Nastavitve RouterOS (MikroTik) - potrebujem pomoč

Zdravo,

že nekaj časa se na podlagi priporočil spogledujem z MikroTik routerji in pred kratkim, ko mi je odpovedal obstoječi router, je padla odločitev - kupil sem RB951G-2HnD in se v zadnjih dneh spoznavam z RouterOS (zadnja različica 6.28).

Osnovna konfiguracija je bila dokaj enostavna, predvsem zahvaljujoč funkciji "Quick Set", ki so jo v OS dodali od verzije 5.15 naprej. Uspešno sem nastavil "Static IP", zavaroval Wi-Fi in se poigral z nekaj funkcionalnostmi, ki jih router omogoča (npr. mrežni dostop do USB ključka preko SMB - sicer sem že tukaj spoznal, da NTFS podpore zaenkrat še ni, temveč le FAT32 in EXT3).

Težavo pa imam pri konfiguraciji "port forwardinga" (IP -> Firewall -> NAT). Prebral sem Mikrotikov Wiki, nekaj forumov, blogov, YouTube filmčkov, zadeva bi morala biti dokaj enostavna, vendar meni nikakor ne deluje. Pričel sem s čisto osnovo, da bi npr. port 80 preusmeril na lokalni web server, pa se je že tukaj ustavilo, saj se mi je namesto web serverja, oglasil kar admin vmesnik od routerja. Potem sem poskusil, da bi testno zunanji 8080 preusmeril na notranji 80, vendar neuspešno, saj se od zunaj, ko dostopam na http://STATIC-IP:8080 sploh nič ne odziva. Želel bi sledeče kombinacije:
- HTTP: port forward iz STATICIP:80 -> LOCALIP:80 - to je npr. klasika
- RDP: port forward iz STATICIP:4000 -> LOCALIP:3389 - torej od zunaj drugačen port, kot je nato preusmerjen lokalno, vendar z omejitvijo zgolj na specifične zunanje IP-je (npr. da lahko do RDP-ja dostopam le iz določenih lokacij, ki imajo vse po vrsti statični IP, ki bi jih vnesel v listo dovoljenih)

Glede na to, da vas je na tem forumu kar nekaj uporabnikov teh routerjev in imate nekateri poglobljeno znanje, se priporočam za kakršenkoli nasvet. Morda bi lahko ta tema služila tudi v bodoče za nova vprašanja, ki jih bodo imeli novopečeni lastniki routerjev z RouterOS sistemom.

Že vnaprej hvala za kakršenkoli nasvet.

16 odgovorov

Kako pa si poskušal dostopat? Iz lokalnega omrežja prek zunanjega IP naslova? Poskusi dostopat od zunaj, podobne težave so imeli Telekom-ovi modemi, če si dostopal od znotraj preko zunanjega naslova :)

si dal poleg port forwarda TUDI firewale rule ? Sicer ne poznam Mikrotik, a pravijo da je podoben PfSensu in Monowallu. Tam moram za vsako zadevo nastavit ali vsa jpreverit oboje da dela

Testiral sem od zunaj. Ko bi mi to uspelo, bi pa stestiral še od znotraj (zlasti za dostop do www strani na lokalnem web serverju, kar vem da je pogosto težava pri Telekom modemih).

@1qay1qay: Tudi to sem nekaj poskušal, vendar brez uspeha. Nekaj firewall filtrov je sicer privzeto nastavljenih, pa sem jih med testiranjem postavil na "disabled" (zlasti tiste, ki imajo nastavljeno pravilo "drop").

Mikrotik ima kar nekaj enostavnih sample-ov na njihovi wiki strani in si lahko enostavno nastaviš osnovne stvari(VPN, firewall, NAT, QOS...). Z njimi sem si tudi sam pomagal in nastavil router(delal prvič z routerOS) ...
Samo kot zanimivost, ki sem jo jaz opazil... Sprememba RDP porta ti bolj malo pomaga... Meni se je dogajalo, da se je iz nekje en client samo povezal na RDP(Sem uporabljal drug port) in izgleda čakal na login screenu in tako požira uploadl bandwidth :) Potem sem enostavno naredil VPN Server in odpravil ta "problem" tako da ti priporočam da raje kot da imaš odprt RDP na ven nastaviš VPN Server(Imaš spet polno tutorialov)...

