srv запись [решено]

[Chupaka]

а какое правило что бы заблокировать все

Никакие поля не заполняете, ставите action=deny

проверил работает ли редирект но к саожалению нет, вижу ответ от прокси но порт не меняется

Вы подробностей подсыпьте. Какой ответ вы где видите? Телепатов нет.

и к томуже это конфигурация требует остновку прокси в ручную, через dhcp наверное прокси не устанвится

Что за ересь? Что вы там вручную делаете? На клиенте не надо делать вообще ничего, вы что-то совсем не туда полезли, похоже.

[nevolex]

Спасибо Chupaka

если в видов включить прокси (10.10.0.1 8080) в виндовс когда я захожу на media.lan (http://10.0.10.5)

получаю это -- но как Вы видите порт поменелся на правильный

ERROR: Forbidden
While trying to retrieve the URL http://10.0.10.5:8096/:

Access Denied
Your cache administrator is webmaster.

Generated Tue, 16 Feb 2021 09:40:43 GMT by 10.10.0.1 (Mikrotik HttpProxy)

сайт media.lan не открывается но хотя бы форварится, если я отключаю прокси в виндовс ничего не форварится и я получаю

http://media.lan:8080/
This site can’t be reachedmedia.lan refused to connect.
Try:

Checking the connection
Checking the proxy and the firewall
ERR_CONNECTION_REFUSED

я всегда думал что прокси олжен быть настроен на клиенте?

[nevolex]

кога отключил поседнее правило deny all в прокси все рабоает, но только если прокси включен на клиенте изначально


может нужно какоето правило нат добавить?

[Chupaka]

Ещё раз: не надо ничего настраивать на клиенте, прокси в данном случае используется не как прокси (в нём всё запрещено), а как редиректилка. Т.е. новое имя media.lan должно указывать на IP-адрес роутера, после этого оно перенаправит куда надо (хоть на IP:port, хоть на другое_имя:порт) - и больше нигде не используется.

[nevolex]

Извините Chupaka, но это правда не работает

ik.png

[nevolex]

почти разобрался

работает только если я пишу в бразере media.lan:8080 тогда редирект работает а если просто media.lan то открывается микротик менеджмет станица


ps:

я попробовал добавить нат правило distnat - redirect 80 to 8080

в этом случае когда пишу media.lan в браузере открывсется то что нужно 10.10.5.0:8096 но ругеи сайты не работают

ERROR: Forbidden
While trying to retrieve the URL http://yandex.ru/:

Access Denied
Your cache administrator is webmaster.

Generated Wed, 17 Feb 2021 10:52:10 GMT by 10.10.0.1 (Mikrotik HttpProxy)




если в проси послее правило меняю на alow впринцпе все рабоает но нужен ли мне прокси полноценный для одного сайта?


тоесть может быть прокси так работает на микротике ?

[nevolex]

вы знаете Chupaka я решил оставить прокси включеным так как все с ним все работает, думаю в будущеи пригодится

скажите пожалуйста стоит ли обавить какие нибудь общие запретительные правила как дефолтные в фаейволе или не обящательно?


единственное что не работает это прокси через vpn я создал правило dist nat с source ip vpn сеть 10.88.0.0/24 интренет работает но редирект не рабоает на media.lan



спасибо за вашу помощь

[Chupaka]

У вас столько идей, прям не знаю, как за вами угнаться

Переключите прокси на порт 80, перед этим убрав веб-морду роутера с этого порта в IP -> Services - и не надо никаких dst-nat, тем более хватающих не только обращения к роутеру, но и пролетающий в Интернет трафик!

В dst-host должно быть media.lan, а не http://media.lan (первое - хост, второе - URL)

[nevolex]

У вас столько идей, прям не знаю, как за вами угнаться

Переключите прокси на порт 80, перед этим убрав веб-морду роутера с этого порта в IP -> Services - и не надо никаких dst-nat, тем более хватающих не только обращения к роутеру, но и пролетающий в Интернет трафик!

