххх.ххх.ххх до роутера.

Пакеты доходят и через несколько секунд перестают приходить.
В winbox получаю ошибку.
Скрины.
xx.xxx.xxx.xxx - мой ip
yy.yyy.yyy.yy - ip микротика

[Chupaka]

Ну, Refused - это как будто ICMP Reject. Т.е. в свете того, что пакеты доходят, вполне вероятно, что проблема на стороне роутера.

[lends]

Ну, Refused - это как будто ICMP Reject. Т.е. в свете того, что пакеты доходят, вполне вероятно, что проблема на стороне роутера.

Да я тоже так думаю - буду делать сброс на заводские и посмотрим потом.

[lends]

А теперь самое смешное - сделал сброс на заводские, залил последнюю сохраненную конфигурацию.
Все тоже самое - с любого ip пускает, кроме моего ...)
Я единственное, что конфигурацию в ручную заново не настраивал а залил сохраненную, но в ней то что может быть не так, я ее уже 100 раз проверил.

[kosyak_kpol]

Я бы попробовал:

1. создать ещё одного пользователя с полными правами и пробовать подключиться его учёткой;
2. обновить WinBox до актуальной версии 3.32. Пробовать подключиться;
3. поднять версию ROS на устройстве до 6.49.2 из ветки stable.

У меня давеча новая ТД (mipsbe) не позволяла подключиться по MAC-winbox. Чего только не делал (Винбокс 3.27 пробовал) - нет и всё тут. Версия на ТД была 6.47.9. В итоге пришлось делать netinstall версии 6.48.6. Зашёл через WinBox v.3.32.

[lends]

Разобрался в чем была проблема - вернее помогли разобраться подключившись к моему роутеру - ошибка в правиле NAT :
add action=dst-nat chain=dstnat comment=ADS in-interface=ether1 protocol=tcp \
src-address-list=no_block_rdp to-addresses=192.168.x.x to-ports=3389

Не указан dst-port, поэтому весь трафик с ip из листа no_block_rdp (там был и мой) заруливались на порт 3389 !
Правильно должно быть так:
add action=dst-nat chain=dstnat comment=ADS dst-port=3389 in-interface=ether1 protocol=tcp \
src-address-list=no_block_rdp to-addresses=192.168.x.x to-ports=3389

[lends]

Когда отключал весь firewall - не учел, что NAT продолжает работать и ошибка в его правиле.....

[Chupaka]

Правильно должно быть так:
add action=dst-nat chain=dstnat comment=ADS dst-port=3389 in-interface=ether1 protocol=tcp \
src-address-list=no_block_rdp to-addresses=192.168.x.x to-ports=3389

Я в таких случаях (когда порт не меняется) предпочитаю вообще to-ports не указывать во избежание возможных ошибок/опечаток