περίεργο πρόβλημα με speedport και mikrotik - remote access

[xaotikos]

Καλησπέρα
Έχω σπαζοκεφαλιάσει από χθες και δεν μου έρχεται καμία λύση.
Έχω στον αδερφό μου ένα rb2011 για το εσωτερικό δίκτυο.
Internet παίρνει από ένα speedport από την eth1-gw.
192.168.10.1 το speedport, dynamic στην eth1-gw αλλά με mac binding...πχ 192.168.10.100
192.168.2.x το lan

Στο speedport έχω ανοίξει με port forward τις πόρτες 8291, 8090 (www) στην 192.168.1.100.
Στο mikrotik έχω στο firewall την εξής γραμμή

Κώδικας:

0    ;;; winbox remote
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 


 1    ;;; winbox remote
      chain=input action=accept protocol=tcp dst-port=8090 log=no log-prefix=""

Δοκίμασα ακόμα να βάλω και σε dmz την 192.168.1.100...
Δεν δουλεύει με τιποτα το forwarding. Ούτε μπορώ να μπω (winbox/webfig) ούτε από το http://canyouseeme.org/ τις βλέπω ανοιχτές.
Έχω δοκιμάσει να αλλάξω το router και με ένα tplink 9980
Κάτι κάνω λάθος..αλλά τι??

[tsiris]

Port forward στην 192.168.1.100; Μήπως πρέπει στην 192.168.10.100...;;;
Πήγαινε επίσης στο Tools -> Mac server και δες αν υπάρχει το interface ether1.

[Nikiforos]

καλημερα, δες και στο ip-services αν σε αυτες τις υπηρεσιες επιτρεπει καποιος να μπει απο ιντερνετ.
Επισης τι ip εχει το 2011? οι πορτες πρεπει να ανοιχτουν στην δικια του ip.
ειναι λαθος αυτο που εχεις βαλει (το ειπε και ο γειτονας απο πανω) και το webfig ειναι λογικα στην 80 και οχι στην 8090, απο που προκυπτει τετοια περιεργη πορτα?
Να τονισω τελος οτι πρεπει να παρεις πολλες προφυλαξεις δεν ειναι καλο το mikrotik απευθειας στο ιντερνετ, προσωπικα μονο μεσω openvpn ή εστω SSTP ή PPTP vpn. Ειδικα το winbox αλλα και το webfig θα στο κανουν κοσκινο.....παρε πολλα μετρα προστασιας με καλους κωδικους και καλορυθμισμενο firewall στο mikrotik.

[xaotikos]

Αρχικά το 192.168.1.100 πιο πάνω ήταν typo. Επίσης, θέλω πρώτα να δουλέψει σωστά και μετά θα ασχοληθώ με το firewall (και QOS) εκτενέστερα.
το www το έχω αλλάξει από τα services να τρέχει σε 8090

Κώδικας:

#   ADDRESS            NETWORK         INTERFACE                                                            
 0   ;;; default configuration
     192.168.2.1/23     192.168.2.0     ether2-master-local                                                  
 1   192.168.10.100/24  192.168.10.0    eth1-gw

Στο Tools -> Mac server ΔΕΝ είχε το eth1-gw στο winbox (το έβαλα) αλλά μου κάνει εντύπωση γιατί έκανα restore το configuration που είχα πέρισυ το καλοκαίρι και με το οποίο έπαιζαν όλα (winbox/www)

To firewall εχει τα εξής στο filter

Κώδικας:

Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; winbox remote
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="8291" 

 1    ;;; winbox remote
      chain=input action=accept protocol=tcp dst-port=8090 log=no log-prefix="" 

 2    chain=input action=drop protocol=tcp src-address=0.0.0.0 in-interface=eth1-gw dst-port=8080 log=no 
      log-prefix=""

από εκεί και πέρα κάνω QOS με queues κλπ αν και δεν νομίζω να επηρεάζει κάπου...

Κώδικας:

Flags: X - disabled, I - invalid 
 #   NAME                PORT ADDRESS                                                 CERTIFICATE            
 0   telnet                23
 1   ftp                   21
 2   www                 8090 0.0.0.0/0                                              
 3   ssh                   22
 4 XI www-ssl              443                                                         none                   
 5   api                 8728
 6   winbox              8291
 7   api-ssl             8729                                                         none

- - - Updated - - -

βασικά είναι σαν να μην μπορει να κανει forward το modem...ουτε το speedport ούε το tplink και σκέφτομαι μηπως ο αδερφός μου δεν σύνδεσε κάτι σωστά και κομπλάρει το σύμπαν.
Κανονικά και από ότι μου είπε η συνδεσμολογία είναι
modem(DSL)-->(eth1-gw)mikrotik(eth2)-->switch-->pc
Το pc και τα ασύρματα έχουν κανονικά internet αλλά ότι και να βάλω στο modem (dmz, forwarding) δεν βλεπω από πίσω..
Στο pc μπαίνω με teamviewer.