В dst-host должно быть media.lan, а не http://media.lan (первое - хост, второе - URL)

хаха, спасибо Вам большое, все теперь работает и без дист ната, в локальной сети все прекрасно открывается

Единственное что пока не работает, это что в впн редирект не работает, все открывается по адресам, портам, но вот например media.lan не окрывается, это не критично, но может быть у Вас есть какой-нибуб вариант и мне для общеего образования, в любом случае спасибо еще раз!

[Chupaka]

Убедитесь, что правила фильтра файрвола не запрещают доступ к роутеру (chain=input) для клиентов VPN.

[nevolex]

Убедитесь, что правила фильтра файрвола не запрещают доступ к роутеру (chain=input) для клиентов VPN.

спасибо, вроде бы нет?

vpn pool 10.88.0.0/24

[Chupaka]

Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.

[nevolex]

Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.

спасибо, мне кажется да, просто ikev2?


попробовал отключить не помогло

[nevolex]

какжется начинаю понимать почему

лан:


C:\Users\nevol>nslookup media.lan
Server: qnap.lan
Address: 10.10.0.1

Non-authoritative answer:
Name: media.lan
Address: 10.10.0.1


Wireless LAN adapter WiFi:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Killer(R) Wi-Fi 6 AX1650s 160MHz Wireless Network Adapter (201D2W)
Physical Address. . . . . . . . . : CC-F9-E4-9C-00-E0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::650d51a8:b2ee%11(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 February 2021 01:20:51
Lease Expires . . . . . . . . . . : 19 February 2021 15:59:39
Default Gateway . . . . . . . . . : 10.10.0.1
DHCP Server . . . . . . . . . . . : 10.10.0.1
DHCPv6 IAID . . . . . . . . . . . : 80542180
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-81-5C-F9-CC-F9-E4-9C-00-E0
DNS Servers . . . . . . . . . . . : 10.10.0.1------> локальный
121.98.0.1 ----------- провайдер1
121.98.0.2 ----------- провайдер1
118.149.12.10 ----------- провайдер2
118.148.12.10 ----------- провайдер2
NetBIOS over Tcpip. . . . . . . . : Enabled



через vpn


C:\Users\nevol>nslookup media.lan
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 118.149.12.10

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
^C
C:\Users\nevol>



Autoconfiguration Enabled . . . . : Yes

PPP adapter IKEv2-Mikrotik:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : IKEv2-Mikrotik
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.88.0.248(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 118.149.12.10-------> днсы мобльного провайдера
118.148.12.10
121.98.0.1
121.98.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled



можно как то сделать что бы днс был только один 10.10.0.1 без всяких isp адресов на клиенте ?

[nevolex]

Прописал вручную dns в серверах теперь на клиентах только 10.10.0.1 виден


зашел в ipsec -mode configs и указал вместо use system dns - specific dns 10.10.0.1

теперь через vpn не реиректится и нет интернета (bad dns probe), как Вы и советовали выключил 6й пункт - drop all not coming from Lan тогда все работает, но наверное это правило было нужно ? может быть его модицировать как то можно? у меня разрешины allow remote requests

спасибо большое за помощь

mikrotik.png

немного модифицировал правила : 6 е правило теперь 8 е

Код: Выделить всё

 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 7    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 8    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 9    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

10    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

11    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

12    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

13    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

16    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

17    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

18    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 

[admin@MikroTik_RB4011] /ip firewall filter> 

[Chupaka]

Тогда вам и DNS (53/udp) надо разрешить из VPN, по аналогии с пятым правилом.

[nevolex]

сейчас попробую

[nevolex]

Тогда вам и DNS (53/udp) надо разрешить из VPN, по аналогии с пятым правилом.

Сработало, спасибо еще раз!

Код: Выделить всё

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; DNS over VPN
      chain=input action=accept protocol=udp dst-port=53 log=no log-prefix="" ipsec-policy=in,ipsec 

 7    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 8    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 9    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

10    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

11    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

12    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

13    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

16    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

17    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

18    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

19    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
[admin@MikroTik_RB4011] /ip firewall filter>