TightVNC - Firewall

[chemo]

Ahoj, mám menší problém s nastavení nejspíš Mikrotiku pro TightVNC.

Když jsem ve vnitřní síti a zadám IP adresu počítače, který chci vzdáleně ovládat + port, super mi to hned naskočí všechno, ale když to zkouším přes veřejnou IP, tak to nejde.

Pravidlo v mikrotiku mám nastaveno

Kód: Vybrat vše

32   ;;; TightVNC
     chain=dstnat action=dst-nat to-addresses=192.168.100.10 to-ports=
     protocol=tcp dst-address=verejna_IP dst-port=5900

33   ;;; TightVNC
     chain=dstnat action=dst-nat to-addresses=192.168.100.10 to-ports=
     protocol=udp dst-address=verejna_IP dst-port=5900

Když zadávám do TightVNC 192.168.100.10:5900 tak se hned připojím (z lokální sítě). Ale přes veřejnou IP to hází: Nemohlo být vytvořeno žádné připojení, protože cílový počítač je aktivně odmítl.

[jarda.jezek]

Asi je třeba ještě povolit port ve forwardu.

[chemo]

Viděl jsem na anglickém fóru, jak někdo tam hodil /ip firewall filter print, kde neměl žádné pravidlo na TightVNC, a /ip firewall nat> print - kde měl nastaveno právě stejně, jak to mám já :-/

Ještě maličkost, nemůžu pingnout adresu 192.168.100.10 z Mikrotiku, brání tomu Windows Firewall, jaký port je potřeba povolit na to? Z příkazového řádku ve Windows z jiné stanice pingnu normálně ale z Mikrotiku ne.

[Mazzalo]

Veřejnou IP adresu máš přímo na tom mikrotiku kde to nastavuješ?

[chemo]

Ano, přímo na něm.

Mám tak nastaveno hodně portů, přes které přistupuji na počítač a všechny fungují.

V poslední době mi blbne i vzdáleně Winbox :-/ Nevím proč, vždycky to fungovalo, občas blblo a najednou ne.

[Radek Úlehla]

V "to-ports=" máš schválně prázdno, aby jsme nevěděli porty? Co pořadí pravidel ve fw, není nad nimy něco, co packet požere?

[chemo]

V to ports jsem zkoušel s i bez 5900, obojí nefungovalo. Pravidlo jsem hodil úplně nahoru a stejně nic. Žádné by s tím nemělo souviset.

Možná toto pravidlo

Kód: Vybrat vše

Nevím, co to znamená. Jinak právě jsem to vyzkoušel na jiné veřejné IP adrese + počítač Win XP, a funguje to. Když jsem nastavil pravidlo, šlo to v pohodě. Když nebylo nastaveno, házelo to chybu: "Nemohlo být vytvořeno žádné připojení, protože cílový počítač jej aktivně odmítl."

U toho, kde se to pokouším nastavit, mi to hází chybu: "Pokus o připojení selhal, protože připojená strana v časovém intervalu řádně neodpověděla, nebo vytvořené připojení selhalo, protože neodpověděl připojený hostitel." -- tuto chybu to hází se zapnutým i s vypnutým pravidlem.

[Radek Úlehla]

Pošli export celé sekce ip

[chemo]

Pokud byste v tom našli i chybu, proč mi nejede WinBox vzdáleně, budu jenom rád.

Kód: Vybrat vše

[Radek Úlehla]

to je jen NAT ... přidej tedy ještě address, routers a filter

[Radek Úlehla]

smazat 0 chain=srcnat action=src-nat to-addresses=verejna_IP src-address=192.168.100.10

dát na poslední řádek a definovat odchozí interface
1 chain=srcnat action=src-nat to-addresses=verejna_IP src-address=192.168.100.0/24 - dát na poseldní řádek

smazat
2 ;;; Winbox TCP
chain=dstnat action=accept protocol=tcp dst-address=verejna_IP dst-port=8291

smazat
3 ;;; Winbox UDP
chain=dstnat action=accept protocol=udp dst-address=verejna_IP dst-port=8291

WTF?
18 X ;;; Skype TCP
chain=dstnat action=dst-nat to-ports=35883 protocol=tcp dst-address=verejna_IP dst-port=35883

WTF na druhou ?
29 ;;; VOIP_UDP_10000-50000
chain=dstnat action=dst-nat to-addresses=192.168.100.15 protocol=udp dst-address=verejna_IP dst-port=10000-50000

smazat
30 ;;; zbytek
chain=dstnat action=accept to-addresses=192.168.100.15 dst-address=verejna_IP


nikdy jsem DST-NAT nekonfiguroval bez vyplnění to-ports ... nevim, jestli se to chová korektně, zvláště při zadávání rozsahu portů
některé rozsahy portů se kryjí, takže nastane pravidlo, které bude aplikováné dříve ... za předpokladu, že router nemá více veřejných adres a bavíme se o jedné

[Radek Úlehla]

Pokud máš čistě jednu veřejnou určenou pro IP 192.168.100.10 tak použij tyto dvě pravidla

add action=netmap chain=dstnat comment="G.IP CyberMole" dst-address=veřejná to-addresses=vnitřní
add action=netmap chain=srcnat comment="G.IP CyberMole" src-address=vnitřní to-addresses=veřejná

[chemo]

veřejná IP adresa není čistě jenom pro 100.10

Nepochopil jsem:
dát na poslední řádek a definovat odchozí interface

Jinak ten skype je neaktivní, ostatní jsem smazal.


To s tím facebookem netuším, co tam je

[Radek Úlehla]

Pomohla změna nastavení? JInak pak doporučuju smazat counters a vyzkoušet se připojit. Pokud se načte nějaký packet v pravidle, které tomu přísluší, tak bych pak hledal problém v nastavení koncové stanice.

[chemo]

Nepomohla a nepochopil jsem to jedno, co jsem měl změnit.

Edit: Pro změnu jedna věc - IP - Firewall - Service ports - když tu nemám Winbox, bude to fungovat? Případně jak se tam nastaví Winbox