Не работаєт проброс порта RDP через Mikrotik

[AndriyLL 0]

Безмежно вдячний  корисувачу  NET-CREATOR 

все ок !!!

ІР була навішена не на брідж а на інтерфейс який входить в брідж.  Це було змінено і все запрацювало . 

Відредаговано 2017-04-13 12:16:37 AndriyLL

[BlackVS 35]

192.168.90.х То для його і є зовнішня ай пі . це внутрішня мережа підприємства , а той мікротик стоїть в окремому корпусі як і решта три  які успішно працюють , все через них прокидається без проблем. 

Чуть оффтопа - а зачем внутри предприятия делать NAT?

Больше головняка, чем пользы...

Разве что совсем дикий роутинг там %)

[fokses 0]

Подниму тему. Та же проблема. Замучился просто уже с ней. Решение ТС не помогает. IP у меня навешена на бридж. Все правила фаерволла отключены. При попытке подключения снаружи проходит минимальный трафик и все. Если подключится к вай-фай сети роутера - подключение по RDP проходит нормально.

 

conf.txt

[tkapluk 905]

1 час назад, fokses сказал:

При попытке подключения снаружи проходит минимальный трафик и все.

Каунтеры на  правиле проброса меняются? Посмотри пакет снифером или в обе стороны пакеты идут, и вообще куда идут... 

[BlackVS 35]

(deleted)

Відредаговано 2018-07-26 16:21:25 BlackVS

[Dimkers 1 598]

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1

А ипишник то хоть белый?

+ в фаере правило вверх подымите с пробросом.

Відредаговано 2018-07-26 16:21:48 Dimkers

[tkapluk 905]

1 минуту назад, Dimkers сказал:

А ипишник то хоть белый?

у меня дома провайдер даже если заказываешь белый адрес, один хрен выдает локальный и пробрасывает на него порты. Правда чего-то юдп не бегают, нужно в поддержку черкнуть.... 

[Dimkers 1 598]

так может пров делает нат 1:1

[tkapluk 905]

1 минуту назад, Dimkers сказал:

так может пров делает нат 1:1

Чего б тогда юдп не ходит? 

[Dimkers 1 598]

нууу, батенька. я не ваш пров Вдруг он адепт блокировки торрентчиков НАТ 1:1 вовсе не говорит о том, что других правил в табличке нет

[Туйон 1 253]

15 часов назад, Dimkers сказал:

так может пров делает нат 1:1

Кстати, нахуа?

[tkapluk 905]

2 минуты назад, Туйон сказал:

Кстати, нахуа?

айпишки экономят. 

[fokses 0]

17 часов назад, tkapluk сказал:

Каунтеры на  правиле проброса меняются?

Да. Каунтер меняется на 1. И всё

В логе:

 

17 часов назад, Dimkers сказал:

А ипишник то хоть белый?

Это подсеть (172.16.2.0/24) внутри "внешней" локальной сети (172.16.1.0/24). У микротика внешний адрес 172.16.1.91. Из внешней сети он пингуется без проблем.

17 часов назад, Dimkers сказал:

в фаере правило вверх подымите с пробросом.

Поменял. Изменений нет.

[tkapluk 905]

22 минуты назад, fokses сказал:

У микротика внешний адрес 172.16.1.91.

попробуй правило дестинейшн ната повесить на ип(172.16.1.91), а не на интерфейс. 

 

[Matou 83]

22 минуты назад, tkapluk сказал:

попробуй правило дестинейшн ната повесить на ип(172.16.1.91), а не на интерфейс.

 Оно то может и заработает, но только до следующей смены ip. Там ведь адреса по дхцп на wan выдаются.

Кстати, можно вообще убрать in-interface и попробовать.

Відредаговано 2018-07-27 10:23:55 Matou

[tkapluk 905]

4 минуты назад, Matou сказал:

 Оно то может и заработает, но только до следующей смены ip. Там ведь адреса по дхцп на wan выдаются.

Скорее всего на ДХЦП сервере адрес таки зарезервировали за микротом. Или юзера РДП адрес будут перебором подбирать?

[fokses 0]

2 часа назад, tkapluk сказал:

попробуй правило дестинейшн ната повесить на ип(172.16.1.91), а не на интерфейс. 

Не помогает. И если указать интерфейс + IP

 

1 час назад, tkapluk сказал:

Скорее всего на ДХЦП сервере адрес таки зарезервировали за микротом.

Да. Зарезервирован.

 

Вот результаты Tool -> Packet sniffering отфильтрованные по порту 3389:

 

Правильно ли я понимаю, что пакеты уходят нормально и проблема вообще не в Микротике ?

 

Вот еще странное для меня явление. Сервер подключен в Ethernet3. Если я пингую его адрес через ether3, пинги не проходят. Если же пингую через бридж - то все ок:

Відредаговано 2018-07-27 12:07:28 fokses

[Dimkers 1 598]

1) что за сорс порт 33032?

2) учите матчасть. У вас ипишник на бридже висит.

Відредаговано 2018-07-27 12:26:12 Dimkers

[fokses 0]

6 минут назад, Dimkers сказал:

1) что за сорс порт 33032?

По всей видимости, случайный порт выбранный клиентом RDP

7 минут назад, Dimkers сказал:

2) учите матчасть. У вас ипишник на бридже висит.

Я и не претендую на звание профи. Поэтому пишу в раздел "Для самых маленьких". Вы можете поподробнее расписать вот эту мысль? Да, на бридже. А где должен?

[Dimkers 1 598]

8 минут назад, fokses сказал:

По всей видимости, случайный порт выбранный клиентом RDP 

Если так, то как он пролезть должен через правило дропа?

8 минут назад, fokses сказал:

и не претендую на звание профи. Поэтому пишу в раздел "Для самых маленьких". Вы можете поподробнее расписать вот эту мысль? Да, на бридже. А где должен?

Должен там и быть. Но пинга на етн не будет, т.к. на них нет адреса. Тупо пусто. Для эксперимента повешацте адрес из той же подсети на етн и посмотрите что будет

[fokses 0]

1 час назад, Dimkers сказал:

Если так, то как он пролезть должен через правило дропа?

 

Все правила фаерволла выключены.

 

Ради интереса сбросил роутер. Сделал минимальные настройки Static IP 172.16.1.220. Ситуация в точности такая же. Проброс не работает.

conf2.txt

Відредаговано 2018-07-27 14:09:19 fokses

[Matou 83]

А посмотреть снаружи открыт ли порт 3389 есть возможность ?

[Dimkers 1 598]

Попробуй нетмап вместо дстнат.

[tkapluk 905]

4 часа назад, fokses сказал:

Вот результаты Tool -> Packet sniffering отфильтрованные по порту 3389:

По дестинейшину? Если да отфильтруй еще по сорс порту. 

Если пакетов нет значит не отвечает сервер... Микрот у сервера шлюзом выступает? Фаервол? 

На сервере пакеты можно посмотреть Wireshark.

[Dimkers 1 598]

2 часа назад, tkapluk сказал:

Если пакетов нет значит не отвечает сервер... Микрот у сервера шлюзом выступает? Фаервол?

Если с внутрисетки все ок, то при чем тут фаервол?