Acesso ao Mikrotik pelo Winbox (tem sido um desafio !!!)

Bom dia Pessoal,
Alguém tem uma sugestão para esse desafio ?!
Preciso acessar o MK pelo winbox, mas estou em uma rede diferente.

Cenário:

--> WL-5460AP (diversos)

|

|............ | --> WL-5460AP (diversos)

|............ |

notebook --> Switch --> Firewall --> MK1 --> MKs2 --> MK3 --> MK4 --> WL-5460AP (diversos)

No Firewall utilizo 3 portas:
X0 --> LAN (onde está conectado o Switch e meu notebook) - Rede IPs: 192.168.0.X
X1 --> WAN (onde temos o link de internet: distribuindo para LAN e DMZ) - Rede IPs Dedicados
X2 --> DMZ (onde temos a rede wireless) - Rede IPs. 192.168.1.X

Está tudo funcionando perfeitamente.
O único problema é que para eu acessar o MK1 e também os demais, preciso desconetar meu cabo do Switch e conectá-lo diretamente ao MK1; assim consigo acessar todos os MKs pelo winbox.

Gostaria de acessá-los de dentro da minha rede, mas já fiz vários testes com sugestões para Liberação do Winbox Acesso Remoto (descritos em outros posts) e não funcionou.

No Firewall adicionei uma regra permitindo o acesso de X0 para X2 através da porta 8291 (TCP e UDP).
Quando solicito a conexão e verifico as estatíticas observo que existe envio Tx, mas não existe resposta Rx.
Até criei, também, uma regra Inversa permitindo o acesso pela mesma porta, mas ainda não funcionou.

Detalhe: Acesso os diversos Ovislinks WL-5460AP sem problemas.

Alguém poderia dar uma luz ? rsrsrs
Muito obrigado.

Cara, talvez você tenha explicado muito bem, mas eu 'viajei' nessa topologia sua.

Bom dia!

Só por curiosidade... o Firewall do seu Notebook está ativo?

Anti vírus:
Alguns AV utilizam Firewall muito eficientes que usam a regra nativa deny all e aguardam
você determinar quem e quais serviços e acessos estão liberados na sua rede.

Recentemente o Avast anti vírus liberou uma atualização que contem firewall próprio que por
sua vez também nega quase todos os pacotes entrantes, inclusive os oriundos de sub-rede.

1 - Desabilite anti vírus e firewall nativos e faça uma tentativa

2 - Tente acesso via modo seguro

Minha linha de raciocínio:
Ao plugar o cabo diretamente no MK1 de certa forma você esta burlando fisicamente o --> firewall --> intermediário, por tanto, pode estar ai o problema.

Duvida:
Seu cliente DHCP no notebook a as variações no recebimento de IP quando alterna entre Switch e MK1. Quem delega a distribuição de IP em ambos os casos? Se estiver usando Estático mude para Dinâmico e tente obter o acesso.

Obs: Quando você tenta acessar o Mikrotik via navegador web qual é o resultado?
Já analisou os LOGs de erros para ver se encontra alguma pista?

...

Essa Rede é Roteada? esse mk2 e 3 tem ip publico?
se sim acesso via ip direto.

Se vc esta fora da rede, e MK2 e MK3 tem ip falso, vc pode fazer um direcionamento no teu firewall da porta 8291, para o mk2 ou mk3.

ok?

Bom dia Pessoal,

Obrigado pelas respostas.
Fiz alguns testes sugeridos e ainda não deu certo.
Vamos aos comentários:

WiFiBR: É nossa rede é um pouco complexa por conta da topografia (acidentada) da cidade. Tivemos que fazer desta forma (é uma rede antiga), mas já estamos estudando uma atualização que deve simplificar as coisas.

AmorimMMS: Realmente alguns antivus e próprio firewall são bloqueadores naturais de acesso, por isso testei sua sugestão, mas também não obtive sucesso. Temos 2 DHCP Servers - um para rede interna (192.168.0.xxx) e outro ativado no MK1 para a rede externa (192.168.1.xxx). Sempre utilizo DCHP para o note tanto na rede interna como na externa (conectando o cabo diretamente) e funciona perfeitamente. Quando tento acesso pelo navegador (IE, FFox ou Chrome) a resposta é: a página não pode ser exibida. Já analisei os LOGs do Firewall - porque cria ser nele o problema, mas já estou quase convencido (essa frase é familiar, hein ...) de que os MKs é que estão bloqueando. ainda não vi esses LOGs.

gzanatta00: Os MKs não tem IP público. Só tenho como acessá-los de dentro da nossa rede, e por enquanto o acesso está restrito à rede do próprio MK. Acredito que se eu conseguir acessar o MK1, acessarei também os MK2 e MK3. Não pretendo liberar o acesso de fora da rede, gostaria apenas que de dentro da rede 0 (192.168.0.xxx) pudesse acessar os MKs da rede 1 (192.168.1.xxx).

Muito obrigado a todos pelas contribuições.

Pense em outras 2 possibilidades, mas não sei estou errado e se funcionaria:

1) Adicionar um IP da rede interna no MK1. A partir da rede interna não consigo nem pingar os MKs, eles parecem não conhecer a rede interna. Mas, consigo acesso normal aos outros rádios e computadores que estão atras dos MKs. Não sei se isso é possivel e se funcionaria. Mas ...

2) Criar regra no MK1 para liberar o acesso pela porta 8291 para a rede interna. Talvez essa seja a melhor opção. Mas não sei como fazer. Também, não sou especialista em redes, não sei se isso funcionaria.

Se puderem, comentem.

Muito obrigado a todos.