Mikrotik - Проблем за начинаещ с връзката

[gyx4ee]

Здравейте, от скоро разполагам с MIKROTIK RB960PGS, 5 X 10/100/1000, POE v 6.42.7.

Всичко по инсталацията и конфигурацията премина добре рутера си е супер, но тъй като съм начинаещ с микротик имам няколко проблема.

Става дума за една стара игра CS която искам да подкарам и потребители да могат да се насладят на нещо олд скул, но пък забавно.

Да преминем към самите проблеми, дано можете да ми помогнете, ще се опитам да опишя всичко.

Първия ми проблем дойде с port forwarding-га. След доста четене в интернет намерих как да отварям портове, но не всички който отворя, след сканиране са отворени..., но пък има достъп до тях.

До тък съм готов или поне се надявам, че всичко е добре. Потребителите влизат играят без никак проблем.

Проблем номер две:

Когато потребител влезе в дадения сървър, адреса с който влиза е 192.168.11.1(адреса на машината която хоства е 192.168.11.199 на windows server 2008 rs2). Не знам как да направя така,че да може да ресолва правилно адресите на потребителите.

Третия ми проблем е когато искам да направя връзка към външен mysql сървър. Просто казва  [AMXBans] Message: Can't connect to
MySQL server on '******.***.bg' (10060) (2003) (п.п. пробвах и с ИП адреса на сървъра)

Изпробвах през TP-Link и този проблем там го няма.

Благодаря предварително, ако можете да ми помогнете.

 

[Самуил Арсов]

1. Самият термин port forwarding (препращане на портове) трябва да ви говори какво всъщност се случва във вашия рутер. Рутера ви не "отваря" и не "затваря" никакви портове, той просто ги препраща (пренасочва е другия термин който също се изпозва) без въобще да знае какви пакети минават през съответното правило. "Отварянето" или приетия термин слушането на порт на определена услуга се извършва от самият хост, във вашия случай операционната система Windows. Port Forwarding или препращане на пакети се извършва и в двете посоки WAN/LAN - LAN/WAN със двата протокола TCP/UDP с номера на портове от 1 до 65000, като рутера само препраща пакети без да знае дали вие не сте пуснали FTP сървър на порт 80 например което стандартно е порт за HTTP услуга.

2. Когато препращате порт с DSTNAT от WAN към LAN съвсем нормално пращайки пакет към публичния ви IP адрес XX.XX.XX.XX той да стигне до 192.168.XX.XX където е самата услуга. Върнете се н точка 1. рутера препраща адресиран трафик към публичния ви адрес и порт към локален (вътрешен такъв). Ако искате това да не се случва, трябва да имате повече публични адреси. Термина resolve се използва когато определено име на домейн се асоциира към даден IP адрес, ващият случай няма общо с това.

3. При SRCNAT (source NAT) когате сте в локалната мрежа зад него, виждате публичния IP адрес на WAN порта вдигнат на рутера без проблем, но не можете да достъпвате услуги с DNSTNAT, това е така защото се намирате в същата мрежа на услугата. Вие достъпвате услугата през DNSTNAT но сървъра ви отговаря локално, съответно връзката се чупи. Това в TP-link не се случва защото има конфигуриран по подразбиране HAIRPIN-NAT, допълнителни правила във Firewall които "принуждава" сървъра да ви отговри през правило на рутера. Имайте предвид, че TP-Link и RouterOS ползват Линукс кърнъл с вграден NETFILTER тоест под WEB интерфейса на TP-Link и под WINBOX/WEBFIG на RouterOS има един и същи софтуер но с различни интерфейса за конфигурация. В RouterOS HAIRPIN NAT се прави лесно, макар и да нямате нужда от него, просто сканирайте портовете само от Интернет а не от същата мрежа в която се намира услугата ви.

[gyx4ee]

Добре, до тук супер. Благодаря много за разясняването. Идеята ми беше просто да ме насочите от къде да започна.. или някой с повече опит да ми покаже стъпките ... 

За грешната терминология се извинявам, но аз така я разбирам... Човек се учи докато е жив.

