Mikrotik HAP AC Lite firewall problems

[bogomilroussev]

Привет Колеги,

Наскоро си закупих Mikrotik HAP AC Lite

Машинката работеше безотказано около седмица. Бях си направил отделен DHCP сървър на ether3 Порт. Ползвам tikapp от телефона си предимно за следене на натоварването защото на въпросният сървър имам VMware esxi 6.5 с няколко виртуалки. В един прекрасен ден всичко просто спря - всякакви nat, firewall права спряха да работят, rdp до win vm машините спряха. Викам си какво толкова ще го нулирам и ще започна отначало. Така и направих.

Сега никакви nat правила не работят, втория dhcp server сработва но по някаква причина падат wifi client-те.

за та си направя нат правилата използвам този гайд. Сега съм сложиш само едно за порт 3389 да води до 192.168.1.34

https://wiki.mikrotik.com/wiki/Hairpin_NAT

използвах това видео като инструкция

Всичко си работеше но просто изведнъж спря. Разровичкаш се доста с winboxa  но рдп-то не тръгва и това е. Изпраща един syn пакет и до там.

По късно мога да постна логове защото сега не съм пред устроиството. Ще ви бъда благодарен за помощ.

Настроиките са както следва: 

ehter01: gateway vivacom

ether03: VMware ESXi

DHCP (defconf) 192.168.88.1

DHCP VMware ether03 - 192.168.1.1

 

 

ПП: Възможно ли е устроиството да е дефектно? Или по-скоро ползвателя му...

Редактирано 17 Април, 2017 от bogomilroussev

[111111]

Тоз харпин нат го отпиши, да въртиш едни пакети от глупост няма нужда.

Чист нат с описани портове е най-стабилното решение.

 

Kажи кое точно не работи с експорт на конфигурацията.

 

[bogomilroussev]

[clouded@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=dstnat action=dst-nat to-addresses=192.168.1.34 to-ports=3389
      protocol=tcp in-interface=Vivacom dst-port=3389 log=yes
      log-prefix="rdp_w7"

 1    chain=dstnat action=dst-nat to-addresses=192.168.1.33 to-ports=443
      protocol=tcp in-interface=Vivacom dst-port=443 log=no log-prefix=""

 2    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=Vivacom

Привет Колега, ето принта, за момента имам само две  правила за да се науча как работят нещата после ще реде другите.

Условието е такова:

192.168.1.34 -Win VM - да работи рдп

192.168.1.33 - искам да работи https за уеб менижмънт на vmware. Преди тези двете както съм ги постнал работеха. 

Сега не. Защо? Къде бъркам. Ще бъда благодарен за четива и съвети за да се науча.

Благодаря.

[111111]

Дай EXPORT на всичко в защитната стена

/ip firewall export

имаш правила във филтър

[bogomilroussev]

Привет, ето го експорта. Обърнете внимание че 3389 и 22 съм ги забранил и пак не сработва:

 

/ip firewall filter
add action=accept chain=input dst-port=8291 log=yes log-prefix=winbox protocol=tcp
add action=accept chain=forward disabled=yes dst-port=3389 in-interface=Vivacom protocol=tcp
add action=accept chain=input dst-port=22 in-interface=Vivacom protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=Vivacom
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=Vivacom
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=Vivacom log=yes log-prefix=rdp_w7 protocol=tcp to-addresses=192.168.1.34 to-ports=3389
add action=dst-nat chain=dstnat dst-port=443 in-interface=Vivacom protocol=tcp to-addresses=192.168.1.33 to-ports=443
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=[cloud

 

[111111]

Входящите заявка са на входяща връзка "chain=input"

Всичко изглежда наред, сега не казвай че си вътре в лана и влизаш на машините с публично ип

[bogomilroussev]

Хмм. Ами влизам в уин машината с публично Ip да.

Току що се качих. Не знам как проработи. В лога нищо не пише освен че логва кънекциите. 

Как е правилният начин тогава?

[111111]

Когато си в лана си направи един DNS запис на ип адреса на машината и се закачай с него.