1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
1

Открыть порты Mikrotik

02.11.2019, 20:00. Показов 17380. Ответов 71
Метки нет (Все метки)

Приветствую. Ситуация: дома имеется 2 консоли PS4 им необходимо открыть порты.
UPD 3074,3478,3479,9296,9297,9303
TCP 1935,3478,3479,3480,9295
На старом Keenetic Start это было сделано следующим образом.
PS4 №1
Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

PS4 №2
Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

Может и не правильно, но это работало.
И так по аналогии со всеми портами. У двух консолей были открыты все порты.
На микротике сейчас открыл все порты для одной консоли.
Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

Если повторить конфиг по аналогии с Keenetiс
Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

То ни одна консоль не имеет открытых портов.
Подскажите рабочее решение.
Спасибо.
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
02.11.2019, 20:00
Ответы с готовыми решениями:

Открыть порты
Добрый день, я новичок, пришел на работу , для сотрудника надо открыть порты 80, 443 ( для 1с)...

Как открыть порты
Пацаны помогите кто нибудь пожаалуйста,уже полгода не могу открыть порты!!!И через брандмаувер...

Как открыть порты?
Пробовал и в роутере (ZyXEL Keenetic Lite II). И на компьютере файрвол отключать и вносить...

Как открыть на Mikrotik VPN туннель для подключения по RDP?
Скажите пожалуйста как открыть на Mikrotik VPN туннель для подключение по RDP, наше сервер 1С...

71
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 20:45 2
В firewall filter forward эти порты открыты на локальные адреса в качестве адресов назначения?
Можно попробовать отключить все drop правила в firewall filter и проверить.
Или выложите текстом под спойлер из new terminal
Код
ip firewall export compact
0
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 21:07  [ТС] 3
Кликните здесь для просмотра всего текста
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat comment=PS4_PAUL dst-port=\
1935,3478,3479,3480,9295 in-interface=ether1 protocol=tcp to-addresses=\
192.168.1.10
add action=dst-nat chain=dstnat dst-port=3074,3478,3479,9296,9297,9303 \
in-interface=ether1 protocol=udp to-addresses=192.168.1.10
add action=dst-nat chain=dstnat comment=PS4_Irina disabled=yes dst-port=1935 \
in-interface=ether1 protocol=tcp to-addresses=192.168.1.12 to-ports=11935
add action=dst-nat chain=dstnat disabled=yes dst-port=3478 in-interface=ether1 \
protocol=tcp to-addresses=192.168.1.12 to-ports=13478
add action=dst-nat chain=dstnat disabled=yes dst-port=3479 in-interface=ether1 \
protocol=tcp to-addresses=192.168.1.12 to-ports=13479
add action=dst-nat chain=dstnat disabled=yes dst-port=3480 in-interface=ether1 \
protocol=tcp to-addresses=192.168.1.12 to-ports=13480
add action=dst-nat chain=dstnat disabled=yes dst-port=3074 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=13074
add action=dst-nat chain=dstnat disabled=yes dst-port=3478 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=13478
add action=dst-nat chain=dstnat disabled=yes dst-port=3479 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=13479
add action=dst-nat chain=dstnat disabled=yes dst-port=9295 in-interface=ether1 \
protocol=tcp to-addresses=192.168.1.12 to-ports=19295
add action=dst-nat chain=dstnat disabled=yes dst-port=29296 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9296
add action=dst-nat chain=dstnat disabled=yes dst-port=29297 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9297
add action=dst-nat chain=dstnat disabled=yes dst-port=29303 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9303


Сейчас попробую отключить drop правила и проверить.
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 21:24 4
У вас нет drop на forward.
Вы не можете пробросить один и тот же внешний порт на обе приставки.!
Какие именно порты нужно пробросить на приставки? У вас в правилах dst-nat косяки..
Вы можете так же сделать динамическое перенаправление с помощью upnp. Приставки, правда, тоже должны поддерживать данную фичу.
1
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 21:54  [ТС] 5
Вы не можете пробросить один и тот же внешний порт на обе приставки.!
Это я понимаю. Но я не понимаю как у меня это работало на keenetic. Если объясните, буду признателен.

