Mikrotik firewall i port forward

[rseke]

Potrebna mi je pomoc oko podesavanja port forwarding-a na Mikrotike hex 730 gr3.
Nikako ne mogu da osposobim da mi servisi na serveru budu dostupni van moje mreze.
Da li neko ima iskustva da mi pomogne ko ove problematike?

 

[faraon83]

Ako nemas staticku IP adresu velike su sanse da si iza CGNAT-a i zato ti Port forwarding ne radi
uporedi javnu ip adresu na whatismyip i wan adresu na ruteru. Ako nisu iste onda si iza CGNAT-a.

 

[rseke]

Radi mi bez problema port forward sa drugim ruterima,tako da sam siguran da je problem u mikrotiku (tj ne znam kako da ga podesim). Inace imam staticnu IP adresu

 

[offline71]

Port forward

 

[rseke]

Port forward

Probao,i jos par tutorijala i upustava sto sam nasao na netu i nista. Jednostavno ne otvara ni jedan port. Probao sam obrisati sve filtere iz firewall-a i nista. Ka napolje mi nije otvoren ni jedan port osim tih koji fabricki mikrotik ima. 80 i 21 i to samo ka mikrotiku,nista dalje od njega

 

[offline71]

Onda nije do njega ili imaš neko pravilo koje blokira.Kod mene normalno radi.

 

[rseke]

Inace ga koristim za kao pppoe klijent i kao dhcp server,ne znam da li to utice na nesto na otvaranje portova

 

[Sass Drake]

Inace ga koristim za kao pppoe klijent i kao dhcp server,ne znam da li to utice na nesto na otvaranje portova

Po defaultu je aktivno ovo pravilo pa ćeš morati da napraviš custom rule da dozvoliš ingress saobraćaj koji želiš da bude dostupan.

 

[faraon83]

Sta mislis po tim, radi port forward sa drugim ruterima a ovde ne radi?
Da li je to drugi provajder na kome sad pokusavas da podesis PFW?
Isti port ne mozes da fwd na vise servisa... za to ti treba proxy unutar lokane mreze...

Da li ti je glavni ruter od provajdera u bridge modu, a mikrotik radi pppoe konekciju?

 

[rseke]

Probao sam ostale rutere koji imaju opciju pppoe konekcije,AP router i sl. Imam adsl router od MTS koji je u bridgde modu,mikrotik sam hteo da podesim da bude pppoe klijent i dhcp server. Sve sam to uspeo podesiti ali nikako nemam dostupnost uredjajima u lokalnoj mrezi ka napolje.

 

[Sass Drake]

Probao sam ostale rutere koji imaju opciju pppoe konekcije,AP router i sl. Imam adsl router od MTS koji je u bridgde modu,mikrotik sam hteo da podesim da bude pppoe klijent i dhcp server. Sve sam to uspeo podesiti ali nikako nemam dostupnost uredjajima u lokalnoj mrezi ka napolje.

Da li ti uređaji u lokalnoj mreži imaju pristup Internetu ili ne?

 

[rseke]

Da li ti uređaji u lokalnoj mreži imaju pristup Internetu ili ne?

Imaju,sve funkcionise kako treba. Radi sve samo jednostavno ne propusta portove koji su mi potrebni i koje sam ubacio u listu za propustanje.

 

[Sass Drake]

Možeš li nam uslikati/napisati trenutna podešavanja? Koje portove pokušavaš da "otvoriš"?

 

[faraon83]

gledaj da kod masquerade kao out interface stavis pppoe konekciju, a kod dst-nat (PFW) stavis javnu staticku ip adresu kao dst address

 

[rseke]

Inace u pitanju je.mikrotik hex 730 gr3,ne znam da li je kod svih isto.

 

[Sass Drake]

Još jedno banalno pitanje. Da li imaš aktuelnu verziju RouterOSa i firmwarea tj. v7.13?

 

[rseke]

Još jedno banalno pitanje. Da li imaš aktuelnu verziju RouterOSa i firmwarea tj. v7.13?

Mislio sam da je to problem sto je bila starija verzija 6.49 RouterOs-a pa sam azurirao i nije nista promenilo

 

[Sass Drake]

Daj nam screenshote podešavanje za port forwarding koje si napravio?

 

[rseke]

Daj nam screenshote podešavanje za port forwarding koje si napravio?

Veceras saljem. Skinuo sam ga sa mreze jer nisam nikako mogao da ga podesim. Veceras kada ne bude trebao net porodici kacim ga za testove.

