Как открыть порт в роутере микротик?

@noviche · Регистрация: 23.09.2014

Author24 — интернет-сервис помощи студентам

надо бы на айпи сервера пробросить порты 7007, 3639, 8087 извне для работы с ноутбука за пределами кафе

Есть компьютер с установленноой программой R-keeper, нужно открыть порт для удаленно доступа к серверу, Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

to addresses=айп пк

в брендмауэере винды тоже открыл

но 2ip.ru пишет что зарыт, почему так ?
белый айп есть.

подскажите как правильно сделать?

@romsan · 30.11.2018, 19:26

Сообщение от noviche

пробросить порты 7007, 3639, 8087 извне

для каждого порта свое правило. А тут

Сообщение от noviche

Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

прописаны все порты в одном правиле. Но на скрине вроде верно.

т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

Не по теме:

Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду.

Сообщение от noviche

но 2ip.ru пишет что зарыт, почему так ?

потому что скорее всего в фаерволе не открыты порты

@Konstantin® · 03.12.2018, 19:48

Сообщение от romsan

А в filters порты открыл на форвард?

Может я что путаю, но у меня без форварда в фильтрах всё работает.

Сообщение от romsan

потому что скорее всего в фаерволе не открыты порты

Для проверки этого, советую ТС по локальной машине NMAP-om пройтись и понятно всё будет.

@romsan · 03.12.2018, 20:16

Сообщение от Konstantin®

у меня без форварда в фильтрах всё работает.

значит у тебя в фаерволе нет запрещающего правила всего и вся на WAN интерфейсе.
У меня посл. правило дропает всё. А выше я открываю то, что мне нужно. Т.е. если не разрешено, значит запрещено.

@noviche · 06.12.2018, 15:25 **[ТС]**

Сообщение от romsan

т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

тоесть белый айп надо было писать в to addresse, вместо айп самого компа, ПРАВИЛЬНО?
В фильтрах порты не открыл зараза((

Сообщение от romsan

Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду.

фаервол дефолтный, получается из за этого, там последнее правило в фильтрах все дропает так?

@romsan · 06.12.2018, 16:06

Сообщение от noviche

тоесть белый айп надо было писать в to addresse,

нет. в to addresse пишешь внутренний адрес - куда перенаправляешь.

Сообщение от noviche

там последнее правило в фильтрах все дропает

ну если есть такое правило, то да, выше нужно его открыть (разрешить)

@noviche · 06.12.2018, 23:25 **[ТС]**

romsan,
А куда тогда белый айп писать ?

@romsan · 07.12.2018, 08:55

ну изначально ты написал, что тебе нужно пробросить порты для работы "из вне"

Сообщение от noviche

извне для работы с ноутбука за пределами кафе

соответственно, внешний адрес вписывается в то ПО, которое "из вне" логинится к твоему серверу внутри сети.

У тебя на МТ приходит статический адрес (какой тип подключения? DHCP? PPPoE?) Ты, правилами в фаерволе и НАТ открываешь и пробрасываешь нужные порты во внутрь своей сети на тот ПК (или устройство), на котором запущены службы/сервисы, слушающие соответствующие порты (7007, 3639, 8087)
Тебе нужно первым делом убедится, что на этом ПК порты открыты. Это можно узнать с помощью команды

Bash

1	netstat -a

Если порты открыты, то, дальше делаешь проброс портов на МТ. Как я понимаю, у тебя дефолтный конфиг фаервола, значит в конце по форварду и инпуту у тебя стоит drop. Значит, нужно выше этих запрещающих правил прописать прописать разрешение нужных портов по форварду (тебе же внутрь сети нужно пройти, а не на МТ)
Разрешающее правило, должно быть привязано к тому интерфейсу, на котором у тебя статика. (Если у тебя интернет приходит по РРРоЕ, то в in-interface должно указано быть именно РРРоЕ-интерфейс).
Далее идем в NAT и уже тут прописываешь непосредственно сам проброс. Так же указываешь in-interface, номер порта, протокол, и в to-address указываешь свой внутренний адрес ПК, на который нужно прокинуть порты.

После этого всего с любого ПК внутри сети, зайди на Проверка доступности порта и проверь свои порты на доступность - они должны быть открыты.

Соответственно, если нужно получить доступ по RDP "из вне", то на ПК "из вне", в RDP-клиенте вводишь свой внешний статический адрес. Доступ должен быть осуществлен.

@noviche · 09.12.2018, 01:06 **[ТС]**

romsan,
Соответственно если статического адреса нет, то ничего не получится, так?

@romsan · 09.12.2018, 08:47

Сообщение от noviche

Соответственно если статического адреса нет, то ничего не получится, так?

ну разве что у тебя белый динамический адрес. Тогда icloud в помощь, или DynDNS
Если хе и этого нет, то можно VPN рассмотреть (т.е. построить туннель до VPN-сервера и уже через туннель заходить) Какую то денежку придется заплатить.

