Mikrotik (NAT)

[Sayrax]

Добрый день!

 Моя проблема состоит следующим образом:

1. Сеть 192.168.100.0/24

2. Веб сервер 192.168.100.2

3. PBX

 

Порты проброшены в мир 80, 443, 5060, 5061. Проблема в ледующем не очень удобно писать на клиентах(телефоны и ноутбуки) адрес для работы из дома и адрес внутри офиса. а когда из локалки обращаешься к внешнему порту на роутере он не отдает данные.

 

Mikrotik 95x

 

Заранее благодарен

[tkapluk]

Ничего не понял. ДНС есть? 

[Den_LocalNet]

По любому днат/снат висят на внешнем фейсе, вот и не пашет.

[Sayrax]

Ничего не понял. ДНС есть? 

ДНСа пока нет. 

 

Мне надо чтоб сервер(PBX) и в мир смотрел и из локалки кнему обращились не по локальному адресу а по белому.кторый на WAN

[Sayrax]

По сути как будто сервера стоят в дмз

[BlackVS]

Хоть бы конфиг сбросили...

Навскидку - у Вас dst-nat на нужный сервер стоит при доступе по внешнему ай-пи из-вне.

Ну так добавьте аналогичное правило при доступе к внешнему ай-пи из локалки и будет счастье %)

Відредаговано 17 серпня, 2015 BlackVS

[KaYot]

Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает

p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX.

Відредаговано 17 серпня, 2015 KaYot

[BlackVS]

Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает

p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX.

Для SIP в dst-nat включить хелпер ( connectio type=sip ).

Насколько он хорошо работает в микротике - другой вопрос (подозреваю - не очень, как и другие хелперы в мк %) ).

Но если есть отдельный лишний белый ип - то просто его напрямую на PBX пробросить. Жирно, но поможет.

Відредаговано 17 серпня, 2015 BlackVS

[bos]

хелпер работает отлично, протокол называется IAX2, нужен лишь один порт 4569, zoiper его поддерживает(л) если вам только для реги абонов  из вне, то проблема решена, если в качестве транка, то большинство провайдеров не поддерживают его( 

[BlackVS]

 если в качестве транка, то большинство провайдеров не поддерживают его( 

Транк обычно между своими же PBX - мы их у себя внутрь впн завели. 

[KaYot]

IAX я и имел в виду, опечатался. Его пробросить куда проще, и никакие хелперы не нужны.

[Sayrax]

Вот фаерволл

/ip firewall filter

add action=drop chain=input comment="drop invalid connections" \

    connection-state=invalid

add chain=input comment="allow related connections" connection-state=related

add chain=input comment="allow established connections" connection-state=\

    established

add action=add-src-to-address-list address-list="Blocked IP's" \

    address-list-timeout=2w chain=input comment=\

    "Add port-scanner to block list" protocol=tcp psd=21,3s,3,1

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \

    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \

    tcp-flags=fin,syn

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \

    tcp-flags=syn,rst

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \

    tcp-flags=fin,syn,rst,psh,ack,urg

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\

    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list="port scanners" \

    address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \

    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \

    protocol=tcp src-address-list=ftp_blacklist

add chain=output content="530 Login incorrect" dst-limit=\

    1/1m,9,dst-address/1m protocol=tcp

add action=add-dst-to-address-list address-list=ftp_blacklist \

    address-list-timeout=3h chain=output content="530 Login incorrect" \

    protocol=tcp

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \

    protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \

    protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 \

    address-list-timeout=1m chain=input connection-state=new dst-port=22 \

    protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

    address-list-timeout=1m chain=input connection-state=new dst-port=22 \

    protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

    address-list-timeout=1m chain=input connection-state=new dst-port=22 \

    protocol=tcp

add chain=input comment="allow remote ssh" dst-port=22 in-interface=WAN \

    protocol=tcp

add chain=input comment="allow remote ftp" dst-port=21 in-interface=WAN \

    protocol=tcp

add chain=forward dst-port=80 in-interface=WAN protocol=tcp

add chain=input comment=Transmission-daemon dst-port=51413 in-interface=WAN \

    protocol=tcp

add chain=input comment="allow IPTV" protocol=igmp

add chain=forward dst-port=1234 protocol=udp

add chain=input comment="Lan Input" in-interface=!WAN src-address-list=home

add chain=input comment=L2TP/IPSec dst-port=1701,500,4500 protocol=udp

add chain=input protocol=ipsec-esp

add chain=input comment="allow openvpn-server" dst-port=1194 protocol=tcp

add chain=input comment="allow DNS" dst-port=53 protocol=udp

add action=drop chain=input comment="drop everything else"

add chain=output comment="accept everything to internet" out-interface=WAN

add chain=output comment="accept everything to non internet" out-interface=\

    !WAN

add chain=forward action=accept protocol=udp in-interface=WAN \ 

      dst-port=5060,5061,10000-20000 log=no log-prefix=""

add chain=output comment="accept everything"

