Mikrotik проброс не работает на RDP
 

Доброго времени суток.
Что-то у меня не получается проброс сделать на Микроте.

Кабель интернета подключен в 1 порт, со сторого порта кабель идет в свич, а со свича уже в сервер.
В локальной сети к серверу по RDP цепляюсь.

Может я что с интерфейсами напутал?
Делаю вот так. Создаю новое правило в НАТ:




Вроде должно работать.
Дело в том, что я попробовал с микрота пингануть сервер, выбрал интерфейс ether1-gateway, но сервер не пингуется с него.


Пингуется только с интерфейса bridge 1-lan...

Опыта у меня мало с микротами, настраивал не я. Помогите разобраться.

не совсем понятно как устроена сеть, какую роль выполняет микротик?
в acation лучше netmap использовать

чтобы работало, должно быть ещё разрешающее правило в firewall

Само собой - сервер же подключен к другому интерфейсу

netmap не для этого, поэтому не лучше

Через интерфейс Ether1-gateway и не будет пинговать.
У вас настроены бриджи ?
Попробуйте поменять Inteface на bridge1-lan или просто на Ether2.

Увидел.

Одна строчка в Firewall и проблема решится.

Я все интерфейсы перепробовал, когда настраивал правило NAT, ниодин не работает (не получается зацепиться к RDP.
Очень хороший вопрос. Что-то там настроено.

Раздает интернет в локальную сеть, а так-же настроены бесшовный WiFi. WiFi гостевой - только доступ к интернет и WiFi офисный - для доступа к компам и интернет.

Покажите настройки Firewall (вкладки Filter Rules и NAT)

Вполне возможно у вас есть перекрывающие друг друга правила. Микротик читает правила сверху вниз.

Busla, скорее всего имеется ввиду что настроен CAPsMAN

poisonkit, вы не написали откуда и куда вы хотите получить доступ по rdp. С сервера к этой локальной сети, или из интернета? И если у вас есть сервер, зачем еще микротиком делить локальную сеть?

Он писал что по локалке RDP работает, нужен доступ из вне.
Я бы не стал делать напрямую проброс из вне по RDP. Оставлять сервер "@опой во внешку" небезопасно.
Проще настроить VPN сервер на Микротик и далее юзать сетевые ресурсы более безопасно.

Вот:


и вот:

вот то что из вне, он и не написал))
И есть еще сервер, к которому видимо и подключен микротик, а не напрямую к провайдеру, а это значит хоть за напробрасывайся

poisonkit, Рекомендую использовать параметр "in Interface list" вместо "in Interface"

Такой ping у Вас не пройдёт. Не верно построено правило для тестирования.

В Filter Rules, рекомендую правило "FastTrack connection" поставить вторым.

В Filter Rules непонятно зачем у Вас два одинаковых правила 0 и 1 ?

В NAT, правило № 4 и 5 бессмысленны.

P.S. В идеале неплохо бы выложить конфиг: export hide-sensitive file=setting.rsc

Заменил, но по прежнему проброс не заработал..
выполнил.

есть еще варианты решения проброса? Не желает RDP пробрасывать =(

poisonkit,

1. general\dst. address - укажи свою внешнюю статику
2. general\protocol - tcp
3. general\port - внешний порт, что-то типа 43967
4. action\action - dst-nat
5. action\address - статика сервера в сети
6. action\port - port сервера в сети, обычно стандарт

Остальные поля - очистить. Ессно, при подключении порт указываешь вручную

Еще вопрос такого плана. А как вы проверяете проброс ?
Из своей сети по WAN адресу ?

Да, из своей сети. Указываю статический IP:порт, куда хочу зайти по RDP.

Дело в том, что у меня 2 таких объекта, один работает без проблем, а вот этот не хочет. Хотя все настроено аналогично.

Пока не разобрался в чем дело. Микротом управляю удаленно. На сервер пока зайти не могу по прежнему.

poisonkit, с себя на себя микрот не пустит, если не пошаманить с настройками. Пробуй с другого удалённого сервера заходить.

Сделайте бэкап настроек.
Включите Safe Mode и можете экспериментировать.
Сложного в пробросе ничего нет. Если схема сети так как вы описывали то трудностей быть не должно.

И да, подключатся пробовать нужно с другого сервера, дома или даже телефона. Интернет должен быть разных провайдеров.
С себя на себя не получится.
Я так с ssh в свое время намучался

Это были только рекомендации и указание на ошибки в конфиге, которые не вели к решению Вашего вопроса.

Есть, предоставить схему подключения сети и конфиг микротика для сравнения схемы с действующими настройками.

P.S. Пример схемы.

Все. Проблему решил. В файрволе прописал правило dstnat и все заработало.
Спасибо всем за участие.

оно было прописано - №11 на скриншоте из 11 сообщения

если, конечно, никто не менял в дэфолтное правило

вот я тоже был уверен, что по умолчанию там все прописано, столько времени голову ломал над элементарным пробросом... Оказалось, что просто предыдущий админ там правило сменил )