Проблем с достъпването на Samba през Микротик рутер

[dionisy]

Здравейте,

имам сървър на Ubuntu, на който е пусната Samba. Пред сървъра има Микротик. Пренасочил съм портове 111, 135-139 и 445 към вътрешния адрес на сървъра.  Но не мога да достъпя самбата от външна мрежа. Другите ми пренасочвания работят.  Къде може да е проблема?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111
 

 

 

[gbdesign]

Виж си първо Самбата, дали е конфигурирана да има достъп от външна мрежа. Изначало е лоша идея да се прави Нат до самба. По-правилно е да се достъпва през VPN.

[JohnTRIVOLTA]

Вероятно tcp 445 е блокирано от Ubuntu Server ! 445 udp пренасочихме ли и него?

Edited June 3, 2022 by JohnTRIVOLTA

[niki5]

Странно не ми е хрумвало за такава извратена идея .Както написаха трябва да работи и сигурно е виновен сървара и недопуска от външни мрежи да се достъпва. Винаги чист рутинг по добре ще се справи .Както казаха по добре е през VPN.

 

[dionisy]

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

[JohnTRIVOLTA]

Преди 1 час, dionisy написа:

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

[dionisy]

преди 51 минути, JohnTRIVOLTA написа:

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

[JohnTRIVOLTA]

Преди 6 часа, dionisy написа:

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Edited June 4, 2022 by JohnTRIVOLTA

[dionisy]

Преди 23 часа, JohnTRIVOLTA написа:

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Сървъра е с адрес 1.254 , но освен него има и други устройства.

[JohnTRIVOLTA]

преди 20 минути, dionisy написа:

Сървъра е с адрес 1.254 , но освен него има и други устройства.

Че тогава на кой рутер правите тези dnat правила ? Щом е в централната мрежа 192.168.1.0/24 то от всички други мрежи зад рутерите трябва да се достъпва ? Викате , че сте го отделили в друга мрежа понеже се налага, а същевременно не сте го отделили в друга? И какво общо имат други устройства в схемата?

[dionisy]

Ето я схемата

[JohnTRIVOLTA]

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111

 

Спри или махни червените правила и кажи как е положението !

Edited June 5, 2022 by JohnTRIVOLTA

[dionisy]

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

[JohnTRIVOLTA]

преди 12 минути, dionisy написа:

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

Не си казал от къде и как тестваш?!

[dionisy]

преди 37 минути, JohnTRIVOLTA написа:

Не си казал от къде и как тестваш?!

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

[JohnTRIVOLTA]

Преди 8 часа, dionisy написа:

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

И викаш не се отваря \\192.168.1.254 през file explorer ?