Jump to content
  • 0

Mikrotik HAP AC Lite firewall problems


bogomilroussev

Question

Привет Колеги,

Наскоро си закупих Mikrotik HAP AC Lite

Машинката работеше безотказано около седмица. Бях си направил отделен DHCP сървър на ether3 Порт. Ползвам tikapp от телефона си предимно за следене на натоварването защото на въпросният сървър имам VMware esxi 6.5 с няколко виртуалки. В един прекрасен ден всичко просто спря - всякакви nat, firewall права спряха да работят, rdp до win vm машините спряха. Викам си какво толкова ще го нулирам и ще започна отначало. Така и направих.

Сега никакви nat правила не работят, втория dhcp server сработва но по някаква причина падат wifi client-те.

за та си направя нат правилата използвам този гайд. Сега съм сложиш само едно за порт 3389 да води до 192.168.1.34

https://wiki.mikrotik.com/wiki/Hairpin_NAT

използвах това видео като инструкция

Всичко си работеше но просто изведнъж спря. Разровичкаш се доста с winboxa  но рдп-то не тръгва и това е. Изпраща един syn пакет и до там.

По късно мога да постна логове защото сега не съм пред устроиството. Ще ви бъда благодарен за помощ.

Настроиките са както следва: 

ehter01: gateway vivacom

ether03: VMware ESXi

DHCP (defconf) 192.168.88.1

DHCP VMware ether03 - 192.168.1.1

 

 

ПП: Възможно ли е устроиството да е дефектно? Или по-скоро ползвателя му...

Edited by bogomilroussev
Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0
  • Administrator

Тоз харпин нат го отпиши, да въртиш едни пакети от глупост няма нужда.

Чист нат с описани портове е най-стабилното решение.

 

Kажи кое точно не работи с експорт на конфигурацията.

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
[clouded@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=dstnat action=dst-nat to-addresses=192.168.1.34 to-ports=3389
      protocol=tcp in-interface=Vivacom dst-port=3389 log=yes
      log-prefix="rdp_w7"

 1    chain=dstnat action=dst-nat to-addresses=192.168.1.33 to-ports=443
      protocol=tcp in-interface=Vivacom dst-port=443 log=no log-prefix=""

 2    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=Vivacom

Привет Колега, ето принта, за момента имам само две  правила за да се науча как работят нещата после ще реде другите.

Условието е такова:

192.168.1.34 -Win VM - да работи рдп

192.168.1.33 - искам да работи https за уеб менижмънт на vmware. Преди тези двете както съм ги постнал работеха. 

Сега не. Защо? Къде бъркам. Ще бъда благодарен за четива и съвети за да се науча.

Благодаря.

Link to comment
Share on other sites

  • 0
  • Administrator

Дай EXPORT на всичко в защитната стена

/ip firewall export

имаш правила във филтър

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Привет, ето го експорта. Обърнете внимание че 3389 и 22 съм ги забранил и пак не сработва:

 

/ip firewall filter
add action=accept chain=input dst-port=8291 log=yes log-prefix=winbox protocol=tcp
add action=accept chain=forward disabled=yes dst-port=3389 in-interface=Vivacom protocol=tcp
add action=accept chain=input dst-port=22 in-interface=Vivacom protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=Vivacom
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=Vivacom
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=Vivacom log=yes log-prefix=rdp_w7 protocol=tcp to-addresses=192.168.1.34 to-ports=3389
add action=dst-nat chain=dstnat dst-port=443 in-interface=Vivacom protocol=tcp to-addresses=192.168.1.33 to-ports=443
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=[cloud

 

Link to comment
Share on other sites

  • 0
  • Administrator

Входящите заявка са на входяща връзка "chain=input"

Всичко изглежда наред, сега не казвай че си вътре в лана и влизаш на машините с публично ип ;)

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Хмм. Ами влизам в уин машината с публично Ip да.

Току що се качих. Не знам как проработи. В лога нищо не пише освен че логва кънекциите. 

Как е правилният начин тогава?

Link to comment
Share on other sites

  • 0
  • Administrator

Когато си в лана си направи един DNS запис на ип адреса на машината и се закачай с него.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.