Какие именно порты нужно пробросить на приставки? У вас в правилах dst-nat косяки..
Порты эти:
UPD 3074,3478,3479,9296,9297,9303
TCP 1935,3478,3479,3480,9295
Эти косяки?
Кликните здесь для просмотра всего текста
add action=dst-nat chain=dstnat disabled=yes dst-port=29296 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9296
add action=dst-nat chain=dstnat disabled=yes dst-port=29297 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9297
add action=dst-nat chain=dstnat disabled=yes dst-port=29303 in-interface=ether1 \
protocol=udp to-addresses=192.168.1.12 to-ports=9303


Вы можете так же сделать динамическое перенаправление с помощью upnp. Приставки, правда, тоже должны поддерживать данную фичу.
Пробовал, upnp так же распространяется на одну приставку.
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 21:57 6
В итоге одна из приставок работает?
0
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 21:59  [ТС] 7
Цитата Сообщение от insect_87 Посмотреть сообщение
В итоге одна из приставок работает?
Совершенно верно.
0
Эксперт по компьютерным сетям
4317 / 1984 / 419
Регистрация: 17.10.2015
Сообщений: 8,546
02.11.2019, 22:04 8
Цитата Сообщение от ixenon Посмотреть сообщение
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
В данном набоое правил открыт "из вне" только icmp, т.е. пинг. Всё. Больше ничего не открыто, последнее правило блокирует всё и вся на вход микротика, т.е. любой порт, кроме пинга закрыт. И всё что Вы в НАТ прописали не будет работать впринцепе пока в фаерволе не будут открыты соответствующие порты.
Помимо прочего нет правил форварда в локалку.

Добавлено через 2 минуты
Цитата Сообщение от ixenon Посмотреть сообщение
Совершенно верно.
Как сказал выше insect_87, нельзя один и тот же порт пробросить на два разных хоста. Если Вы посмотрите внимательно, то в правилах на кинетике у Вас на первых хост проброшен "из вне" 1935 порт на 1935 порт, а на второй хост - 11935 на 1935 порт.
1
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 22:13 9
1. У второго использовать другой внешний порт.
13074, 13479 и тд. Но вряд ли это поймут удаленные хосты, инициирующие подключение.
2. Попробовать выключить правила dst-nat и оставить только upnp. Но в соединении по конкретному внешнему порту опять же будет участвовать только один локальный хост, пока соединение не закроется.
3. Получить у провайдера второй ip, лучше из той же подсети и с тем же шлюзом

Добавлено через 4 минуты
В данном набоое правил открыт "из вне" только icmp, т.е. пинг. Всё. Больше ничего не открыто, последнее правило блокирует всё и вся на вход микротика, т.е. любой порт, кроме пинга закрыт. И всё что Вы в НАТ прописали не будет работать впринцепе пока в фаерволе не будут открыты соответствующие порты.
romsan, будут. Пакет не попадет в firewall input, а попадет в firewall forward после dst-nat, смотрим packet flow
0
Эксперт по компьютерным сетямЭксперт NIX
12358 / 7201 / 752
Регистрация: 09.09.2009
Сообщений: 28,100
02.11.2019, 22:24 10
Цитата Сообщение от romsan Посмотреть сообщение
В данном набоое правил открыт "из вне" только icmp
в дополнение к ответу insect_87:
Цитата Сообщение от romsan Посмотреть сообщение
chain=input
... - это -> "непосредственно в сам микротик", а не в кого-то из клиентов локальной сети за ним
1
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 22:29  [ТС] 11
Цитата Сообщение от romsan Посмотреть сообщение
Как сказал выше insect_87, нельзя один и тот же порт пробросить на два разных хоста. Если Вы посмотрите внимательно, то в правилах на кинетике у Вас на первых хост проброшен "из вне" 1935 порт на 1935 порт, а на второй хост - 11935 на 1935 порт.
Как реализовать тоже самое на микротике? Не могли бы Вы написать команду?
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 22:38 12
ixenon,
Вот ты пишешь такое правило:
Код
add action=dst-nat chain=dstnat comment=PS4_Irina dst-port=1935 \
in-interface=ether1 protocol=tcp to-addresses=192.168.1.12 to-ports=11935
Но двумя правилами выше ты уже пробросил порт 1935 на 192.168.1.10:1935
Потому менять нужно внешний порт:
Код
add action=dst-nat chain=dstnat comment=PS4_Irina dst-port=11935 \
in-interface=ether1 protocol=tcp to-addresses=192.168.1.12 to-ports=1935
НО!
вряд ли это поймут удаленные хосты, инициирующие подключение
0
Эксперт по компьютерным сетям
4317 / 1984 / 419
Регистрация: 17.10.2015
Сообщений: 8,546
02.11.2019, 22:49 13
Цитата Сообщение от Dmitry Посмотреть сообщение
это -> "непосредственно в сам микротик", а не в кого-то из клиентов локальной сети за ним
я прекрасно знаю что такое input и forward. Спасибо за уточнение.
Получается у ТС просто вся локалка выставлена в тырнет!? Никаких запрещающих правил по forward не прописано - ходи-нехочу, кто-хочу, куда-хочу в локалку!? Значит сам микротик закрыт "из вне" (все порты, кроме пинга), а локалка открыта!? Но ведь это же очень не профессионально и не секьюрно!!!
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 23:09 14
локалка открыта!?
Да на самом деле недоступна она из инета.
Фильтруются маршруты на зарезервированные адреса по bgp в инете. Эт только ваш провайдер сможет пошутить, прописав у себя маршрут до вашей локалки через ваш внешний адрес, но если у вас работает src-nat для локалки на ваш внешний адрес, то решив пошутить, он допустим, пошлет пакет в вашу локалку, а ответ получит от вашего внешнего адреса (из-за src-nat) и отбросит пришедший пакет.