@Konstantin® · 10.12.2018, 07:32

Сообщение от romsan

Тогда icloud в помощь

Немного поправлю, не Icloud а просто Cloud настраивается в > ip cloud
Можно еще ddns сервис типа no.ip настроить при помощи скрипта.
У меня и то и другое работает, используется для разных целей.

@romsan · 10.12.2018, 08:01

Сообщение от Konstantin®

не Icloud а просто Cloud

верно. Очепятка. ipcloud mikrotik имелось ввиду.

@Miki7777777 · 13.12.2018, 09:34

в нате созданное правило к примеру для порта 7007 покажите вкладки General и Action

@noviche 1 / 1 / 0 Регистрация: 23.09.2014 Сообщений: 109
		1
	Как открыть порт в роутере микротик? 30.11.2018, 14:10. Показов 32479. Ответов 12 Метки микротик, роутер, сетевая, сети (Все метки) надо бы на айпи сервера пробросить порты 7007, 3639, 8087 извне для работы с ноутбука за пределами кафе Есть компьютер с установленноой программой R-keeper, нужно открыть порт для удаленно доступа к серверу, Открываю порт в микротике так /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007 protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1 to addresses=айп пк в брендмауэере винды тоже открыл но 2ip.ru пишет что зарыт, почему так ? белый айп есть. подскажите как правильно сделать? Миниатюры 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	30.11.2018, 19:26	2
	Сообщение от noviche пробросить порты 7007, 3639, 8087 извне для каждого порта свое правило. А тут Сообщение от noviche Открываю порт в микротике так /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007 protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1 прописаны все порты в одном правиле. Но на скрине вроде верно. т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард? Не по теме: Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду. Сообщение от noviche но 2ip.ru пишет что зарыт, почему так ? потому что скорее всего в фаерволе не открыты порты 0

@Konstantin® 388 / 165 / 29 Регистрация: 24.10.2013 Сообщений: 981
	03.12.2018, 19:48	3
	Сообщение от romsan А в filters порты открыл на форвард? Может я что путаю, но у меня без форварда в фильтрах всё работает. Сообщение от romsan потому что скорее всего в фаерволе не открыты порты Для проверки этого, советую ТС по локальной машине NMAP-om пройтись и понятно всё будет. 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	03.12.2018, 20:16	4
	Сообщение от Konstantin® у меня без форварда в фильтрах всё работает. значит у тебя в фаерволе нет запрещающего правила всего и вся на WAN интерфейсе. У меня посл. правило дропает всё. А выше я открываю то, что мне нужно. Т.е. если не разрешено, значит запрещено. 0

@noviche 1 / 1 / 0 Регистрация: 23.09.2014 Сообщений: 109
	06.12.2018, 15:25 [ТС]	5
	Сообщение от romsan т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард? тоесть белый айп надо было писать в to addresse, вместо айп самого компа, ПРАВИЛЬНО? В фильтрах порты не открыл зараза(( Сообщение от romsan Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду. фаервол дефолтный, получается из за этого, там последнее правило в фильтрах все дропает так? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	06.12.2018, 16:06	6
	Сообщение от noviche тоесть белый айп надо было писать в to addresse, нет. в to addresse пишешь внутренний адрес - куда перенаправляешь. Сообщение от noviche там последнее правило в фильтрах все дропает ну если есть такое правило, то да, выше нужно его открыть (разрешить) 0

@noviche 1 / 1 / 0 Регистрация: 23.09.2014 Сообщений: 109
	06.12.2018, 23:25 [ТС]	7
	romsan, А куда тогда белый айп писать ? 0

@noviche 1 / 1 / 0 Регистрация: 23.09.2014 Сообщений: 109
	09.12.2018, 01:06 [ТС]	9
	romsan, Соответственно если статического адреса нет, то ничего не получится, так? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	09.12.2018, 08:47	10
	Сообщение от noviche Соответственно если статического адреса нет, то ничего не получится, так? ну разве что у тебя белый динамический адрес. Тогда icloud в помощь, или DynDNS Если хе и этого нет, то можно VPN рассмотреть (т.е. построить туннель до VPN-сервера и уже через туннель заходить) Какую то денежку придется заплатить. 0

@Konstantin® 388 / 165 / 29 Регистрация: 24.10.2013 Сообщений: 981
	10.12.2018, 07:32	11
	Сообщение от romsan Тогда icloud в помощь Немного поправлю, не Icloud а просто Cloud настраивается в > ip cloud Можно еще ddns сервис типа no.ip настроить при помощи скрипта. У меня и то и другое работает, используется для разных целей. 0

	13.12.2018, 09:34

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	10.12.2018, 08:01	12
	Сообщение от Konstantin® не Icloud а просто Cloud верно. Очепятка. ipcloud mikrotik имелось ввиду. 0

@Miki7777777 13 / 11 / 3 Регистрация: 23.05.2014 Сообщений: 109
	13.12.2018, 09:34	13
	в нате созданное правило к примеру для порта 7007 покажите вкладки General и Action 0