А, я краб, забыл, что счётчик сбрасывается на ребуте и время у микротика почему-то определяется как красноярск

не провайдера ли это вина?

При чём тут провайдер?

При чём тут провайдер?

лично у меня когда через свисток мегафона красноярск, когда через локального оператора то родной город.

У меня через 3 аплинка красноярск. Геоип нормально реагирует на эти ипы

а руками выставить часовой пояс?

>забыл Уже пофиксил. Просто смутило, что интервал 29 минут, а запуск через 4 часа

Вы лучше подскажите, почему могло перестать работать правило после смены ip? /ip fir nat print 1 ;;; RDP for ETLVEGA chain=dstnat action=dst-nat to-addresses=192.168.10.1 to-ports=3389 protocol=tcp dst-port=3389 log=no log-prefix=“”

Из локалки отлично ходит, to-adr поправил, из мира — сломалось

из локалки на локальный ip

Миниатюра “lexfrei опять не может пробросить порт”

так ты hairpin-nat перенастроил?

и давай вывод через експорт, а не принт, банально удобней читать

и на кой ляд ты порт делаешь to-ports если он не меняется? хотя это лирика и к делу не относится

и на кой ляд ты порт делаешь to-ports если он не меняется? хотя это лирика и к делу не относится

не знал, что можно не указывать, спасибо.

так всё же, ты хейрпин-нат перенастраивал?

я так понял у тебя внутрення айпишка поменялась

хотя стоп. тут же наоборот, из локалки работает, а из мира нет

второй вопрос - а 10,1 точно использует микротик как шлюз? В файрволе доступ из внешки не зарезан на том компе?

может попробовать на микротике включить маскарадинг для dst.addr=192.168.10.1 dst.port=3389?

что бы пакеты к РДП серваку прилетали как будто из локалки. Ну если дело в его настройках безопасности, а не в файрволе микротика. проверь такой вариант.

Вы лучше подскажите, почему могло перестать работать правило после смены ip? /ip fir nat print 1 ;;; RDP for ETLVEGA chain=dstnat action=dst-nat to-addresses=192.168.10.1 to-ports=3389 protocol=tcp dst-port=3389 log=no log-prefix=“”

А где входящий интерфейс хотя бы

да он просто входную айпишку скрыл от нас ?

А где входящий интерфейс хотя бы

не обязателен, проверял. У меня два аплинка, потому решил не указывать. И работало жи =/

Скажу больше, работает для другого хоста и проброса веба

ну значит РДП сервак не принимает конекты не с своей локалки

или у него другой маршрутизатор шлюзом прописан

может там обратное правило с src-nat и старым адресом

или приколы маскарада

потому решил не указывать. И работало жи =/ - а мушку то спили. тоесть или интерфейс или адрес укажи. а то хапнешь гемора если из этой локалки захочешь по RDP подключится на внешний адрес куда то

Из локалки отлично ходит, to-adr поправил, из мира — сломалось

маскарад окей?

потому что я буквально сегодня такую же проблемы решал

окей - дст-нат есть, ты молодец

а в обратку пакеты как будут идти?

ну для конекта из вне хейрпина вроде не надо ?

ну для конекта из вне хейрпина вроде не надо ?

А как это относится с тем что я сказал ?

а в обратку пакеты как будут идти?

я думал ты о возврате пакетов в локалке ? . Обычно это частые грабли при конекте на внеший адрес роутера из локалки

Ща, с обеда вернусь объясните мне почему я дурак :)

Один тупой вопрос: а почему раньше работало и аналогичные правила работать до сих пор?..

Еее, а ты где живешь то? даже у нас в европах уже без малого 15 часов дня. а ты только на обед собрался. Ты на канарах что ли?

Мск. созвоны США до 14:30 в среднем

Я немножко не админ по бумажкам :)

а почему раньше работало - а хрен его знает. щас вопрос немного другой - ПОЧЕМУ НЕ РАБОТАЕТ? Вот выясним когда придешь с обеда тогда и поймем чего раньше работало ?

Ну и да, когда приходишь на работу в ~12, как-то странно идти на обед раньше 2-30

пришел уже или дальше с полным ртом разговариваешь?

Пришёл. Рапортуют, что всё починилось, но только из внешки.

ну из локалки сделай хейрпин-нат для нового адреса

lex@mba:~$ ыыр admin@192.168.8.1 admin@192.168.8.1's password:

я так понял они из локалки тоже на внешний адрес конектяттся?

