PPPoE + DMZ как правильно настроить?

[romko]

Здравствуйте! Подскажите как правильно настроить dmz. Микротик соединяется к провайдеру по pppoe и получает белый динамический IP Интерфейс ether2 скажем IP 192.168.88.1 создаю dmz к компютеру в локалке 192.168.88.2 В NAT прописываю
ip firewall nat add chain=dstnat in-interface=pppoe-out1 action=dst-nat to-addresses=192.168.88.2
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?

[Sir_Prikol]

надо дописать с какого IP на какой пойдёт трафф. При динамическом белом IP можно скриптом подставлять

[Chupaka]

Здравствуйте.

В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?

Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.

[Sir_Prikol]

Как пример реализации DMZ на конкретном порту

Код: Выделить всё

add action=dst-nat chain=dstnat comment=robokassassl_1 disabled=no dst-address=123.123.123.123 dst-port=1443 to-addresses=192.168.7.24 to-ports=1443

Сам скрипт смены IP адреса в ip firewall nat

Код: Выделить всё

:global ddnsip [ /ip address get [find interface="00.pppoe-ISP01"] address ]
:for i from=( [:len $ddnsip] - 1) to=0 do={
:if ( [:pick $ddnsip $i] = "/") do={
:set ddnsip [:pick $ddnsip 0 $i];
}
}
/ip firewall nat set [find comment="robokassassl_1"] dst-address=$ddnsip

Скрипт можно вставить в момент поднятие pppoe соединения, там меняешь дефолтный профиль, на профиль со скриптом

[Chupaka]

А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?

[romko]

Здравствуйте.

В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?

Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.

Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1

[Sir_Prikol]

А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?

Ну я по привычке Всё время больше одного аплинка, и приходится изнутри ползать по доменным именам, там проще и удобней, 2 в одном, как гриться

[Sir_Prikol]

Здравствуйте.

В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?

Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.

Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1

Значит что-то с маршрутами, конфиг в студию - будем думать
И да, можно попробовать маскарад без указания интерфейсов и тогда проверить интернет, ну и ДНС настроить

[Chupaka]

Для начала можно трассировку в студию. С клиентского устройства в Интернет, по IP и по доменному имени.

[romko]

Нашел в сети такой вариант прокидки:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290

но результат тот же. С клиентской машины из локалки пинги идут на любой ресурс в интернете, но в браузерах страницы не грузятся. Трасировка только к провайдеру, почему-то дальше не идет. DHCP сервер и клиент отключены. Смущает почему в конфиге -

Код: Выделить всё

/ip dns static
add address=192.168.88.1 name=router

Через WebFig этого не видно. Изменить его на ip порта? ether2 93.183.238.233
---------------------------

Код: Выделить всё

traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.252 ms  0.198 ms  0.150 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.447 ms  13.376 ms  13.495 ms

traceroute to yahoo.com (72.30.35.9), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.276 ms  0.171 ms  0.148 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.482 ms  13.360 ms  13.499 ms
 3  * * *

----------------------------

Код: Выделить всё

[admin@MikroTik] > export compact 

# jan/02/1970 00:08:28 by RouterOS 6.39.2
# software id = HI1U-5S9A
#
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge

/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=disabled name=pppoe-out1 password=xxxxxxx use-peer-dns=yes user=xxxxxxx

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-19BCD9 wireless-protocol=802.11

/ip neighbor discovery
set ether1 discover=no

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1

/ip address
add address=93.183.238.233/30 comment=defconf interface=ether2-master network=93.183.238.232

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes servers=80.91.174.131,80.91.160.9

/ip dns static
add address=192.168.88.1 name=router

/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface=ether1

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8292

/system routerboard settings
set init-delay=0s

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

[Chupaka]

Так, давайте решать проблемы последовательно, а не одновременно. Проброс портов никак не связан с недоступностью Интернета. Попробуйте вот это для начала: https://wiki.mikrotik.com/wiki/Manual:I ... Change_MSS

[Chupaka]

И, к слову, если не хотите обновляться - закрывайте WinBox извне, у вас версия уязвимая: https://blog.mikrotik.com/security/winb ... ility.html

[Sir_Prikol]

Настройки DNS какие? Вы трейс по IP делаете, что говорит трейс по имени домена?

[romko]

Настройки DNS какие? Вы трейс по IP делаете, что говорит трейс по имени домена?

так я выше написал
traceroute to yahoo.com (72.30.35.9), 30 hops max, 60 byte packets
1 _gateway (93.183.238.233) 0.276 ms 0.171 ms 0.148 ms
2 0-143-dynamic.retail.datagroup.ua (195.114.143.0) 13.482 ms 13.360 ms 13.499 ms
3 * * *

В DNS прописал два адреса которые провайдер дал и галка allow remote requests.
Ребят, спасибо, буду читать-изучать, я же совершенно запутался с этими mangle

[Sir_Prikol]

Стоп, а где в трейсе сам маршрутизатор? Я вижу только IP который прв отдал, маршрутизатор не отдаёт. У вас что-то с настройками сети. В локалке через DHCP адресация приходит? И попробуйте поменять dns провайдера на восьмёрки

[romko]

93.183.238.233 это и есть маршрутизатор, DHCP отключен, все надо пробросить на статику 93.183.238.234 Я же выложил конфиг, там все есть Завтра уже буду экспериментировать, к слову обновил еще RouterOS к 6.43.4 stable

[Chupaka]

А какой адрес вы получаете по l2tp? Вы осознанно в локалке такие адреса у себя навесили?..

Ну и что насчёт смены MSS?

[romko]

Проблема была в прокладке между креслом и клавиатурой))) Всем спасибо. Провайдер не предупредил что сделал привязку по маку к временному устройству. Причина оказалась банальна и проста, всем спасибо! Извините за отнятое время!

[Chupaka]

Это прекрасно