Sayrax 0 Posted 2015-08-17 14:55:12 Share Posted 2015-08-17 14:55:12 Добрый день! Моя проблема состоит следующим образом: 1. Сеть 192.168.100.0/24 2. Веб сервер 192.168.100.2 3. PBX Порты проброшены в мир 80, 443, 5060, 5061. Проблема в ледующем не очень удобно писать на клиентах(телефоны и ноутбуки) адрес для работы из дома и адрес внутри офиса. а когда из локалки обращаешься к внешнему порту на роутере он не отдает данные. Mikrotik 95x Заранее благодарен Link to post Share on other sites
tkapluk 912 Posted 2015-08-17 15:01:19 Share Posted 2015-08-17 15:01:19 Ничего не понял. ДНС есть? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2015-08-17 15:06:24 Share Posted 2015-08-17 15:06:24 По любому днат/снат висят на внешнем фейсе, вот и не пашет. Link to post Share on other sites
Sayrax 0 Posted 2015-08-17 15:09:25 Author Share Posted 2015-08-17 15:09:25 Ничего не понял. ДНС есть? ДНСа пока нет. Мне надо чтоб сервер(PBX) и в мир смотрел и из локалки кнему обращились не по локальному адресу а по белому.кторый на WAN Link to post Share on other sites
Sayrax 0 Posted 2015-08-17 15:34:00 Author Share Posted 2015-08-17 15:34:00 По сути как будто сервера стоят в дмз Link to post Share on other sites
BlackVS 35 Posted 2015-08-17 15:39:43 Share Posted 2015-08-17 15:39:43 (edited) Хоть бы конфиг сбросили... Навскидку - у Вас dst-nat на нужный сервер стоит при доступе по внешнему ай-пи из-вне. Ну так добавьте аналогичное правило при доступе к внешнему ай-пи из локалки и будет счастье %) Edited 2015-08-17 15:41:24 by BlackVS Link to post Share on other sites
KaYot 3,730 Posted 2015-08-17 15:42:24 Share Posted 2015-08-17 15:42:24 (edited) Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX. Edited 2015-08-17 15:43:25 by KaYot Link to post Share on other sites
BlackVS 35 Posted 2015-08-17 15:46:50 Share Posted 2015-08-17 15:46:50 (edited) Вы еще удивитесь насколько жутко SIP через NAT работает(если сделаете нормальный проброс). Точнее не работает p.s. внимательнее прочитал - возможно проброс у вас и работает, но сам SIP не работает. Используйте AIX. Для SIP в dst-nat включить хелпер ( connectio type=sip ). Насколько он хорошо работает в микротике - другой вопрос (подозреваю - не очень, как и другие хелперы в мк %) ). Но если есть отдельный лишний белый ип - то просто его напрямую на PBX пробросить. Жирно, но поможет. Edited 2015-08-17 15:47:05 by BlackVS Link to post Share on other sites
bos 39 Posted 2015-08-18 03:42:00 Share Posted 2015-08-18 03:42:00 хелпер работает отлично, протокол называется IAX2, нужен лишь один порт 4569, zoiper его поддерживает(л) если вам только для реги абонов из вне, то проблема решена, если в качестве транка, то большинство провайдеров не поддерживают его( Link to post Share on other sites
BlackVS 35 Posted 2015-08-18 04:29:25 Share Posted 2015-08-18 04:29:25 если в качестве транка, то большинство провайдеров не поддерживают его( Транк обычно между своими же PBX - мы их у себя внутрь впн завели. Link to post Share on other sites
KaYot 3,730 Posted 2015-08-18 06:44:04 Share Posted 2015-08-18 06:44:04 IAX я и имел в виду, опечатался. Его пробросить куда проще, и никакие хелперы не нужны. Link to post Share on other sites
Sayrax 0 Posted 2015-08-18 13:34:11 Author Share Posted 2015-08-18 13:34:11 (edited) Вот фаерволл /ip firewall filter add action=drop chain=input comment="drop invalid connections" \ connection-state=invalid add chain=input comment="allow related connections" connection-state=related add chain=input comment="allow established connections" connection-state=\ established add action=add-src-to-address-list address-list="Blocked IP's" \ address-list-timeout=2w chain=input comment=\ "Add port-scanner to block list" protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \ protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \ tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \ tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \ tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\ tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \ tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \ protocol=tcp src-address-list=ftp_blacklist add chain=output content="530 Login incorrect" dst-limit=\ 1/1m,9,dst-address/1m protocol=tcp add action=add-dst-to-address-list address-list=ftp_blacklist \ address-list-timeout=3h chain=output content="530 Login incorrect" \ protocol=tcp add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp add chain=input comment="allow remote ssh" dst-port=22 in-interface=WAN \ protocol=tcp add chain=input comment="allow remote ftp" dst-port=21 in-interface=WAN \ protocol=tcp add chain=forward dst-port=80 in-interface=WAN protocol=tcp add chain=input comment=Transmission-daemon dst-port=51413 in-interface=WAN \ protocol=tcp add chain=input comment="allow IPTV" protocol=igmp add chain=forward dst-port=1234 protocol=udp add chain=input comment="Lan Input" in-interface=!WAN src-address-list=home add chain=input comment=L2TP/IPSec dst-port=1701,500,4500 protocol=udp add chain=input protocol=ipsec-esp add chain=input comment="allow openvpn-server" dst-port=1194 protocol=tcp add chain=input comment="allow DNS" dst-port=53 protocol=udp add action=drop chain=input comment="drop everything else" add chain=output comment="accept everything to internet" out-interface=WAN add chain=output comment="accept everything to non internet" out-interface=\ !WAN add chain=forward action=accept protocol=udp in-interface=WAN \ dst-port=5060,5061,10000-20000 log=no log-prefix="" add chain=output comment="accept everything" add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \ dst-port=25 protocol=tcp src-address-list=spammer add action=add-src-to-address-list address-list=Spammer address-list-timeout=\ 1d chain=forward comment="Detect and add-list SMTP virus or spammers" \ connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp add action=drop chain=forward comment="drop invalid connections" \ connection-state=invalid add chain=forward comment="allow already established connections" \ connection-state=established add chain=forward comment="allow related connections" connection-state=\ related add action=drop chain=forward disabled=yes src-address=0.0.0.0/8 add action=drop chain=forward disabled=yes dst-address=0.0.0.0/8 add action=drop chain=forward disabled=yes src-address=127.0.0.0/8 add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8 add action=drop chain=forward disabled=yes src-address=224.0.0.0/3 add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3 add action=jump chain=forward jump-target=tcp protocol=tcp add action=jump chain=forward jump-target=udp protocol=udp add action=jump chain=forward jump-target=icmp protocol=icmp add chain=forward comment=BT dst-port=51413 in-interface=WAN protocol=tcp add chain=forward comment="accept from local to internet" out-interface=WAN \ src-address-list=home add chain=forward comment="accept from openvpn to local" dst-address-list=\ home src-address-list=openvpn add chain=forward comment="accept from local to openvpn" dst-address-list=\ openvpn src-address-list=home add action=drop chain=forward comment="drop everything else" add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \ protocol=tcp add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \ protocol=tcp add action=drop chain=tcp comment="deny NBT" disabled=yes dst-port=137-139 \ protocol=tcp add action=drop chain=tcp comment="deny cifs" disabled=yes dst-port=445 \ protocol=tcp add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \ protocol=tcp add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\ tcp add action=drop chain=tcp comment="deny DHCP" disabled=yes dst-port=67-68 \ protocol=tcp add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \ protocol=udp add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \ protocol=udp add action=drop chain=udp comment="deny NBT" disabled=yes dst-port=137-139 \ protocol=udp add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\ udp add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add chain=icmp comment="host unreachable fragmentation required" \ icmp-options=3:4 protocol=icmp add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" add action=drop chain=forward comment="drop (2) everything else" Вот нат /ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address-list=home add action=netmap chain=dstnat comment="www Server" dst-port=80 in-interface=\ WAN protocol=tcp to-addresses=192.168.50.6 to-ports=80 add action=netmap chain=dstnat to-addresses=192.168.50.3 protocol=udp \ in-interface=WAN dst-port=5060,5061,10000-20000 log=no \ log-prefix="" add action=netmap chain=dstnat to-addresses=192.168.50.2 to-ports=3389 \ protocol=tcp in-interface=WAN dst-port=3389 log=no log-prefix="" и все же трафик с локалки через внешний ip обратно в локалку Edited 2015-08-18 13:39:43 by Sayrax Link to post Share on other sites
Sayrax 0 Posted 2015-08-18 13:40:48 Author Share Posted 2015-08-18 13:40:48 Через сип все отлично работает когда коннектишься из мира. А вот по внешнему адресу из локалки болт Link to post Share on other sites
Den_LocalNet 1,474 Posted 2015-08-18 13:45:15 Share Posted 2015-08-18 13:45:15 Ещё раз читаем третий пост. Ваш днат работает только при попадании пакета на ван. Link to post Share on other sites
Zolks 24 Posted 2015-08-18 13:45:56 Share Posted 2015-08-18 13:45:56 (edited) 2ТС. Если я вас правильно понял, то вам необходимо примерно следующее: chain=srcnat action=masquerade protocol=tcp src-address=192.168.100.0/24 dst-address=192.168.100.2 out-interface=bridge-local dst-port=443 Edited 2015-08-18 13:47:15 by Zolks Link to post Share on other sites
Sayrax 0 Posted 2015-08-18 14:34:07 Author Share Posted 2015-08-18 14:34:07 Спасибо всем! За двое суток нашел решение: /ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \ dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \ log=no log-prefix="" /ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \ dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \ log=no log-prefix="" Link to post Share on other sites
BlackVS 35 Posted 2015-08-18 17:08:01 Share Posted 2015-08-18 17:08:01 (edited) Спасибо всем! За двое суток нашел решение: /ip firewall nat add chain=dstnat action=netmap to-addresses=192.168.50.3 protocol=udp \ dst-address=<public_ip> in-interface=LAN dst-port=5060,5061,10000-20000 \ log=no log-prefix="" /ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.50.1 protocol=udp \ dst-address=192.168.50.3 out-interface=LAN dst-port=5060,5061,10000-20000 \ log=no log-prefix="" 1-е правило - это то, о чем я и Den_LocalNet писали. А второе - у Вас что, сервер и клиенты в одном физическом сегменте? Я бы VoIP снес бы в отдельный сегмент. Имеется опыт "заваливания" VoIP на "тупых" L2 свичах, когда клиенты чересчур активно начинают сетку грузить (у нас на работе просто нагрузка в локалке в 500Мбит - нормальное явление). Лечится также нормальными свичами, но они и денег нормальных стоят Edited 2015-08-18 17:09:00 by BlackVS Link to post Share on other sites
Sayrax 0 Posted 2015-08-19 00:03:33 Author Share Posted 2015-08-19 00:03:33 Свичи прокурва) поэтому сильно не переживаю.....конечно в иделе Cisco Catalist и в догонку CUCM. нО денег не дадут. Но проблему все равно не решит, хоть в одном сегменте хоть в двух. Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые)))) Link to post Share on other sites
John_Doe 301 Posted 2015-08-19 05:55:29 Share Posted 2015-08-19 05:55:29 (edited) Потому как из вне надо подключатся и из офиса...а лечить это двумя профилями на клиенте не очень....пользователи очень ленивые)))) А днс должен отдавать на ресолв из вне реальный ип, а из локалки локальный и два профиля ненужно будет Edited 2015-08-19 05:56:19 by John_Doe Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now