Как открыть порт в роутере микротик?

надо бы на айпи сервера пробросить порты 7007, 3639, 8087 извне для работы с ноутбука за пределами кафе

Есть компьютер с установленноой программой R-keeper, нужно открыть порт для удаленно доступа к серверу, Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

to addresses=айп пк

в брендмауэере винды тоже открыл

но 2ip.ru пишет что зарыт, почему так ?
белый айп есть.

подскажите как правильно сделать?

Миниатюры

 

0

Сообщение от noviche пробросить порты 7007, 3639, 8087 извне

для каждого порта свое правило. А тут

Сообщение от noviche Открываю порт в микротике так /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007 protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

прописаны все порты в одном правиле. Но на скрине вроде верно.

т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

Сообщение от noviche но 2ip.ru пишет что зарыт, почему так ?

потому что скорее всего в фаерволе не открыты порты

0

Сообщение от romsan А в filters порты открыл на форвард?

Может я что путаю, но у меня без форварда в фильтрах всё работает.

Сообщение от romsan потому что скорее всего в фаерволе не открыты порты

Для проверки этого, советую ТС по локальной машине NMAP-om пройтись и понятно всё будет.

0

Сообщение от Konstantin® у меня без форварда в фильтрах всё работает.

значит у тебя в фаерволе нет запрещающего правила всего и вся на WAN интерфейсе.
У меня посл. правило дропает всё. А выше я открываю то, что мне нужно. Т.е. если не разрешено, значит запрещено.

0

Сообщение от romsan т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

тоесть белый айп надо было писать в to addresse, вместо айп самого компа, ПРАВИЛЬНО?
В фильтрах порты не открыл зараза((

Сообщение от romsan Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду.

фаервол дефолтный, получается из за этого, там последнее правило в фильтрах все дропает так?

0

Сообщение от noviche тоесть белый айп надо было писать в to addresse,

нет. в to addresse пишешь внутренний адрес - куда перенаправляешь.

Сообщение от noviche там последнее правило в фильтрах все дропает

ну если есть такое правило, то да, выше нужно его открыть (разрешить)

0

romsan,
А куда тогда белый айп писать ?

0

ну изначально ты написал, что тебе нужно пробросить порты для работы "из вне"

Сообщение от noviche извне для работы с ноутбука за пределами кафе

соответственно, внешний адрес вписывается в то ПО, которое "из вне" логинится к твоему серверу внутри сети.

У тебя на МТ приходит статический адрес (какой тип подключения? DHCP? PPPoE?) Ты, правилами в фаерволе и НАТ открываешь и пробрасываешь нужные порты во внутрь своей сети на тот ПК (или устройство), на котором запущены службы/сервисы, слушающие соответствующие порты (7007, 3639, 8087)
Тебе нужно первым делом убедится, что на этом ПК порты открыты. Это можно узнать с помощью команды
Если порты открыты, то, дальше делаешь проброс портов на МТ. Как я понимаю, у тебя дефолтный конфиг фаервола, значит в конце по форварду и инпуту у тебя стоит drop. Значит, нужно выше этих запрещающих правил прописать прописать разрешение нужных портов по форварду (тебе же внутрь сети нужно пройти, а не на МТ)
Разрешающее правило, должно быть привязано к тому интерфейсу, на котором у тебя статика. (Если у тебя интернет приходит по РРРоЕ, то в in-interface должно указано быть именно РРРоЕ-интерфейс).
Далее идем в NAT и уже тут прописываешь непосредственно сам проброс. Так же указываешь in-interface, номер порта, протокол, и в to-address указываешь свой внутренний адрес ПК, на который нужно прокинуть порты.

После этого всего с любого ПК внутри сети, зайди на Проверка доступности порта и проверь свои порты на доступность - они должны быть открыты.

Соответственно, если нужно получить доступ по RDP "из вне", то на ПК "из вне", в RDP-клиенте вводишь свой внешний статический адрес. Доступ должен быть осуществлен.

1

romsan,
Соответственно если статического адреса нет, то ничего не получится, так?

0

Сообщение от noviche Соответственно если статического адреса нет, то ничего не получится, так?

ну разве что у тебя белый динамический адрес. Тогда icloud в помощь, или DynDNS
Если хе и этого нет, то можно VPN рассмотреть (т.е. построить туннель до VPN-сервера и уже через туннель заходить) Какую то денежку придется заплатить.

0

Сообщение от romsan Тогда icloud в помощь

Немного поправлю, не Icloud а просто Cloud настраивается в > ip cloud
Можно еще ddns сервис типа no.ip настроить при помощи скрипта.
У меня и то и другое работает, используется для разных целей.

0

Сообщение от Konstantin® не Icloud а просто Cloud

верно. Очепятка. ipcloud mikrotik имелось ввиду.

0

в нате созданное правило к примеру для порта 7007 покажите вкладки General и Action

0