Перейти до

Рекомендованные сообщения

Добрый день!

 Моя проблема состоит следующим образом:

1. Сеть 192.168.100.0/24

2. Веб сервер 192.168.100.2

3. PBX

 

Порты проброшены в мир 80, 443, 5060, 5061. Проблема в ледующем не очень удобно писать на клиентах(телефоны и ноутбуки) адрес для работы из дома и адрес внутри офиса. а когда из локалки обращаешься к внешнему порту на роутере он не отдает данные.

 

Mikrotik 95x

 

Заранее благодарен

Ссылка на сообщение
Поделиться на других сайтах

Ничего не понял. ДНС есть? 

ДНСа пока нет. 

 

Мне надо чтоб сервер(PBX) и в мир смотрел и из локалки кнему обращились не по локальному адресу а по белому.кторый на WAN

Ссылка на сообщение
Поделиться на других сайтах

Хоть бы конфиг сбросили...

Навскидку - у Вас dst-nat на нужный сервер стоит при доступе по внешнему ай-пи из-вне.

Ну так добавьте аналогичное правило при доступе к внешнему ай-пи из локалки и будет счастье %)

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает :)

p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX.

Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах

Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает :)

p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX.

Для SIP в dst-nat включить хелпер ( connectio type=sip ).

Насколько он хорошо работает в микротике - другой вопрос (подозреваю - не очень, как и другие хелперы в мк %) ).

Но если есть отдельный лишний белый ип - то просто его напрямую на PBX пробросить. Жирно, но поможет.

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

хелпер работает отлично, протокол называется IAX2, нужен лишь один порт 4569, zoiper его поддерживает(л) если вам только для реги абонов  из вне, то проблема решена, если в качестве транка, то большинство провайдеров не поддерживают его( 

Ссылка на сообщение
Поделиться на других сайтах

 если в качестве транка, то большинство провайдеров не поддерживают его( 

Транк обычно между своими же PBX - мы их у себя внутрь впн завели. 

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Вот фаерволл

/ip firewall filter
add action=drop chain=input comment="drop invalid connections" \
    connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=\
    established
add action=add-src-to-address-list address-list="Blocked IP's" \
    address-list-timeout=2w chain=input comment=\
    "Add port-scanner to block list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\
    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
    protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
    1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add chain=input comment="allow remote ssh" dst-port=22 in-interface=WAN \
    protocol=tcp
add chain=input comment="allow remote ftp" dst-port=21 in-interface=WAN \
    protocol=tcp
add chain=forward dst-port=80 in-interface=WAN protocol=tcp
add chain=input comment=Transmission-daemon dst-port=51413 in-interface=WAN \
    protocol=tcp
add chain=input comment="allow IPTV" protocol=igmp
add chain=forward dst-port=1234 protocol=udp
add chain=input comment="Lan Input" in-interface=!WAN src-address-list=home
add chain=input comment=L2TP/IPSec dst-port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add chain=input comment="allow openvpn-server" dst-port=1194 protocol=tcp
add chain=input comment="allow DNS" dst-port=53 protocol=udp
add action=drop chain=input comment="drop everything else"
add chain=output comment="accept everything to internet" out-interface=WAN
add chain=output comment="accept everything to non internet" out-interface=\
    !WAN
add chain=forward action=accept protocol=udp in-interface=WAN \ 
      dst-port=5060,5061,10000-20000 log=no log-prefix=""
add chain=output comment="accept everything"
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \
    dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=Spammer address-list-timeout=\
    1d chain=forward comment="Detect and add-list SMTP virus or spammers" \
    connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp
add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid
add chain=forward comment="allow already established connections" \
    connection-state=established
add chain=forward comment="allow related connections" connection-state=\
    related
add action=drop chain=forward disabled=yes src-address=0.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=0.0.0.0/8
add action=drop chain=forward disabled=yes src-address=127.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8
add action=drop chain=forward disabled=yes src-address=224.0.0.0/3
add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=forward comment=BT dst-port=51413 in-interface=WAN protocol=tcp
add chain=forward comment="accept from local to internet" out-interface=WAN \
    src-address-list=home
add chain=forward comment="accept from openvpn to local" dst-address-list=\
    home src-address-list=openvpn
add chain=forward comment="accept from local to openvpn" dst-address-list=\
    openvpn src-address-list=home
add action=drop chain=forward comment="drop everything else"
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
    protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
    protocol=tcp
add action=drop chain=tcp comment="deny NBT" disabled=yes dst-port=137-139 \
    protocol=tcp
add action=drop chain=tcp comment="deny cifs" disabled=yes dst-port=445 \
    protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
    protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
    tcp
add action=drop chain=tcp comment="deny DHCP" disabled=yes dst-port=67-68 \
    protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
    protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
    protocol=udp
add action=drop chain=udp comment="deny NBT" disabled=yes dst-port=137-139 \
    protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
    udp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" \
    icmp-options=3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=forward comment="drop (2) everything else"
 
Вот нат
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address-list=home
add action=netmap chain=dstnat comment="www Server" dst-port=80 in-interface=\
    WAN protocol=tcp to-addresses=192.168.50.6 to-ports=80
add action=netmap chain=dstnat  to-addresses=192.168.50.3 protocol=udp \
      in-interface=WAN dst-port=5060,5061,10000-20000 log=no \
      log-prefix=""
add action=netmap chain=dstnat  to-addresses=192.168.50.2 to-ports=3389 \
      protocol=tcp in-interface=WAN dst-port=3389 log=no log-prefix=""
 
и все же трафик с локалки через внешний ip обратно в локалку
Відредаговано Sayrax
Ссылка на сообщение
Поделиться на других сайтах

Через сип все отлично работает когда коннектишься из мира. А вот по внешнему адресу из локалки болт

Ссылка на сообщение
Поделиться на других сайтах

2ТС. Если я вас правильно понял, то вам необходимо примерно следующее:

 

chain=srcnat action=masquerade protocol=tcp src-address=192.168.100.0/24 dst-address=192.168.100.2 out-interface=bridge-local dst-port=443
 

Відредаговано Zolks
Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем! За двое суток нашел решение:

/ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \
      dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \
      log=no log-prefix="" 
/ip firewall nat add  chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \
      dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \
      log=no log-prefix=""
Ссылка на сообщение
Поделиться на других сайтах

 

Спасибо всем! За двое суток нашел решение:

/ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \
      dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \
      log=no log-prefix="" 
/ip firewall nat add  chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \
      dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \
      log=no log-prefix=""

 

1-е правило - это то, о чем я и Den_LocalNet писали.

А второе - у Вас что, сервер и клиенты в одном физическом сегменте? 

Я бы VoIP снес бы в отдельный сегмент. Имеется опыт "заваливания" VoIP на "тупых" L2 свичах, когда клиенты чересчур активно начинают сетку грузить (у нас на работе просто нагрузка в локалке в 500Мбит - нормальное явление). Лечится также нормальными свичами, но они и денег нормальных стоят :)

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

Свичи прокурва) поэтому сильно не переживаю.....конечно в иделе Cisco Catalist  и в догонку CUCM. нО денег не дадут. Но проблему все равно не решит, хоть в одном сегменте хоть в двух. Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые))))

Ссылка на сообщение
Поделиться на других сайтах
Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые))))

А днс должен отдавать на ресолв из вне реальный ип, а из локалки локальный и два профиля ненужно будет

Відредаговано John_Doe
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...