Problém Winbox a MK

[bkrajcik]

Zdravím,

Mám od môjho poskytovateľa zariadenie Mikrotik RBSXT-5nDr2. Za týmto zariadením mám moje zariadenie Mikrotik RB2011. Na Mikrotik od poskytovateľa mi ide verejná adresa, ktorú mi poslal na IP adresu 192.168.100.250. IP brána (Mikrotik RBSXT-5nDr2) je 192.168.100.252. Takže kábel od poskytovateľa mi ide do mojej RB2011 do portu eth1-WAN. Všetko smerovanie som si ponastavoval ako na Server, tak aj na kamery, všetko beží v poriadku. Avšak problém mi nastal keď som sa potreboval dostať cez Winbox na môj Mikrotik. Nakoľko poskytovateľ si nechal port 8291 pre seba, tak som si v mojom Mikrotiku prestavil cez IP Services na port 8290. Avšak zvonku keď zadám moju verejnú IP adresu :8290, sa nedostanem na môj Mikrotik. Keď dám iba verejnú adresu tak sa dostanem na Mikrotik poskytovateľa. Netreba niečo ešte nastaviť prípadne čo mi blokuje prístup zvonku na môj Mikrotik? Ďakujem za odpoveď.

[ludvik]

Otravuj poskytovatele, že chceš všechny porty ... Pokud ti nedal ani třeba 80 a 443, tak je to dost škoda.

Jestli jde změnit port pomocí IP/Services netuším. Možná v tom mají mikrotici chybu. Ale můžeš použít REDIRECT target v NAT. Tím si to přehodíš sám z libovolného portu.

[bkrajcik]

443 a 80 nemám blokované... Iba port Winboxu. Netreba nejako nastaviť v mojom MK aby to išlo? Niečo povoliť alebo tak? To tu nikto nevie poradiť ohľadom takejto veci? Nikto sa s tým nestretol?

[aliney]

odpoved tu zname, ale jestli ocekavas 30 odpovedi za hodinu, tak si trochu mimo, navic Ludvik ti dal spravnou odpoved.

[CrazyApe]

Zacal bych tim, ze pokud na SXT mas verejnou ip a rozdava dhcp a pak tam mas nejakou 2011 vevnitrni podsiti tak je dost pochopitelne ze se na ni normalne nedostanes. Je ve vntrni sit a ver. ip ma SXT. Tudiz musis udelat portforward a nebo rozfungovat CAPSMAN aby ses dostal na to druhe zarizeni z toho prvniho... Idealni by bylo kdybys mel verejnou na te 2011 na kterou potrebuje pristup na jeho WANu a to sxt mel pouze jako bridge s nejakou neverenou adresou od providera.

[bkrajcik]

Zacal bych tim, ze pokud na SXT mas verejnou ip a rozdava dhcp a pak tam mas nejakou 2011 vevnitrni podsiti tak je dost pochopitelne ze se na ni normalne nedostanes. Je ve vntrni sit a ver. ip ma SXT. Tudiz musis udelat portforward a nebo rozfungovat CAPSMAN aby ses dostal na to druhe zarizeni z toho prvniho... Idealni by bylo kdybys mel verejnou na te 2011 na kterou potrebuje pristup na jeho WANu a to sxt mel pouze jako bridge s nejakou neverenou adresou od providera.

No áno. Ten SXT má nastavené DHCP, rozdáva adresy, ale provider mi pustil všetky porty na IP adresu: 192.168.100.250, ktorú mám nastavenú na WAN-e v 2011-tke na pevno. Všetky porty mi pekne bežia okrem tejto 8291. Provider mi poradil že nech v IP Services si prehodím port 8291 na port 8290. Spravil som. Z lokálu nemám problém. Pekne sa cez port 8290 spojím s RB2011. Ale z vonku keď vo winboxe zadám verejnú IP:8290 tak sa nenalogujem na RB2011. Preto sa tu pýtam, či nie je chyba v nastavení prípadne nejaký firewall mi neblokuje tento port v mojej RB2011. Dúfam, že je to tu už presnejšie popísané. A ak mi viete rady, tak trošku polopatistickejšie, sme predsa ľudia... Nebudeme si tu dokazovať, kto je hlúpejší a kto toho vie menej a kto viac. Poznamenávam, že tento problém som tu nevedel nájsť a nevidel som, že by bol riešený.

