Микротик, проброс 80 порта не работает

0

1

Подскажите, ситуация такая, проброшены 80, 443, 81 порт до nginx reverse в локальной сети. Nginx перенаправляет по http на два сервера в локалке (homeassistant, nextcloud). С наружи по 81 порту в веб интерфейс nginx proxy manager заходит, если снаружи пытаюсь зайти по https на сервера в локалке, в логах nginx вижу запрос, а вот по http в логах пусто. В логе микротика есть приходящие пакеты на 80 порт в логах nginx пусто. Стоит сменить в правиле проброса порт с 80 на например 1234 и заходить снаружи как http://mydomen.duckdns.org:1234, все работает, homeassistant открывается .Что может блокировать 80 порт в микротике? Не работает проброс 80 и 8080 порта. Веб в микротике отключен. В файрволе правил нет, только маскарад и 3 порта проброшены.

←	zimbra дублирование писем на вторй сервер

что бдует если в proxmox запусить из под рута rm *

→

Может у тебя провайдер блокирует порты? Часто так делают чтобы снаружи не торчали устройства со стандартными учетными записями

beka ★
(21.04.22 19:19:49 MSK)

Ответ на: комментарий от beka 21.04.22 19:19:49 MSK

Может быть, надо в саппорт написать, провайдер DOM.RU Вот правило: chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=80 log=yes log-prefix="" - не работает но что то пришло в логе микрота - dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 60.255.137.44:49264->5.3.251.77:80, len 44

chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=1234 log=yes log-prefix="" а так работает

Alexx-80
(21.04.22 19:33:31 MSK) автор топика

Так ты это, смени стандартный http порт самого микротика, или точнее, какого он вообще у тебя поднят?! winbox тоже активен!? Выруби все варианты доступа кроме ssh!

hargard ★★
(21.04.22 19:41:12 MSK)

Ответ на: комментарий от hargard 21.04.22 19:41:12 MSK

0 X telnet 23
1 X ftp 21
2 X www 80
3 X ssh 22
4 X www-ssl 443 none
5 X api 8728
6 winbox 8291
7 X api-ssl 8729 none

только winbox включен

Alexx-80
(21.04.22 19:49:36 MSK) автор топика
Последнее исправление: Alexx-80 21.04.22 19:50:30 MSK (всего исправлений: 1)

Ответ на: комментарий от Alexx-80 21.04.22 19:49:36 MSK

Хоть бы поменял его с дефолтного.

А сделай

ip service set www port=8080

hargard ★★
(21.04.22 19:58:05 MSK)

Ответ на: комментарий от hargard 21.04.22 19:58:05 MSK

Сделал не помогло но пакеты приходят вроде dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 188.162.204.158:21986->5.5.231.86:80, len 60

Alexx-80
(21.04.22 20:45:34 MSK) автор топика

Не работает проброс 80 и 8080 порта. Веб в микротике отключен. В файрволе правил нет, только маскарад и 3 порта проброшены.

Покажи

/ip firewall export terse
/ip route export terse

Kolins ★★★
(22.04.22 09:20:13 MSK)

Ответ на: комментарий от hargard 21.04.22 19:41:12 MSK

Так ты это, смени стандартный http порт самого микротика

DNAT раньше отрабатывает и заменяет адрес получателя

Kolins ★★★
(22.04.22 09:21:05 MSK)

Буквально на днях с подобной проблемой столкнулся (если правильно вопрос понял), но на TP-Link. С 80го не прокидывался ни в какую, а с любого другого - запросто. Оказалось, что внутренний сервер админки TP-Link-а хоть и не был высунут наружу, а висел только внутрь локалки, блокировал проброс 80го порта. Повесил админку на другой порт - проброс с 80го сразу заработал. Может в этом же проблема?

deys ★★★
(22.04.22 10:08:19 MSK)

Ответ на: комментарий от Kolins 22.04.22 09:20:13 MSK

[Alexx@MikroTik] > /ip firewall export terse

apr/22/2022 09:14:35 by RouterOS 7.2.1

software id =

/ip firewall filter add action=add-src-to-address-list address-list=DNS_FLOOD address-list-timeout=none-dynamic chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp /ip firewall filter add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.10.10.15 to-ports=80 /ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.10.10.15 to-ports=443 /ip firewall nat add action=dst-nat chain=dstnat dst-port=81 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.10.10.15 to-ports=81 /ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address-list=""

[Alexx@MikroTik] > /ip route export terse

apr/22/2022 09:16:24 by RouterOS 7.2.1

software id =

Alexx-80
(22.04.22 12:16:47 MSK) автор топика

Ответ на: комментарий от deys 22.04.22 10:08:19 MSK

Я веб сервер его на 8080 перевесил и выключил

Alexx-80
(22.04.22 12:17:52 MSK) автор топика

Ответ на: комментарий от Alexx-80 22.04.22 12:16:47 MSK

nat выглядит норм (хотя to-ports не обязательно прописывать, если совпадают номера)

/ip firewall mangle
add action=log chain=postrouting connection-nat-state=dstnat dst-port=80 log=yes protocol=tcp

Добавь такое правило и попробуй открыть свой сайт по 80, потом в логи загляни.