add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \

    dst-port=25 protocol=tcp src-address-list=spammer

add action=add-src-to-address-list address-list=Spammer address-list-timeout=\

    1d chain=forward comment="Detect and add-list SMTP virus or spammers" \

    connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp

add action=drop chain=forward comment="drop invalid connections" \

    connection-state=invalid

add chain=forward comment="allow already established connections" \

    connection-state=established

add chain=forward comment="allow related connections" connection-state=\

    related

add action=drop chain=forward disabled=yes src-address=0.0.0.0/8

add action=drop chain=forward disabled=yes dst-address=0.0.0.0/8

add action=drop chain=forward disabled=yes src-address=127.0.0.0/8

add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8

add action=drop chain=forward disabled=yes src-address=224.0.0.0/3

add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3

add action=jump chain=forward jump-target=tcp protocol=tcp

add action=jump chain=forward jump-target=udp protocol=udp

add action=jump chain=forward jump-target=icmp protocol=icmp

add chain=forward comment=BT dst-port=51413 in-interface=WAN protocol=tcp

add chain=forward comment="accept from local to internet" out-interface=WAN \

    src-address-list=home

add chain=forward comment="accept from openvpn to local" dst-address-list=\

    home src-address-list=openvpn

add chain=forward comment="accept from local to openvpn" dst-address-list=\

    openvpn src-address-list=home

add action=drop chain=forward comment="drop everything else"

add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp

add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \

    protocol=tcp

add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \

    protocol=tcp

add action=drop chain=tcp comment="deny NBT" disabled=yes dst-port=137-139 \

    protocol=tcp

add action=drop chain=tcp comment="deny cifs" disabled=yes dst-port=445 \

    protocol=tcp

add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp

add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \

    protocol=tcp

add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp

add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\

    tcp

add action=drop chain=tcp comment="deny DHCP" disabled=yes dst-port=67-68 \

    protocol=tcp

add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp

add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \

    protocol=udp

add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \

    protocol=udp

add action=drop chain=udp comment="deny NBT" disabled=yes dst-port=137-139 \

    protocol=udp

add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp

add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\

    udp

add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp

add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp

add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp

add chain=icmp comment="host unreachable fragmentation required" \

    icmp-options=3:4 protocol=icmp

add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp

add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp

add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp

add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp

add action=drop chain=icmp comment="deny all other types"

add action=drop chain=forward comment="drop (2) everything else"

 

Вот нат

/ip firewall nat

add action=masquerade chain=srcnat out-interface=WAN src-address-list=home

add action=netmap chain=dstnat comment="www Server" dst-port=80 in-interface=\

    WAN protocol=tcp to-addresses=192.168.50.6 to-ports=80

add action=netmap chain=dstnat  to-addresses=192.168.50.3 protocol=udp \

      in-interface=WAN dst-port=5060,5061,10000-20000 log=no \

      log-prefix=""

add action=netmap chain=dstnat  to-addresses=192.168.50.2 to-ports=3389 \

      protocol=tcp in-interface=WAN dst-port=3389 log=no log-prefix=""

 

и все же трафик с локалки через внешний ip обратно в локалку

Відредаговано 18 серпня, 2015 Sayrax

[Sayrax]

Через сип все отлично работает когда коннектишься из мира. А вот по внешнему адресу из локалки болт

[Den_LocalNet]

Ещё раз читаем третий пост. Ваш днат работает только при попадании пакета на ван.

[Zolks]

2ТС. Если я вас правильно понял, то вам необходимо примерно следующее:

 

chain=srcnat action=masquerade protocol=tcp src-address=192.168.100.0/24 dst-address=192.168.100.2 out-interface=bridge-local dst-port=443
 

Відредаговано 18 серпня, 2015 Zolks

[Sayrax]

Спасибо всем! За двое суток нашел решение:

/ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \

      dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \

      log=no log-prefix="" 

/ip firewall nat add  chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \

      dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \

      log=no log-prefix=""

[BlackVS]

 

Спасибо всем! За двое суток нашел решение:

/ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \

      dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \

      log=no log-prefix="" 

/ip firewall nat add  chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \

      dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \

      log=no log-prefix=""

 

1-е правило - это то, о чем я и Den_LocalNet писали.

А второе - у Вас что, сервер и клиенты в одном физическом сегменте? 

Я бы VoIP снес бы в отдельный сегмент. Имеется опыт "заваливания" VoIP на "тупых" L2 свичах, когда клиенты чересчур активно начинают сетку грузить (у нас на работе просто нагрузка в локалке в 500Мбит - нормальное явление). Лечится также нормальными свичами, но они и денег нормальных стоят

Відредаговано 18 серпня, 2015 BlackVS

[Sayrax]

Свичи прокурва) поэтому сильно не переживаю.....конечно в иделе Cisco Catalist  и в догонку CUCM. нО денег не дадут. Но проблему все равно не решит, хоть в одном сегменте хоть в двух. Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые))))

[John_Doe]

Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые))))

А днс должен отдавать на ресолв из вне реальный ип, а из локалки локальный и два профиля ненужно будет

Відредаговано 19 серпня, 2015 John_Doe