 

[rseke]

Pratio sam upustvo sa linka



I jos par koje sam nasao na netu i nista.

 

[bbK1ng]

ne treba ti erher1 u NAT dst-nat rule

Inače, za debug je uvek najbolje da uradiš disable svih drop linija, da proveriš da nije neka od njih uzrok

pošalji šta dobiješ na

/ip/firewall/nat/export

 

[rseke]

ne treba ti erher1 u NAT dst-nat rule

Inače, za debug je uvek najbolje da uradiš disable svih drop linija, da proveriš da nije neka od njih uzrok

pošalji šta dobiješ na

/ip/firewall/nat/export

Pokusavao sam sa svim interfejsima koje imam umesto ether1.

 

[rseke]

1970-01-02 01:03:44 by RouterOS 7.13
# software id = MNN8-KNCB
#
# model = RB750Gr3
# serial number = HF20920K0XS
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=88 in-interface=ether1 protocol=tcp \
src-port="" to-addresses=192.168.0.10 to-ports=88
add action=dst-nat chain=dstnat dst-port=21 in-interface=ether1 protocol=tcp \
to-addresses=192.168.0.10 to-ports=21
[admin@RouterOS] >

 

[bbK1ng]

Pa i ne treba ni jedan interfejs.

Evo kako kod mene stoji za qbit i plex

Da li je dokazni saobraćaj sigurno TCP?

add action=dst-nat chain=dstnat comment="qBittorrent on QNAP" dst-port=21051 \
    protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat dst-port=21051 protocol=udp to-addresses=\
    192.168.10.51
add action=dst-nat chain=dstnat comment="Plex on QNAP" dst-port=22051 \
    protocol=tcp to-addresses=192.168.10.51 to-ports=32400

 

[rseke]

Pa i ne treba ni jedan interfejs.

Evo kako kod mene stoji za qbit i plex

Da li je dokazni saobraćaj sigurno TCP?

add action=dst-nat chain=dstnat comment="qBittorrent on QNAP" dst-port=21051 \
    protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat dst-port=21051 protocol=udp to-addresses=\
    192.168.10.51
add action=dst-nat chain=dstnat comment="Plex on QNAP" dst-port=22051 \
    protocol=tcp to-addresses=192.168.10.51 to-ports=32400

U svakom upustvu koji sam citao a neti i gledao svugde su podesili neki od interfejsa koji imaju ali uglavnom ether1. Pokusavao sam da stavi oba TCP i UDP ali jednostavno nista ne prolazi.
Meni je potrebno za sledece servise

• filecloud
• qbittorent (custom portovi)
• serviio
• ftp
• remote desktop
• webdav pristup

i jos par.

Za port forward sam samo ubacio par za test ali nista ne prolazi.

Npr port 80 koji mi je koristio Filecloud prolazi li mi otvar Mikrotik web gui a za port 21 mi otvara isto ftp za Mikrotik,to su jedini portovi koji prolaze samo ka Mikrotiku nista dalje ne prolazi. Skenirao sam bio otvorene portove i servisi koje koristi Mikrotik su dostupni.

 

[bbK1ng]

A koji ti je port podešen u qbit?

izbegavaj te niske portove. uvek bolje nešto između 20000 i 40000

 

[rseke]

A koji ti je port podešen u qbit?

izbegavaj te niske portove. uvek bolje nešto između 20000 i 40000

8080 mi je.za webgui a za p2p konekcije koristim 20000 pa na vise


P.S. Happy new year

 

[offline71]

Razmisli i o Cloudflare tunelu,jeste da ti treba domen,ali to je tipa 600-700 din godišnje.

 

[DariusIII]

In interface ne može da ti bude ethernet1, mora da bude pppoe-out. Jedino ako ti je WAN interfejs ustvari lista svih interfejsa koji imaju izlaz na net, ali tada in interface list treba da bude WAN.

 

[rseke]

Razmisli i o Cloudflare tunelu,jeste da ti treba domen,ali to je tipa 600-700 din godišnje.

nemam potrebe za tim,ionako placam za fiksnu ip adresu sto mi je sasvim dovoljno

In interface ne može da ti bude ethernet1, mora da bude pppoe-out. Jedino ako ti je WAN interfejs ustvari lista svih interfejsa koji imaju izlaz na net, ali tada in interface list treba da bude WAN.

probao sam svaki koji postoji da stavim ali nista ne prolazi