Ой, не туда

стоять, я пароль не успел записать

стоять, я пароль не успел записать

Пароль *********

Я один в локалке. У нас тут целый ОДИН хост с виндой. На него ходят ТОЛЬКО из вне =) Если из локалки ломиться на внешний ип, то не работает =)

Я один в локалке. У нас тут целый ОДИН хост с виндой. На него ходят ТОЛЬКО из вне =) Если из локалки ломиться на внешний ип, то не работает =)

у меня тоже из локалки на внешку не работает

ну если из вне только ходят то не будем усложнять жизнь. работает да и ладно

А вообще закрывай 3389 порт....

подними везде впн. Или сложно?

у меня тоже из локалки на внешку не работает

Для аналогичных правил работает

подними везде впн. Или сложно?

просили “на 2 дня”

А в чём опасность, кроме того, что на хост по рдп вломятся?

Ну брутить будут какие нибудь идиоты

у меня тоже из локалки на внешку не работает

что бы из локалки работало на внешний адрес надо сделать add chain=src-nat dst.port=3389 dst.addr=192.168.10.1 action=masquarade правило писал по памяти, так что за синтаксис звиняйте, мог опечататся. Суть проблемы в чем: Клиент отправляет запрос на внешний адрес на МАС роутера. Роутер форвардит пакет на сервак в локалке. Сервак видит что СРЦ. адрес из локалки и отвечает напрямую клиенту. Клиент получает пакет не с того МАС куда отсылал запрос, и щитает что ответа нет. Для этого маскарадят трафик от роутера к серваку. что бы сервак отвечал роутеру, а тот уже слал пакет клиенту

Ну брутить будут какие нибудь идиоты

мне не жалко, предупредил.

мне не жалко, предупредил.

Ну тогда пох)

что бы из локалки работало на внешний адрес надо сделать add chain=src-nat dst.port=3389 dst.addr=192.168.10.1 action=masquarade правило писал по памяти, так что за синтаксис звиняйте, мог опечататся. Суть проблемы в чем: Клиент отправляет запрос на внешний адрес на МАС роутера. Роутер форвардит пакет на сервак в локалке. Сервак видит что СРЦ. адрес из локалки и отвечает напрямую клиенту. Клиент получает пакет не с того МАС куда отсылал запрос, и щитает что ответа нет. Для этого маскарадят трафик от роутера к серваку. что бы сервак отвечал роутеру, а тот уже слал пакет клиенту

Да я уже перевёл свой ноут на l2tp ipsec и всё. оставил только локальные подключения

ну впн это офигенно

но вообще юзерам удобнее ходить напрямую

порты менять - можно... даже безопасность повышает... но это ни черта не удобно когда компов более ХХХ

ERROR: S client not available

ну впн это офигенно

да пофиг на юзеров по большому счету. Заходишь вот так и всё.

Ткнуть в коннект если сложно - зачем такой работник?

Ткнуть в коннект если сложно - зачем такой работник?

Все должно работать искаропки

VPN работает искаропки везде

а проброс RDP - это дырка жопой наружу

осталось взять банку с вазелином и рядом поставить только

бухам никамфортна

бухам никамфортна

Объясняешь руководству про безопасность

>контора использует микротик >конфиденциальная информация

И бухи будут юзать впн с удовольствием

Влад, да я в курсе

Просто у ЦА микротика брат нечего

господа блин

если речь про соединение офис-ту-офис

тогда безпе*** ВПН рулит

но когда бух сидит дома - это реально жопа

Реально тёте Сраке что-то рассказать оче сложно

Нестандартные порты, норм пароли и элементарная защита от перебора решают

но когда бух сидит дома - это реально жопа

Не надо. Норм всё. Я бухов кого-то обучал, все с первого раза поняли

Нестандартные порты, норм пароли и элементарная защита от перебора решают

Можно еще фильтрацию по айпи включить

Да всё можно

Нестандартные порты, норм пароли и элементарная защита от перебора решают

где-то читал, что это плацебо. Но мнение отстаивать не буду

да в общем-то да

от задач зависит

где-то читал, что это плацебо. Но мнение отстаивать не буду

В той или иной степени

честно скажу - публиковал рдп на 3389 и бед не знал

главное - админа отрубить

где-то читал, что это плацебо. Но мнение отстаивать не буду

если надо - заНМАПят

главное - не делать как коллеги, которые нетбиос наружу без пароля вывесили

смена порта - серебряная пуля

отсекает лишь самых тупых ботов

честно скажу - публиковал рдп на 3389 и бед не знал

ой не стал бы я rdp оставлять наружу, уже имел горький опыт отломанного на ухнарь сервера через rdp