Problema con puertos

Tema en 'MikroTik RouterOS (General)' comenzado por EA4FYH, 7 de Julio de 2017.

  1. EA4FYH

    EA4FYH New Member

    Buenas noches:

    Realmente no se muy bien como buscar sobre este problema y lo he intentado. Tampoco se si es el lugar correcto pero alla voy.

    Dentro de las configuraciones que tengo hechas en dos Milrotik diferentes uno un RB3011 y otro un RB951 en dos sitioa diferentes, se me presenta el mismo problema.

    Abro puertos hacia una direccion ip, en este caso, el 21 que corresponde al ftp, y funciona perfectamente. Entro desde fuera y desde dentro de forma interna. Pero el problema viene cuando desde dentro de la red, intento acceder a un ftp externo a la misma, no me deja acceder, y en el mejor de los casos me redirige hacia la ip interna a la que tengo redirigido el puerto. Es decir en modo salida no puedo usar los puertos redireccionados. Alguna idea?

    Gracias de antemano.

    Alex
     
  2. MikrotikPeru

    MikrotikPeru Well-Known Member

    Buena pregunta, la solución es la siguiente no ingreses interfaces cuando hagas redireccionamiento de puertos, solo ponle la IP publicas en destino y listo.
    Saludos,
     
  3. EA4FYH

    EA4FYH New Member

    A ver creo que me explicado mal.
    Esta abierto un puerto por ejemplo el 21 a una dirección IP interna de mi red, por ejemplo 192.168.1.150.
    Permitiendo que desde fuera de mi red (es decir las casas de mis amigos) puedan acceder al servidor FTP, en este caso.
    El problema esta cuando quiero yo acceder a uno de los servidores FTP de mis amigos, que usan el puerto 21, también para que accedamos el resto a su servidor.
    Mis colegas entre ellos pueden acceder sin problema a todos los servidores (entre ellos el mio). Pero yo no puedo acceder a ninguno de ellos, desde dentro de mi red.
    Desde otras casas o trabajos se puede acceder a todos los servidores.
    Por lo que el fallo esta en mi configuracion del Mikrotik.
    Por lo que entiendo el trafico entrante me lo redirige sin problemas.
    Es el trafico saliente el que se pierde.
    La configuracion que tengo del puerto seria esta:

    PHP:
    /ip firewall filter
    add action=accept chain=input comment="Port TCP Open" dst-port=21 in-interface=1-WAN protocol=tcp   ( apertura de puertos externos)
    add action=dst-nat chain=dstnat dst-port=21 protocol=tcp to-addresses=192.168.1.150 to-ports=21 (redirección del puerto a la ip interna)
    Un saludo
     
    Última modificación por un moderador: 9 de Julio de 2017
  4. MikrotikPeru

    MikrotikPeru Well-Known Member

    Mira para que funcione como deseas debes tener esta regla:
    Donde 200.24.1.50 es tu IP publica
    PHP:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=200.24.1.50 dst-port=21 protocol=tcp to-addresses=192.168.1.150 to-ports=21
    Saludos,
     
  5. EA4FYH

    EA4FYH New Member

    Buenas de nuevo:

    No me da el resultado que debería esperar.
    Voy a intentar explicarme bien desde el principio.
    Tengo fibra 300mb simétricos, la cual entra al router de compañía y este con un DMZ redirige todo el trafico a mi RB3011. Dentro de mi red, ademas de varios ordenadores, tengo un servidor Synology al que vamos a poner la ip 192.168.1.200, el resto de ordenadores de la red, obtienen ip dentro de ese mismo rango. Dentro de las funciones de Synology, tengo la de FTP, que funciona a través del puerto 21. Creo la regla en mi Mikrotik, como esta arriba y perfectamente puedo acceder desde cualquier sitio hacia mi servidor (es decir desde Internet hacia mi casa).
    Pero cuando creo esta regla, automáticamente, yo no puedo desde cualquier otro ordenador (no desde mi servidor Synology) entrar a servidores FTP externos, es decir de empresas o amigos como decía mas arriba.
    Es decir, cualquier puerto que abro o mas bien redirijo hacia una IP interna concreta, ya no me deja usarlo por otro dispositivo que utilice ese mismo puerto para conexiones salientes.
    Ejemplo: Abro puerto 21, mis compañeros pueden entrar a mi servidor FTP, ahora desde mi movil quiero acceder a un FTP por puerto 21 de una tienda que suministra Software de radio, no puedo entrar si estoy en mi propia Wifi porque la conexión no se llega a realizar, pero si quito el Wifi, por 4G conecta sin problemas a la primera.

