Не работаєт проброс порта RDP через Mikrotik

[tkapluk 925]

1 час назад, Dimkers сказал:

Если с внутрисетки все ок, то при чем тут фаервол?

Винда из коробки даже пинги с внешних сетей может рубить. За РДП не в курсе, но предполагаю тоже самое... 

[Dimkers 1 621]

24 минуты назад, tkapluk сказал:

Винда из коробки даже пинги с внешних сетей может рубить.

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке?

[tkapluk 925]

7 минут назад, Dimkers сказал:

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке?

При дестинейшн нате меняется только дестинейшн адрес, сорс адрес (внешний) остается неизменным, и сервер прекрасно видит что запросы идут из вне...

Смотри скрин лога: 

8 часов назад, fokses сказал:

 

Вот результаты Tool -> Packet sniffering отфильтрованные по порту 3389:

 

[Dimkers 1 621]

Вопрос не в том.

Сервак что, без инета сидит?

Шлюз то явно микрот, на котором все настройки делаются.

ЗЫ. Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

[argus78 114]

2 часа назад, Dimkers сказал:

Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

[fokses 0]

18 часов назад, Dimkers сказал:

Попробуй нетмап вместо дстнат.

Не помогает

 

17 часов назад, tkapluk сказал:

По дестинейшину? Если да отфильтруй еще по сорс порту. 

Если пакетов нет значит не отвечает сервер... Микрот у сервера шлюзом выступает? Фаервол? 

На сервере пакеты можно посмотреть Wireshark.

Там фильтр просто по порту, без разделения на сорс и дестинейшн. Микрот выступает шлюзом. Фаервол отключил вообще.

WireShark вот:

 

1 час назад, argus78 сказал:

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

 

Блин. Реально начинаю подозревать что сервер рубит соединение

Відредаговано 2018-07-28 09:51:05 fokses

[Dimkers 1 621]

Снимайте снифером что влетает на сервак. И что вылетает.

[fokses 0]

Похоже на то что пакеты на сервер приходят:

 

Вот любопытная вещь. Внешний роутер (172.16.1.1) из винбокса пингуется без проблем. А с сервера не пингуется. Т. е. если я правильно понимаю, ответы сервера в принципе не могут достичь получателя.

[fokses 0]

Друзья, всем спасибо

 

Похоже что проблема найдена и она не в настройках Микротика. В ходе нашего общения появилась мысль, что по какой то причине route в сервере прописан не верно.

 

После этой команды на Win Server все заработало:

route add 172.16.1.0 MASK 255.255.255.0 172.16.2.1

Получается что Микротик все это время отрабатывал исправно ?. А вот сервер из-за отсутствия роута ответить на RDP-подключение не мог. Вот такая вот петрушка.

[Dimkers 1 621]

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

[fokses 0]

20 часов назад, Dimkers сказал:

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

 

Шлюз присутствует.

Интернет работает.

 

Вот вывод команды route print. Тут маршрут я еще не добавлял, поэтому 172.16.1.1 не пингуется:

 

А вот здесь я добавил маршрут (не статический):

 

И вот теперь все заработало. Пингуется внешний роутер. Начинает работать RDP из внешней сети потому что сервак теперь знает по какому роуту посылать ответ. Не совсем понятно почему дефолтные маршруты не верны. Надо попробовать присвоить серверу IP по DHCP для эксперимента. 

Відредаговано 2018-07-29 16:07:49 fokses

[Dimkers 1 621]

Я вас поздравляю. Вы лоханулись с маской

add address=172.16.2.1/24 interface=bridge-local network=172.16.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.2.0/24 dns-server=8.8.8.8 gateway=172.16.2.1

 

/24 это 255.255.255.0

Ваш сервак тупо шлюз не юзал а искал клиента внутри сети

По дхцп все взлетит можете приклеить мак к ипу в настройках дхцп сервера в микроте.

Відредаговано 2018-07-29 16:48:15 Dimkers

[mace 16]

Проброс порта 3389 для использования RDP ставит под удар сохранность данных на удалённом компьютере: к нему будут постоянно ломиться из мира, брудфорсить и т.д.. При слабой организации защиты на компьютере его взломают.  

 

Более безопасно подключаться к Микротик через VPN и заходить на компьютер уже по локальному IP. Таким образом вы закрываете компьютер от прямого доступа из мира и работаете с ним по защищённому каналу.

 

P.S. При выборе типа ВПН рекомендую обратить внимание на OpenVPN и SSTP, которые умеют работать по 443 порту (https), т.к. за границей часто блокируют VPN, и находясь где-то на отдыхе в арабских странах или Европе, не сможете подключиться к своему Микротику.

P.P.S Не забывайте убирать галочку в настройках VPN, чтобы инет не шел через Микротик при подключении к нему.

 

Відредаговано 2018-07-30 13:49:57 mace

[loki 86]

 server listens on TCP port 3389

 and UDP port 3389

Прокидывайте tcp и udp порты симетрично.

 

 

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=tcp to-addresses=172.16.1.111 to-ports=3389

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=udp to-addresses=172.16.1.111 to-ports=3389

 

Відредаговано 2018-07-30 01:52:23 loki

[Paveldz 0]

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів. Фільтри всі вимкнув. В NAT додав тільки один рядок. По ідеї він мав би перенаправляти з зовнішньої ip на 192.168.1.111 через порт 443. Раніше на звичайних роутерах робив вже таку річ і навіть на цьому роутері один раз вже був налаштував але відбувся якийсь збій і я заново все налаштовую. В роутері всі параметри на дефаулті.

[tkapluk 925]

1 час назад, Paveldz сказал:

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів.

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

[max_m 92]

3 часа назад, Paveldz сказал:

Підкажіть будь ласка чайнику як налаштувати проброс портів

https://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/

[Paveldz 0]

11 часов назад, tkapluk сказал:

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

Попробував. Без результату.

10 часов назад, max_m сказал:

https://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

[max_m 92]

32 минуты назад, Paveldz сказал:

Попробував. Без результату.

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ？

Відредаговано 2018-10-24 08:32:01 max_m

[Paveldz 0]

13 минут назад, max_m сказал:

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ？

 

Замінив. Не спрацювало. На Ип 192.168.1.111 знаходиться веб інтерфейс який працює через порт 443, він ніби відкритий.

[tkapluk 925]

1 час назад, Paveldz сказал:

Попробував. Без результату.

Тогда смотри пакет снифером куда что куда идет. 

[max_m 92]

1 час назад, tkapluk сказал:

Тогда смотри пакет снифером куда что куда идет. 

+

[tkapluk 925]

46 минут назад, max_m сказал:

+

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

[max_m 92]

50 минут назад, tkapluk сказал:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

Не знаю обычно все работает как надо, тут либо где то затуп дальше (по тому как правило написано после корректеровок правильно должно быть) либо действительно бага версии. 

[tkapluk 925]

4 часа назад, tkapluk сказал:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

вспомнил один момент, заворачивал весь трафик кроме трафика с мобильного Киевстара 

Ради интереса перепробовали кучу проводных провайдеров, всех моблищиков, ВЕЗДЕ кроме Киевстара было глухо. ?