Перейти до

Не работаєт проброс порта RDP через Mikrotik


Рекомендованные сообщения

1 час назад, Dimkers сказал:

Если с внутрисетки все ок, то при чем тут фаервол?

Винда из коробки даже пинги с внешних сетей может рубить. За РДП не в курсе, но предполагаю тоже самое... 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 81
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Проброс порта 3389 для использования RDP ставит под удар сохранность данных на удалённом компьютере: к нему будут постоянно ломиться из мира, брудфорсить и т.д.. При слабой организации защиты на компь

Каунтеры на  правиле проброса меняются? Посмотри пакет снифером или в обе стороны пакеты идут, и вообще куда идут... 

айпишки экономят. 

Posted Images

24 минуты назад, tkapluk сказал:

Винда из коробки даже пинги с внешних сетей может рубить.

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке? :)

Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Dimkers сказал:

Роутер и сервак в одной сети. Как сервак при нате будет знать о внешке? :)

При дестинейшн нате меняется только дестинейшн адрес, сорс адрес (внешний) остается неизменным, и сервер прекрасно видит что запросы идут из вне...

Смотри скрин лога: 

8 часов назад, fokses сказал:

 

Вот результаты Tool -> Packet sniffering отфильтрованные по порту 3389:

0c7069d17bcd.png

 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Вопрос не в том.

Сервак что, без инета сидит?

Шлюз то явно микрот, на котором все настройки делаются.

ЗЫ. Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Dimkers сказал:

Я ни разу не встречал чтоб винда резала внешку по дефолту. Особенно их же РДП.

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, Dimkers сказал:

Попробуй нетмап вместо дстнат.

Не помогает

 

17 часов назад, tkapluk сказал:

По дестинейшину? Если да отфильтруй еще по сорс порту. 

Если пакетов нет значит не отвечает сервер... Микрот у сервера шлюзом выступает? Фаервол? 

На сервере пакеты можно посмотреть Wireshark.

Там фильтр просто по порту, без разделения на сорс и дестинейшн. Микрот выступает шлюзом. Фаервол отключил вообще.

9ea9ae822876.png

WireShark вот:

21f3306fea5e.png

 

1 час назад, argus78 сказал:

вроде 2012 таким страдает. отвечает только тем кто в ее подсети. Попробуйте отрубить брандмауэр на РДП серваке

 

Блин. Реально начинаю подозревать что сервер рубит соединение

Відредаговано fokses
Ссылка на сообщение
Поделиться на других сайтах

Похоже на то что пакеты на сервер приходят:

0abe2779ac3b.png

 

Вот любопытная вещь. Внешний роутер (172.16.1.1) из винбокса пингуется без проблем. А с сервера не пингуется. Т. е. если я правильно понимаю, ответы сервера в принципе не могут достичь получателя.

c0b665a1a88f.png

1e8bf2f4d025.png

Ссылка на сообщение
Поделиться на других сайтах

Друзья, всем спасибо

 

Похоже что проблема найдена и она не в настройках Микротика. В ходе нашего общения появилась мысль, что по какой то причине route в сервере прописан не верно.

 

После этой команды на Win Server все заработало:

route add 172.16.1.0 MASK 255.255.255.0 172.16.2.1

Получается что Микротик все это время отрабатывал исправно ?. А вот сервер из-за отсутствия роута ответить на RDP-подключение не мог. Вот такая вот петрушка.

Ссылка на сообщение
Поделиться на других сайтах

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

Ссылка на сообщение
Поделиться на других сайтах
20 часов назад, Dimkers сказал:

Хм... А шлюз что в настройках отсутствует и дефолта нет? Как сервак с внешней то общался вообще? Инет на нем был?

 

Шлюз присутствует.

257b581da28d.png

Интернет работает.

 

Вот вывод команды route print. Тут маршрут я еще не добавлял, поэтому 172.16.1.1 не пингуется:

afc03b76e397.png

 

А вот здесь я добавил маршрут (не статический):

766958f27649.png

 

И вот теперь все заработало. Пингуется внешний роутер. Начинает работать RDP из внешней сети потому что сервак теперь знает по какому роуту посылать ответ. Не совсем понятно почему дефолтные маршруты не верны. Надо попробовать присвоить серверу IP по DHCP для эксперимента. 