    Estas son las reglas de Firewall que tengo creadas:
    PHP:

    /ip firewall filter
    add action=accept chain=input comment="Permitir entrada del Protocolo TCP" \
        in-interface=1-WAN protocol=tcp
    add action=accept chain=input comment="Permitir entrada del Protocolo UDP" \
        in-interface=1-WAN protocol=udp
    add action=accept chain=forward comment="Permitir TCP dentro de la RED" \
        protocol=tcp
    add action=accept chain=forward comment="Permitir UDP dentro de la RED" \
        protocol=udp
    add action=accept chain=input comment="Permitir Entradas Establecidas" \
        connection-state=established in-interface=1-WAN
    add action=accept chain=input comment="Permitir Entradas Related" \
        connection-state=related in-interface=1-WAN
    add action=drop chain=input comment="Denegar Conexiones Invalidas" \
        connection-state=invalid in-interface=1-WAN
    add action=accept chain=input comment="Abrir Puertos TCP 1" dst-port=\
        21,53,80,81,82,83,84,90,443,1194,3389,4443,4662 in-interface=1-WAN \
        protocol=tcp
    add action=accept chain=input comment="Abrir Puertos TCP 2" dst-port=\
        5002,5004,6690,8080,8291,8899,9025-9040,55536-55551,65001,19998 \
        in-interface=1-WAN protocol=tcp
    add action=accept chain=input comment=\
        "Apertura de Puertos UDP usados por el NAS" dst-port=\
        19998,2222,4672,5002,5004,65001,1194,8899,5900,32700 in-interface=1-WAN \
        protocol=udp
    add action=accept chain=input comment="Abrir Puertos UDP" dst-port=\
        7-9,500,1194,1702,4500,4672,5002,5004,8899,19998,65001 in-interface=1-WAN \
        protocol=udp
    add action=drop chain=input comment="Cerrar Puertos TCP 1" dst-port=\
        22,501-1193,1195-22212,2223-3388,3390-4442,4444-4661 in-interface=1-WAN \
        protocol=tcp
    add action=drop chain=input comment="Cerrar Puertos TCP 2" dst-port=\
        4663-4999,5005-5899,5901-6689,6691-8079,8081-8290 in-interface=1-WAN \
        protocol=tcp
    add action=drop chain=input comment="Cerrar Puertos TCP 3" dst-port="8293-8898,890\
       0-9024,9041-19997,20000-32699,32701-55535,55552-65000,65002-65535"
    \
        in-interface=1-WAN protocol=tcp
    add action=drop chain=input comment="Cerrar Puertos UDP 1" dst-port=\
        22,501-1193,1195-1701,1703-4499,4501-4671,4673-5001 in-interface=1-WAN \
        protocol=udp
    add action=drop chain=input comment="Cerrar Puertos UDP 2" dst-port="5005-5899,590\
       1-65000,6500-8898,8900-19997,20000-32699,32701-65000,65002-65535"
    \
        in-interface=1-WAN protocol=udp
    add action=accept chain=input comment="Permitir Conexion L2TP ipsec-esp" \
        in-interface=1-WAN protocol=ipsec-esp
    add action=accept chain=input comment="Permitir ConeXion L2TP ipsec-esp" \
        in-interface=1-WAN protocol=ipsec-esp
    add action=accept chain=input comment="Permitir el Protocolo PING Limitado" \
        disabled=yes in-interface=1-WAN limit=50,5;packet protocol=icmp
     
    Y este el NAT
    PHP:

    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=1-WAN
    add action=dst-nat chain=dstnat comment="Acceso al NAS http por puerto 8080" \
        dst-port=8080 protocol=tcp to-addresses=192.168.1.200 to-ports=8080
    add action=dst-nat chain=dstnat comment=\
        "Acceso al NAS https por Puerto 443 --> 5001" dst-port=443 in-interface=\
        1-WAN protocol=tcp to-addresses=192.168.1.200 to-ports=5001
    add action=dst-nat chain=dstnat comment="Conexion Escritorio Remoto TCP" \
        dst-port=3389 protocol=tcp to-addresses=192.168.1.55 to-ports=3389
    add action=dst-nat chain=dstnat comment=\
        "Conexion Escritorio Remoto UDP-INUTIL" dst-port=3389 protocol=udp \
        to-addresses=192.168.99.55 to-ports=3389
    add action=dst-nat chain=dstnat comment="Accesos al NAS UDP" dst-port=\
        19998,4672,5002,5004,65001,7-9 protocol=udp to-addresses=192.168.1.200
    add action=dst-nat chain=dstnat comment="Accesos al NAS TCP" dst-port=\
        6690,4662,9025-9040 protocol=tcp to-addresses=192.168.1.200
    add action=dst-nat chain=dstnat comment="Acceso a Camara Web" dst-port=4443 \
        protocol=udp to-addresses=192.168.1.100 to-ports=4443
    add action=dst-nat chain=dstnat comment="Acceso a Camara WEB" dst-port=90 \
        protocol=tcp to-addresses=192.168.1.110
    add action=dst-nat chain=dstnat comment=\
        "Puerto de Georgeo Para el NAS 82-->8080" dst-port=82 protocol=tcp \
        to-addresses=192.168.99.1 to-ports=8080
    add action=dst-nat chain=dstnat comment=\
        "Puerto de Georgeo para acceder a MiKrotik" dst-port=81 protocol=tcp \
        to-addresses=192.168.1.1 to-ports=8000
    add action=dst-nat chain=dstnat comment=\
        "Puertos de Acceso al Controlador LED" dst-port=8899 protocol=udp \
        to-addresses=192.168.1.254
    add action=dst-nat chain=dstnat dst-port=1194 protocol=udp to-addresses=\
        192.168.1.90
    add action=dst-nat chain=dstnat dst-port=32700,5900 protocol=udp \
        to-addresses=192.168.1.65
    add action=dst-nat chain=dstnat dst-port=21 protocol=tcp to-addresses=\
        192.168.1.200 to-ports=21
     


    Espero poder haber aclarado un poco que es lo que me falla.

    Un saludo y gracias
     
    Última modificación: 12 de Julio de 2017

Comparte esta página