 

Ако някой може да помогне ще бъда много благодарен

[JohnTRIVOLTA]

Първо може да минеш с две правила в нат съответно за TCP и UDP, като е хубаво да се укаже входящия интерфейс"

ip fi n add chain=dstnat in-interface=ether1 protocol=tcp dst-port=27015-27020 action=dst-nat to-addresses=10.10.10.10
ip fi n add chain=dstnat in-interface=ether1 protocol=udp dst-port=27015-27020 action=dst-nat to-addresses=10.10.10.10

За другия проблем ви казаха по-горе за добавяне на правило в нат за HAIRPIN NAT, във вашия случай:

ip fi n add chain=srcnat src-address=192.168.11.0/24 dst-address=192.168.11.199 action=src-nat to-addresses=192.168.11.1 place-before=0

 

[gyx4ee]

Здравейте, добавих тези правила в НАТ. След което на машините който са в локалната мрежа достъпа до сървърите беше прекъснат. Изпробвах през друг интернет доставчик, там всичко е добре. Добавих и правило в нат за HAIRPIN NAT, но уви проблема си е все още на лице всички потребители влизат с един и същ ИП-адрес.

Прилагам /ip fi n export за да кажете дали правя нещата правилно.

/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.11.199 src-address=192.168.11.0/24 to-addresses=\
    192.168.11.1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log=yes \
    out-interface-list=all
add action=dst-nat chain=dstnat dst-port=8111 protocol=tcp to-addresses=10.1.0.100 to-ports=8111
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.11.199 to-ports=27015-27020
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=udp to-addresses=\
    192.168.11.199 to-ports=27015-27020

Експорт на firewall

> /ip fi export
# feb/06/2023 10:38:46 by RouterOS 6.42.7
#
#
# 
# 
/ip firewall address-list
add address=180.106.120.179 list=Scam1
/ip firewall filter
add action=drop chain=forward in-interface=ether1 src-address-list=Scam
/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.11.199 src-address=192.168.11.0/24 to-addresses=\
    192.168.11.1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log=yes \
    out-interface-list=all
add action=dst-nat chain=dstnat dst-port=8111 protocol=tcp to-addresses=10.1.0.100 to-ports=8111
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.11.199 to-ports=27015-27020
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=udp to-addresses=\
    192.168.11.199 to-ports=27015-27020

 

[JohnTRIVOLTA]

Променте това правило с изходящия интерфейс лист който е за WAN, а ако го нямате го създайте и добавете интерфейса за WAN към него!

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log=yes  out-interface-list=WAN

[gyx4ee]

Благодаря Ви много!

Всичко се получи, няма да ви тормозя за връзката към mysql, ще чета и ще изпробвам.

Лек и хубав ден.

[JohnTRIVOLTA]

преди 6 минути, gyx4ee написа:

Благодаря Ви много!

Всичко се получи, няма да ви тормозя за връзката към mysql, ще чета и ще изпробвам.

Лек и хубав ден.

Моля, заповядайте пак, подобно!

[gyx4ee]

 

Здравейте отново.

След доста четене и ровене в нет-а, каквото и да пробвам винаги не се получава.

Става дума за последния ми проблем с mysql връзката.

Премахвах Firewall правила, добавях нови, но уви ефект никакъв.

Проблема продължава да си е на лице. Всичко друго си работи супер(благодарение на вас), но тази връзка не желае да се свърже.

Звънях до хостинг компанията да питам дали се регистрира някаква канекция от ИП адреса не уви нищо. 

Става дума за връзка към mysql сърър.

П.П. Изпобвах от дома си и там няма проблеми.

Ще приложа експорта да видите до къде съм стигнал

> /ip fi export
# feb/08/2023 15:56:25 by RouterOS 6.42.7
# software id = 2DWB-LMI1
#
# model = 960PGS
# serial number = AD8A09DCF54E
/ip firewall address-list
add address=180.106.120.179 list=Scam1
add address=103.147.145.10 list=scam2
add address=103.147.145.0/24 list=scam3
/ip firewall filter
add action=accept chain=output connection-type="Allow MySQL traffic" dst-port=3306 log=yes protocol=tcp
add action=accept chain=input connection-type="Allow MySQL traffic" dst-port=3306 log=yes protocol=tcp
add action=accept chain=input comment="Allow incoming traffic to AMXBans" dst-address=78.128.76.161 dst-port=\
    80 protocol=tcp
add action=accept chain=output comment="Allow outgoing traffic to AMXBans" dst-address=78.128.76.161 \
    dst-port=80 protocol=tcp
add action=drop chain=forward in-interface=ether1 src-address-list=Scam
add action=drop chain=forward in-interface=ether1 src-address-list=scam2
add action=drop chain=forward in-interface=ether1 src-address-list=scam3
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes dst-port=3306 protocol=tcp src-address=192.168.11.0/24
add action=src-nat chain=srcnat disabled=yes dst-address=109.104.202.5 dst-port=3306 protocol=tcp \
    src-address=192.168.11.0/24 to-addresses=109.104.202.5
add action=src-nat chain=srcnat comment="IP " dst-address=192.168.11.199 src-address=192.168.11.0/24 \
    to-addresses=192.168.11.1
add action=dst-nat chain=dstnat dst-port=8111 protocol=tcp to-addresses=10.1.0.100 to-ports=8111
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.11.199 to-ports=27015-27020
add action=dst-nat chain=dstnat dst-port=27015-27020 in-interface=ether1 protocol=udp to-addresses=\
    192.168.11.199 to-ports=27015-27020
add action=src-nat chain=srcnat disabled=yes dst-address=78.128.76.161 dst-port=3306 protocol=udp \
    src-address=192.168.11.0/24 to-addresses=109.104.202.5
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log=yes \
    out-interface-list=WAN
add action=accept chain=srcnat