[Nikiforos]

καταρχην αμα δεν εχεις στημενο κανονικα firewall οπως στο tutorial πχ του Denisun, θεωρω οτι οι κανονες που εχεις στο rules δεν κανουν κατι στην ουσια.
αν στο pc του φτανεις κανονικα με teamviewer το προβλημα μαλλον ειναι στο mikrotik.
μηπως πειραξε καλωδια και εχει συνδεσει τπτ αναποδα?
QoS κτλ στο mikrotik αλλα και κανονικο στησιμο firewall για να εχει νοημα πρεπει να ειναι το adsl modem/router σε bridge mode και το Mikrotik να ειναι με ppoe client ωστε δλδ να γινει ιντερνετ ρουτερ αλλιως τα κανει το adsl router ολα αυτα.

μηπως ειναι κατι λαθος με τις θυρες bridge κτλ?
πιστευω ή αυτο ή λαθος συνδεση με τα καλωδια.

[xaotikos]

To QOS το έχω φτιάξει με βάση το tutorial του Denisun και έπαιζε σχετικά καλά πέρισυ αλλά θέλω φέτος να το βελτιώσω (στήνοντας παράλληλα ένα free hotspot...μιλάμε για μια εποχιακή καφετέρια στην οποία εδώ και χρόνια δίνω free internet και από πέρισυ που ανέβηκε η ταχύτητα στα τρομακτικά 10mbps αποφάσισα να το κάνω πιο σωστά με mikrotik).

το bridge είναι πολύ απλό:

Κώδικας:

/interface bridge
add admin-mac=E4:8D:8C:09:E2:A2 auto-mac=no name=bridge-local
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1

Αυτό που με τρελένει είναι πως η eth1-gw παίρνει ip αν βάλω dhcp στο modem άρα είναι συνδεδεμένο σωστά...
Το απόγευμα θα βάλω τον brother με καμερα να μου δειχνει 1-1 τα καλώδια που έβαλε

[macro]

Ετσι οπως τα βλεπω το λαν σου ειναι ή η θυρα 2 ή η 6. Αυτη που παει στο switch δλδ. μαλλον εκει εχει κανει το λαθος.

[Ashtaroth]

1) σε ποιά εσωτερική IP κάνει forward το μόντεμ σου. 192.168.10.100 ή 192.168.2.1
2) έχεις ενεργοποιημένο ΝΑΤ στο Mikrotik ?

[xaotikos]

1)Στο 192.168.10.100
2)Εχω το default masquerade

[Ashtaroth]

1)Στο 192.168.10.100
2)Εχω το default masquerade

Άρα κάνεις διπλό NAT? και το μοντεμ και το mikrotik κάνουν NAT?


Βασικά άκυρο. τώρα που το ξανασκέφτομαι και double NAT να κάνεις δεν θα έπρεπε να επηρεάζει.

[xaotikos]

Τσέκαρα και τα καλώδια σημερα.
Ote->speedport->mikrotik->switch
Κανονικά ολα...θα σκάσω μιλαμε

[xaotikos]

Σήμερα έκανα αλλαγή ώστε να είναι το speedport σε bridge και το mikrotik να κάνει το dial pppoe.
αυτό που παρατήρησα και δεν το είχα δει στην προηγούμενη κατάσταση είναι το εξής:
η ip που παίρνω είναι: 100.x.x.x με gw 100.x.x.x η οποία όμως ΔΕΝ είναι η πραγματική ip που βγαίνω στο internet!!

τι γίνεται??

[Nikiforos]

καλημερα, σιγουρα απο 100 ειναι και δεν εκανες τυπογραφικο λαθος και ειναι απο 10?
γιατι απο 10 θα ελεγα οτι ειναι πισω απο ΝΑΤ αλλα 100 τι ειναι?
δλδ αμα μπεις σε μια σελιδα showmyip σου δειχνει καποια αλλη οτι εχεις?
μηπως ειναι καμια λαθος ρυθμιση στο speedport?

[sdikr]

Σήμερα έκανα αλλαγή ώστε να είναι το speedport σε bridge και το mikrotik να κάνει το dial pppoe.
αυτό που παρατήρησα και δεν το είχα δει στην προηγούμενη κατάσταση είναι το εξής:
η ip που παίρνω είναι: 100.x.x.x με gw 100.x.x.x η οποία όμως ΔΕΝ είναι η πραγματική ip που βγαίνω στο internet!!

τι γίνεται??

Σε έχει βάλει ο ΟΤΕ πίσω απο CGN (NAT), θα πρέπει να τους πάρεις τηλέφωνο για να στο αλλάξουν

[xaotikos]

Κάτι τέτοιο ψιλοκατάλαβα και εγώ αλλά δεν ήξερα ότι υφίσταται...εντω μεταξύ λόγω αυτού στο mikrotik βλέπω να κυκλοφορούν και άλλες ips από private networks ενώ στο winbox έχω και neighbor άλλο mikrotik!

Υπάρχει περίπτωση να το έχουν κάνει έτσι λόγω του ότι μιλάμε για χωριό σε επαρχία=απόσταση από dslam? Δεν θα ήθελα να χάσψ σε απόδοση με κάποια αλλαγή μιας και ήδη είμαι χαμηλά (8up/700Κ down)