[Rosak]

Vždyť jsem si to teď napsal správně sám - "..či nie je chyba v nastavení prípadne nejaký firewall mi neblokuje tento port v mojej RB2011..". Jelikož jste neuvedl žádná použitá pravidla Vašeho firewallu, jenom bychom hádali. Pak se ještě v "IP/Services", kde jste měnil port pro komunikaci WinBoxu podívejte, jestli máte v seznamu "povolených" přístup z požadovaných veřejných adres.

[ludvik]

Potom je bohužel odpověď: ano.

Preto sa tu pýtam, či nie je chyba v nastavení prípadne nejaký firewall mi neblokuje tento port v mojej RB2011.

Sorry, ale pokud neznáme tvoji konfiguraci, tak ti prostě nemůžeme poradit. Proč mi nejezdí automobil? Poraď.

Zkus si třeba funkcí torch, nebo lépe packet sniffer zjistit, zda ti alespoň ty pakety přijdou správně. Pokud ano, tak si to prostě někde blokuješ. Pokud ne, tak je blokuje někdo po cestě.

A jen tak mimochodem jsi se napoprvé zapomenul zmínit, že změna portu v IP/Service funguje. To je docela důležitá informace. Stejně jako znalost tvé konfigurace ...

[bkrajcik]

Môj Mikrotik, je nastavený v Quick Setup-e ako Home Router. Čiže akoby bol v základnom nastavení, je tam spustené DHCP-čko, port forward na server a kamery, a nič viac. Ja som myslel, že ako odborníci ste sa s takýmto niečím stretli. A v tom že Vám nejde auto, to ste sa mi zrovna trafili na strunu. To by som Vám vedel poradiť, stačí mi krátky popis, čo je to za auto aký rok, koľko má nebahané, a stručný popis závady, a viem čo tomu autu chýba. Ja som myslel že proste len odškrknem prípadne pridám do nejakej tabuľky nejaké povolenie aby mi to išlo z vonku cez WAN port do Mikrotiku a aby ten Winbox vedel nájsť cestičku do tohto môjho Routeru krásneho. A v IP Services je povolené zo všetkých adries prístup, to áno...

[ludvik]

Popis závady: nejede to. Chybí mi tam něco? Benzín jsem bral u Shell.

Co vysmolí quick-setup za pravidla netuším. Nepoužívám.
A ano, píše se to do tabulky IP/Firewall/NAT. Chain dst-nat, vyplníš na co to má reagovat (tedy minimálně dst-ip a dst-port) a pak dáš action REDIRECT a napíšeš port kam to má přesměrovat.

Průšvih je, že se hrabeš v něčem, čemu nerozumíš a na co neexistují návody polopatě. Jsi na fóru ISP (internet service provider). Málokdo umí radit laikům ... I kdybys mi s autem nakrásně poradil, tak já si ho rozhodně neopravím i kdyby byl ten návod sebelepší.

[Kysa]

Ve firewalu budeš mít pravidlo chain input drop. Skus ho zakázat, nebo změnit na accept. Ale jenom na zkoušku. Pokud to pomůže, naklikej si povolení toho portu na správným eth a pravidlo dej před to zakazující.

[bkrajcik]

Ve firewalu budeš mít pravidlo chain input drop. Skus ho zakázat, nebo změnit na accept. Ale jenom na zkoušku. Pokud to pomůže, naklikej si povolení toho portu na správným eth a pravidlo dej před to zakazující.

Ďakujem pekne !!!!

Presne toto bol problém a dokonca mi nevedeli ani provideri poradiť hoci s Mikrotikom pracujú... Viď náhľad.... Zakázal som Drop a fičí mi to !!!! Je to však bezpečné?

[Kysa]

Přečti si ještě jednou co jsem napsal. Přidej nové pravidlo pro input a drop zase povol. Víceméně ti stačí zkopírovat to pravidlo s DROP, DST port dej 8290 tcp a action nastav na accept. Pravidlo posuň nad ten drop a je to. Povolí se pouze nastavený port a ostatní budou zase zakázaný

[ludvik]

To víš. Páni provideři jenom vybírají peníze, chrastí měšcem a kouří habanos ...

[Rosak]

2 bkrajcik: odpusťte mi mou prostořekost, ale Vy jste neskutečnej exot. Navážíte se tu do lidí, kteří Vám věnují čas a lámou z Vás pár podstatných informací jen proto, aby Vám mohli poradit. Přitom jste jediné kloudné vodítko k tomu, co v MK máte špatně napsal až tím "Môj Mikrotik, je nastavený v Quick Setup-e ako Home Router". V tomto nastavení firewallu se v základu nepočítá s přístupem zvenku a je potřeba si všechno doplnit podle svých potřeb. Do té doby byl celý Váš popis na "křišťálovou kouli".