Но в идеале закрыть все же надо, согласен полностью: дропать надо все, кроме разрешенного
0
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 23:10  [ТС] 15
Странно это все. Так же можете объяснить в чем может быть дело. Открываю порт для ноутбука 443/tcp, а 2ip пишет что порт закрыт.
Кликните здесь для просмотра всего текста
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.1.33 to-ports=443

Кликните здесь для просмотра всего текста
Открыть порты Mikrotik

Что я делаю не так?
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 23:15 16
А у вас ноутбук слушает порт 443?
Https сервер поднят на нем?
Нет, значит и порт закрыт будет

Не по теме:

Вы б еще 445 засветили двумя годами ранее

0
1 / 1 / 1
Регистрация: 02.11.2019
Сообщений: 23
02.11.2019, 23:19  [ТС] 17
Я просто для проверки.
Просто заметил что когда я открываю порт 1935 на консоли при заходе с нее на 2ip так же порт закрыт.
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
02.11.2019, 23:30 18
А при этом приставка, адрес которой указан в пробросе, включена и работает, приложение запущено?
+Важно, чтобы это правило было выше всех ваших правил с. Dst-nat, в которых участвует этот внешний порт
0
163 / 159 / 27
Регистрация: 24.10.2013
Сообщений: 952
04.11.2019, 11:06 19
Возможно не совсем в тему, но банальное включение upnp на роутере не позволяет PS-4 устанавливать необходимые соединения ?
Прямо сейчас домашняя PS-4 в сети и если посмотреть
Код
ip fire nat pr
Можно увидеть
Код
D ;;; upnp 192.168.88.20: 192.168.88.20:9308 to 9308 (UDP)
      chain=dstnat action=dst-nat to-addresses=192.168.88.20 to-ports=9308 protocol=udp dst-address=5.76.**.**
      in-interface=pppoe-out1 dst-port=9308
0
Эксперт по компьютерным сетям
10522 / 6722 / 1787
Регистрация: 25.12.2012
Сообщений: 28,520
04.11.2019, 11:38 20
Konstantin®, в посте 9 уже описал.
ТС, как я понимаю, хочет пробросить один и тот же внешний порт на 2 приставки, работающих одновременно
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
04.11.2019, 11:38
Помогаю со студенческими работами здесь

Как открыть дополнительные порты
Как открыть дополнительные порты на роутере ZXHN H298A V1.1 V1.1.20_ROST16 к примеру мне нужно...

Открыть порты asus rt-n12 vp
помогите пожалуйста открыть порты в роутере asus rt-n12 vp читал инет,инструкции.делал все по...

Не могу открыть порты на TL-WR841ND
Не могу открыть не 80 не любой другой. IP белый провайдор порты не блокирует. И прошу без ссылок на...

Не могу открыть порты 6112:6119
Подскажите пожалуйста как открыть данные порты. В настройках роутера (Asus rt-n10) открыл,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru