Не работаєт проброс порта RDP через Mikrotik

[tkapluk 921]

  В 27.07.2018 в 18:33, Dimkers сказав:

Если с внутрисетки все ок, то при чем тут фаервол?

Expand  

Винда из коробки даже пинги с внешних сетей может рубить. За РДП не в курсе, но предполагаю тоже самое... 

[Dimkers 1 614]

  В 27.07.2018 в 20:23, tkapluk сказав:

Винда из коробки даже пинги с внешних сетей может рубить.

Expand  

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке?

[tkapluk 921]

  В 27.07.2018 в 20:48, Dimkers сказав:

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке?

Expand  

При дестинейшн нате меняется только дестинейшн адрес, сорс адрес (внешний) остается неизменным, и сервер прекрасно видит что запросы идут из вне...

Смотри скрин лога: 

  В 27.07.2018 в 11:55, fokses сказав:

 

Вот результаты Tool -> Packet sniffering отфильтрованные по порту 3389:

Expand  

 

[Dimkers 1 614]

Вопрос не в том.

Сервак что, без инета сидит?

Шлюз то явно микрот, на котором все настройки делаются.

ЗЫ. Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

[argus78 114]

  В 28.07.2018 в 05:32, Dimkers сказав:

Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

Expand  

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

[fokses 0]

  В 27.07.2018 в 15:12, Dimkers сказав:

Попробуй нетмап вместо дстнат.

Expand  

Не помогает

 

  В 27.07.2018 в 16:31, tkapluk сказав:

По дестинейшину? Если да отфильтруй еще по сорс порту. 

Если пакетов нет значит не отвечает сервер... Микрот у сервера шлюзом выступает? Фаервол? 

На сервере пакеты можно посмотреть Wireshark.

Expand  

Там фильтр просто по порту, без разделения на сорс и дестинейшн. Микрот выступает шлюзом. Фаервол отключил вообще.

WireShark вот:

 

  В 28.07.2018 в 08:08, argus78 сказав:

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

Expand  

 

Блин. Реально начинаю подозревать что сервер рубит соединение

Відредаговано 2018-07-28 09:51:05 fokses

[Dimkers 1 614]

Снимайте снифером что влетает на сервак. И что вылетает.

[fokses 0]

Похоже на то что пакеты на сервер приходят:

 

Вот любопытная вещь. Внешний роутер (172.16.1.1) из винбокса пингуется без проблем. А с сервера не пингуется. Т. е. если я правильно понимаю, ответы сервера в принципе не могут достичь получателя.

[fokses 0]

Друзья, всем спасибо

 

Похоже что проблема найдена и она не в настройках Микротика. В ходе нашего общения появилась мысль, что по какой то причине route в сервере прописан не верно.

 

После этой команды на Win Server все заработало:

route add 172.16.1.0 MASK 255.255.255.0 172.16.2.1

Получается что Микротик все это время отрабатывал исправно ?. А вот сервер из-за отсутствия роута ответить на RDP-подключение не мог. Вот такая вот петрушка.

[Dimkers 1 614]

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

[fokses 0]

  В 28.07.2018 в 19:21, Dimkers сказав:

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

Expand  

 

Шлюз присутствует.

Интернет работает.

 

Вот вывод команды route print. Тут маршрут я еще не добавлял, поэтому 172.16.1.1 не пингуется:

 

А вот здесь я добавил маршрут (не статический):

 

И вот теперь все заработало. Пингуется внешний роутер. Начинает работать RDP из внешней сети потому что сервак теперь знает по какому роуту посылать ответ. Не совсем понятно почему дефолтные маршруты не верны. Надо попробовать присвоить серверу IP по DHCP для эксперимента. 

Відредаговано 2018-07-29 16:07:49 fokses

[Dimkers 1 614]

Я вас поздравляю. Вы лоханулись с маской

add address=172.16.2.1/24 interface=bridge-local network=172.16.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.2.0/24 dns-server=8.8.8.8 gateway=172.16.2.1

 

/24 это 255.255.255.0

Ваш сервак тупо шлюз не юзал а искал клиента внутри сети

По дхцп все взлетит можете приклеить мак к ипу в настройках дхцп сервера в микроте.

Відредаговано 2018-07-29 16:48:15 Dimkers

[mace 16]

Проброс порта 3389 для использования RDP ставит под удар сохранность данных на удалённом компьютере: к нему будут постоянно ломиться из мира, брудфорсить и т.д.. При слабой организации защиты на компьютере его взломают.  

 

Более безопасно подключаться к Микротик через VPN и заходить на компьютер уже по локальному IP. Таким образом вы закрываете компьютер от прямого доступа из мира и работаете с ним по защищённому каналу.

 

P.S. При выборе типа ВПН рекомендую обратить внимание на OpenVPN и SSTP, которые умеют работать по 443 порту (https), т.к. за границей часто блокируют VPN, и находясь где-то на отдыхе в арабских странах или Европе, не сможете подключиться к своему Микротику.

P.P.S Не забывайте убирать галочку в настройках VPN, чтобы инет не шел через Микротик при подключении к нему.

 

Відредаговано 2018-07-30 13:49:57 mace

[loki 86]

 server listens on TCP port 3389

 and UDP port 3389

Прокидывайте tcp и udp порты симетрично.

 

 

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=tcp to-addresses=172.16.1.111 to-ports=3389

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=udp to-addresses=172.16.1.111 to-ports=3389

 

Відредаговано 2018-07-30 01:52:23 loki

[Paveldz 0]

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів. Фільтри всі вимкнув. В NAT додав тільки один рядок. По ідеї він мав би перенаправляти з зовнішньої ip на 192.168.1.111 через порт 443. Раніше на звичайних роутерах робив вже таку річ і навіть на цьому роутері один раз вже був налаштував але відбувся якийсь збій і я заново все налаштовую. В роутері всі параметри на дефаулті.

[tkapluk 921]

  В 23.10.2018 в 18:42, Paveldz сказав:

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів.

Expand  

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

[max_m 92]

  В 23.10.2018 в 18:42, Paveldz сказав:

Підкажіть будь ласка чайнику як налаштувати проброс портів

Expand  

https://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/

[Paveldz 0]

  В 23.10.2018 в 20:17, tkapluk сказав:

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

Expand  

Попробував. Без результату.

  В 23.10.2018 в 21:50, max_m сказав:

https://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/

Expand  

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

[max_m 92]

  В 24.10.2018 в 07:58, Paveldz сказав:

Попробував. Без результату.

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

Expand  

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ？

Відредаговано 2018-10-24 08:32:01 max_m

[Paveldz 0]

  В 24.10.2018 в 08:29, max_m сказав:

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ？

Expand  

 

Замінив. Не спрацювало. На Ип 192.168.1.111 знаходиться веб інтерфейс який працює через порт 443, він ніби відкритий.

[tkapluk 921]

  В 24.10.2018 в 07:58, Paveldz сказав:

Попробував. Без результату.

Expand  

Тогда смотри пакет снифером куда что куда идет. 

[max_m 92]

  В 24.10.2018 в 09:00, tkapluk сказав:

Тогда смотри пакет снифером куда что куда идет. 

Expand  

+

[tkapluk 921]

  В 24.10.2018 в 10:10, max_m сказав:

+

Expand  

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

[max_m 92]

  В 24.10.2018 в 11:00, tkapluk сказав:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

Expand  

Не знаю обычно все работает как надо, тут либо где то затуп дальше (по тому как правило написано после корректеровок правильно должно быть) либо действительно бага версии. 

[tkapluk 921]

  В 24.10.2018 в 11:00, tkapluk сказав:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

Expand  

вспомнил один момент, заворачивал весь трафик кроме трафика с мобильного Киевстара 

Ради интереса перепробовали кучу проводных провайдеров, всех моблищиков, ВЕЗДЕ кроме Киевстара было глухо. ?