P.S. и /ip firewall filter стоит настроить

Kolins ★★★
(22.04.22 12:28:49 MSK)

Ответ на: комментарий от Kolins 22.04.22 12:28:49 MSK

Похоже микротик тут не причем , вот лог postrouting: in:pppoe-out1 out:ether1, proto TCP (SYN), 188.162.204.158:45384->10.10.10.15:80, NAT 188.162.204.158:45384->(5.5.251.86:80->10.10.10.15:80), len 60

А что стоит настроить в /ip firewall filter

Alexx-80
(22.04.22 13:29:51 MSK) автор топика

Ответ на: комментарий от Alexx-80 22.04.22 13:29:51 MSK

А что стоит настроить в /ip firewall filter

Держи базовый, надо <LAN_INTERFACE> и <WAN_INTERFACE> на свои заменить и включить два disabled правила, потом по надобности будишь добавлять разрешения.

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface=<LAN_INTERFACE>
add action=drop chain=input disabled=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward connection-state=new in-interface=<LAN_INTERFACE>
add action=accept chain=forward connection-nat-state=dstnat in-interface=<WAN_INTERFACE>
add action=drop chain=forward disabled=yes

Похоже микротик тут не причем

Следующий шаг - tcpdump на сервере с nginx, если трафик приходит и в демон попадает, то уже его конфиги ковырять.

Kolins ★★★
(22.04.22 13:42:07 MSK)

Ответ на: комментарий от Kolins 22.04.22 13:42:07 MSK

Спасибо!

Alexx-80
(22.04.22 14:49:48 MSK) автор топика

Ответ на: комментарий от Kolins 22.04.22 13:42:07 MSK

Спрошу здесь, картина такая - есть физический сервер с proxmox в виртуалке Микротик, все вышесказанные в 1 посте сервера тоже там, что бы проверить запустил еще один физический сервер, на нем веб сервер nginx. Пробросил на него порт 80 с микротика, захватил пакеты. Я правильно понимаю что ответ nginx не доходит до браузера и он по новой спрашивает? Как отследить где пакеты останавливаются?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:21:49.914718 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0
11:21:49.914811 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:21:50.723958 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0
11:21:50.724026 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:21:51.720692 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:21:52.714312 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0
11:21:52.714381 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:21:54.712696 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:21:56.741756 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0
11:21:56.741831 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
11:22:00.740707 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 ```

Alexx-80
(24.04.22 10:53:39 MSK) автор топика

Ответ на: комментарий от Alexx-80 24.04.22 10:53:39 MSK

Выяснил с помощью Packet Sniffer микротика что на локальный интерфейс eth1 приходят пакеты для 10.10.10.19 и ответы на client.yota.ru. А на интефейс pppoe-out1 пакеты только на 10.10.10.19, обратных нет. Получается микротик блокирует исходящие пакеты, как узнать?

Alexx-80
(24.04.22 15:04:30 MSK) автор топика

Ответ на: комментарий от Alexx-80 24.04.22 15:04:30 MSK

ээ.. hairpin nat?

Avial ★★★★★
(25.04.22 16:41:03 MSK)

Ответ на: комментарий от Avial 25.04.22 16:41:03 MSK

Да нет, я с внешки проверяю, нужды в hairpin нет.

Alexx-80
(26.04.22 01:37:07 MSK) автор топика

вангую маскарадинг неправильный

~~naKovoNapalBaran~~ ★
(26.04.22 05:37:22 MSK)
Последнее исправление: naKovoNapalBaran 26.04.22 05:44:17 MSK (всего исправлений: 1)

Ответ на: комментарий от naKovoNapalBaran 26.04.22 05:37:22 MSK

Вот правило: chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=80 log=yes log-prefix="" - не работает

chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=1234 log=yes log-prefix="" а так все работает

Не работает только 80 порт

Alexx-80
(26.04.22 09:44:27 MSK) автор топика

Ответ на: комментарий от naKovoNapalBaran 26.04.22 05:37:22 MSK

К маскардингу есть вопросы, там src-address-list="" стоит и хз как на это микрот отреагирует, но конкретно в случае с DNAT можно вообще без маскардинга, там скрытое обратное SNAT правило есть которое перезапишет адрес.

Kolins ★★★
(28.04.22 13:33:16 MSK)

Ответ на: комментарий от Alexx-80 24.04.22 10:53:39 MSK

Default route правильный стоит на сервере с nginx?

Kolins ★★★
(28.04.22 13:33:52 MSK)

9 июня 2023 г.

Зарегистрироваться тут только для того чтобы сказать что если у вас DOM.RU, то 80 порт блокирует он с недавних пор. Сегодня проблему решил с техподдержкой, порт разблокировали, всё заработало

kotjj
(09.06.23 16:01:56 MSK)

Ответ на: комментарий от kotjj 09.06.23 16:01:56 MSK

Многие провайдеры, и не только в этой стране, блокируют серверные порты из каробки, это дом.сру долго думал. Хотя скорее дело не в самом дом.сру, а в том прове который был у вас до них и которого они скупили, обычно скупают, оставляют от одного до N старых сотрудников (в зависимости от масштабов) и на этом всё, а сейчас или руки дошли или оборудование погорело и в связи с заменой... ну вы поняли.

anc ★★★★★
(09.06.23 17:58:31 MSK)

←	zimbra дублирование писем на вторй сервер

Admin

что бдует если в proxmox запусить из под рута rm *

→

apr/22/2022 09:14:35 by RouterOS 7.2.1

software id =

apr/22/2022 09:16:24 by RouterOS 7.2.1

software id =

Похожие темы