Greš v IP > Firewall > NAT in dodaš pod General:

Chain: dstnat
Protocol: tcp
Dst. Port: 80

Pod zavihek Action:

Action: dst-nat
To Addresses: 192.168.1.10
To Ports: 80

Vsa ostala polja v zavihkih pustiš "siva". Seveda popravi zunanji in notranji port ter lokalni ip naslov. Pa v NATu moraš imati nastavljen tudi masquerade, drugače ti itak ne dela internet - to predvidevam, da imaš.

lp

@Dejan: Se strinjam, VPN bo vsekakor naslednja stvar, ki se jo lotim skonfigurirati, zgornje IP-je sem navedel zgolj kot primer.

@sce: Točno s temi nastavitvami sem že poskušal, saj so navedene na številnih straneh kot navodila. Npr. konkretno izpis trenutnih nastavitev:

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
 0    ;;; default configuration
      chain=srcnat action=masquerade to-addresses=0.0.0.0
      out-interface=ether1-WAN log=no log-prefix=""

 1    ;;; WWW
      chain=dstnat action=dst-nat to-addresses=192.168.1.199 to-ports=80
      protocol=tcp dst-port=8080 log=yes log-prefix="WWW"

Vendar, če poskusim od zunaj dostopati na http://89.212.X.X:8080/, ne deluje.

Je morda res kakšna finta v firewall filtrih, ki so privzeto nastavljeni (sicer sem vsakega že poskusil prestaviti na Disabled, pa ni pomagalo):

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

 1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

 2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

 3    ;;; default configuration
      chain=input action=drop in-interface=ether1-WAN log=no log-prefix=""

 4    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

 5    ;;; default configuration
      chain=forward action=accept connection-state=related log=no
      log-prefix=""

 6    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

NAT mi sicer deluje ok, mogoče ne rabiš niti "omejevat" to-address (ker si ga itak odprl z ipjem), moj firewall pri stari mami izgleda takole (najbolj enostaven config od vseh mojih mikrotikov).

[admin@BH-GW] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;;
     chain=input action=drop connection-state=invalid

 1   ;;;
     chain=input action=accept protocol=udp dst-port=1196

 2   ;;;
     chain=input action=accept connection-state=new in-interface=LAN

 3   ;;;
     chain=input action=accept connection-state=established

 4   ;;;
     chain=input action=accept connection-state=related

 5   ;;;
     chain=input action=accept protocol=icmp

 6   ;;;
     chain=input action=drop

 7   ;;;
     chain=forward action=drop connection-state=invalid

 8   ;;;
     chain=forward action=accept connection-state=new in-interface=LAN

 9   ;;;
     chain=forward action=accept connection-state=established

10   ;;;
     chain=forward action=accept connection-state=related

Upam, da ti kaj pomaga.

sce:
NAT mi sicer deluje ok, mogoče ne rabiš niti "omejevat" to-address (ker si ga itak odprl z ipjem)

Kako pa naj router ve, na kateri lokalni IP forwardira port? V bistvu je NAT, ki sem ga prilepil identičen temu, kar si objavil v prejšnjem postu, le da se zunanji port in notranji IP razlikujeta.

Glede posredovanih nastavitev za firewall filtre - imaš tudi pod NAT nastavljen kakšen port forward in gre skozi?

urosbe:
testiranjem postavil na "disabled" (zlasti tiste, ki imajo nastavljeno pravilo "drop").

Verjetno ima nastavljeno DEFAULT DROP kot večina boljših firewalow - se pravi če ni eksplicitno dovoljeno potem "zavrzi in niti ne komentiraj"