Направих и един Tracing route

Tracing route to tervel.ns1.bg [78.128.76.161]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.11.1
  2    <1 ms    <1 ms    <1 ms  192.168.14.1
  3     *        *        *     Request timed out.
  4    <1 ms    <1 ms    <1 ms  192.168.222.66
  5     *        *        *     Request timed out.
  6    10 ms    10 ms    15 ms  94.72.149.26
  7    10 ms    10 ms    10 ms  telehouse-telepoint2.peer.telehouse.bg [178.132.
84.145]
  8    10 ms    10 ms    10 ms  79.124.14.77
  9    10 ms    10 ms    10 ms  tervel.ns1.bg [78.128.76.161]

Trace complete.

Информацията от netstat -a 

192.168.11.199:3389    10.1.0.99:57008        ESTABLISHED
192.168.11.199:49464   relay-82295404:https   ESTABLISHED
192.168.11.199:49497   tervel:3306            SYN_SENT

[Самуил Арсов]

Пет пъти прочетох поста и не разбрах къде всъщност се намира mysql сървъра, в Интернет или зад рутера ? Тези правила са лишени от всякакъв смисъл и логика. Съвет от мен: - Опитай се, да задаваш, правилно, кратко и ясно въпросите си, защото предполагам това очакваш: -ясен и кратък отговор. Ако премахнеш от речника се "четене", "ровене", "винаги не се получава", "ефект никакъв" и подобни, този който те чете ще му е много по лесно.

Та в общи линии веригите INPUT/OUTPUT се отнасят за пакети в посока към и от самия рутер на който ти нямаш услуга mysql. Маскираш с Masquerade порт 3306 към Интернет което е така или иначе е направено с едно глобално правило. Описал си udp port 3306 който mysql не ползва а в правилата подобни за Hairpin-NAT изгубих пътя на пакетите въобще.

Можеш ли  с едно две изречение да обясниш какво всъщност искаш да направиш ?

[gyx4ee]

Имам машина на която съм инсталирал Windows Server, там хоствам,  half life dedicated server CS. Имам добавка amxbans, която се свързва към външен mysql сървър. На машината няма инсталиран mysql сървър. Тази връзка към хостинга където е mysql сървъра,не мога да направя.

[Самуил Арсов]

Преди 3 часа, gyx4ee написа:

Имам машина на която съм инсталирал Windows Server, там хоствам,  half life dedicated server CS. Имам добавка amxbans, която се свързва към външен mysql сървър. На машината няма инсталиран mysql сървър. Тази връзка към хостинга където е mysql сървъра,не мога да направя.

Добре, ако mysql сървъра е в Интернет какви правила тогава трябва да добавяш в рутера ? Глобалното правило NAT (което го имаш по подразбиране) маскира всички връзки от локалната ти мрежа към Интернет. По скоро погледни конфигурацията на mysql.

[gyx4ee]

Конфигурационният файл е 100% верен. Катото взема файла и го поставя на домашният компютър, всичко работи нормално. Затова попитах дали е възможно самият Mikrotik, да блокира връзката. Изпробвах и с тези правила за да проверя дали нещо ще се промени просто.

Редактирано 9 Февруари, 2023 от gyx4ee

[111111]

А логовете четеш ли?

[gyx4ee]

Ами сега поргледнах. не знам дали е точно това, но имам следният резултат.

srcnat: in:(unknown 0) out:ether1, src-mac 90:1b:0e:89:41:53, proto TCP (SYN), 192.168.11.199:49502->78.128.76.161:3306, len 52

srcnat: in:(unknown 0) out:ether1, src-mac 90:1b:0e:89:41:53, proto TCP (SYN), 192.168.11.199:49502->78.128.76.161:3306, len 48

 

[111111]

Не само рутера има логове.