Відредаговано fokses
Ссылка на сообщение
Поделиться на других сайтах

Я вас поздравляю. Вы лоханулись с маской

add address=172.16.2.1/24 interface=bridge-local network=172.16.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.2.0/24 dns-server=8.8.8.8 gateway=172.16.2.1

 

/24 это 255.255.255.0

:)

Ваш сервак тупо шлюз не юзал а искал клиента внутри сети :)

По дхцп все взлетит :) можете приклеить мак к ипу в настройках дхцп сервера в микроте.

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Проброс порта 3389 для использования RDP ставит под удар сохранность данных на удалённом компьютере: к нему будут постоянно ломиться из мира, брудфорсить и т.д.. При слабой организации защиты на компьютере его взломают.  

 

Более безопасно подключаться к Микротик через VPN и заходить на компьютер уже по локальному IP. Таким образом вы закрываете компьютер от прямого доступа из мира и работаете с ним по защищённому каналу.

 

P.S. При выборе типа ВПН рекомендую обратить внимание на OpenVPN и SSTP, которые умеют работать по 443 порту (https), т.к. за границей часто блокируют VPN, и находясь где-то на отдыхе в арабских странах или Европе, не сможете подключиться к своему Микротику.

P.P.S Не забывайте убирать галочку в настройках VPN, чтобы инет не шел через Микротик при подключении к нему.

 

Чтобы инет не шёл через VPN сервер.jpg

Відредаговано mace
  • Like 1
  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах

 server listens on TCP port 3389

 and UDP port 3389

Прокидывайте tcp и udp порты симетрично.

 

 

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=tcp to-addresses=172.16.1.111 to-ports=3389

add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=3333 in-interface=inetWAN protocol=udp to-addresses=172.16.1.111 to-ports=3389

 

Відредаговано loki
Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів. Фільтри всі вимкнув. В NAT додав тільки один рядок. По ідеї він мав би перенаправляти з зовнішньої ip на 192.168.1.111 через порт 443. Раніше на звичайних роутерах робив вже таку річ і навіть на цьому роутері один раз вже був налаштував але відбувся якийсь збій і я заново все налаштовую. В роутері всі параметри на дефаулті.

ww1.jpg

ww4.jpg

ww3.jpg

ww2.jpg

ww5.jpg

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Paveldz сказал:

Всім доброго вечора. Підкажіть будь ласка чайнику як налаштувати проброс портів.

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Paveldz сказал:

Підкажіть будь ласка чайнику як налаштувати проброс портів

https://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/

Ссылка на сообщение
Поделиться на других сайтах
11 часов назад, tkapluk сказал:

Попробуй указать конкретный интерфейс в In. interface и внешний адрес в Dst. Address

Попробував. Без результату.

10 часов назад, max_m сказал:

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

Ссылка на сообщение
Поделиться на других сайтах
32 минуты назад, Paveldz сказал:

Попробував. Без результату.

Я по цій інструкції вже не раз пройшовся. Мабуть в чомусь інша проблема.

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ?

Відредаговано max_m
Ссылка на сообщение
Поделиться на других сайтах
13 минут назад, max_m сказал:

Странно попробуй заменить д-нат в action на nmap или как оно там забыл хотя оно и так должно работать. Не забудь в general указать dst. adress у тебя судя по скрину это100.69.105.152

А на Ип 192.168.1.111 точно порт открыт ?

 

Замінив. Не спрацювало. На Ип 192.168.1.111 знаходиться веб інтерфейс який працює через порт 443, він ніби відкритий.

Ссылка на сообщение
Поделиться на других сайтах
46 минут назад, max_m сказал:

+

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

Ссылка на сообщение
Поделиться на других сайтах
50 минут назад, tkapluk сказал:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

Не знаю обычно все работает как надо, тут либо где то затуп дальше (по тому как правило написано после корректеровок правильно должно быть) либо действительно бага версии. 

Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, tkapluk сказал:

Был у меня экспонат который при пробросе порта  заворачивал сип трафик на 0 порт не зависимо от того, что стояло в To ports. Проблема решилась сама собой со следующим обновлением. ?☠️

вспомнил один момент, заворачивал весь трафик кроме трафика с мобильного Киевстара :blink:

Ради интереса перепробовали кучу проводных провайдеров, всех моблищиков, ВЕЗДЕ кроме Киевстара было глухо. ?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?

×
×
  • Створити нове...