Ajuda com firewall do mikrotik
Boa noite!
Estou há uns 4 dias quebrando a cabeça de como liberar o acesso do mikrotik para a internet, atualmente só consigo fazer abrir o mikrotik na rede interna, se eu testo do 4G não abre, ping funciona normal.
O cenário aqui é assim
Minha rede ficou assim: Conversor da fibra, mikrotik para discar o pppoe, um roteador na minha casa em DHCP, um roteador na minha vizinha também em DHCP
Setei cada porta do mikrotik com uma faixa diferente, a porta 1 é onde recebo o link, porta 2 vai para a minha vizinha, porta 3 para o meu roteador, porta 4 e 5 eu deixei para gerenciar, cada um com uma faixa de ip diferente.
https://imgur.com/a/gX4wIau
Se puderem me ajudar, ficarei grato.
Uma outra duvida, não consigo "achar" qual ip ficou para a RB em sí, será que pode ser isso? Qual seria o comando ou forma de visualizar o ip da RB?
Re: Ajuda com firewall do mikrotik
Para acessar a RB de dentro da rede, pode ser qualquer ip de qualquer interface da RB
Para acessar a RB de fora da rede pelo ip que vc recebeu via pppoe, (para visualizar o ip é só entrar na interface pppoe e verificar, obviamente para acessar de fora da rede tem que ter recebido um ip público do provedor).
Se estiver tudo ok, o IP for público e estiver pingando de fora da rede e não estiver acessando a RB ainda, pode ser firewall.
pode ser que você esteja usando a configuração de firewall padrão que vem no mikrotik (Que é muito boa, não remova), essa configuração por padrão bloqueia todo acesso externo de entrada para RB menos ping.
Se for isso desative todas as regras input com action drop em ip firewall filter e tente acessar, se funcionar descobriu o problema.
Então você ativa as regras novamente pra RB continuar segura.
E cria uma regra de exceção em ip firewall filter para aceitar acesso input na na porta tcp do winbox
aconselho antes de criar a regra trocar a porta do winbox só pra não deixar a porta padrão de cara na internet e ficar sofrendo ataques,
para trocar a porta do winbox é em ip services
Ai você cria a regra de exceção input tcp nova porta do winbox accept acima da regra input drop.
Re: Ajuda com firewall do mikrotik
Aí que esta, em ip > firewall > filter rule não tinha nada e mesmo assim não acessava, realmente consigo pingar de fora da rede, tanto para o meu DDNS quanto para o ip cloud, só o acesso que não funciona mesmo
Fiz umas regras que achei em outro forum gringo mas mesmo assim não funciona, tanto pelo winbox quanto pelo app da mikrotik para o celular, no celular depois de um tempo "conectando" aparece escrito "Connection Refused"
Devo ter feito algo de errado nessa parte de firewall. Tentei também criar uma VPN e a conexão não é feita, pior que nem no log aparece, e como sou novo, sem achar essa info no log eu fico perdido...
Aqui está assim: https://imgur.com/a/Uw42TVj
No aba NAT, tem duas regras lá tcp e udp, acho que fiz para liberar as portas pro meu PC, mas não sei se está realmente funciona, mas eu deixei lá, vai que...
Re: Ajuda com firewall do mikrotik
Olha em ip> service >winbox verifica se tem alguma rede definida,
e parece que seu masquerade ta sem out-interface, assim vai trocar origem do pacote em qualquer interface.
e essas regras de filter accept não fazem diferença do jeito que estão ai, pois ela liberam o que não esta bloqueado, ou seja fazem nada.
Re: Ajuda com firewall do mikrotik
Não estaria atrás de um CGNat?
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
ory0n
Olha em ip> service >winbox verifica se tem alguma rede definida,
e parece que seu masquerade ta sem out-interface, assim vai trocar origem do pacote em qualquer interface.
e essas regras de filter accept não fazem diferença do jeito que estão ai, pois ela liberam o que não esta bloqueado, ou seja fazem nada.
Não tem nenhum ip definido lá, eu até vou fazer isso após resolver esse problema, pois nem ao VPN server eu consigo me conectar, mas por enquanto não defini nenhum IP.
Devo colocar só o out-interface? pois vi em alguns topicos que eu deveria colocar a interface de saida e o ip, "chain=srcnat out-interface=ether3 src-address=172.18.0.1/24
action=masquerade"
Só que ao fazer isso eu automaticamente perco o conexão com a internet no que estiver no 172.xxx.xxx.xxx/24, só não testei no outro bloco de ip que sai da porta 2, mas acredito que deva ficar sem acesso também.
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
cunhajr
Não estaria atrás de um CGNat?
Não, eu recebo IP publico válido, consigo pingar meu DDNS e o IP > Cloud, só o acesso que não funciona mesmo...
Re: Ajuda com firewall do mikrotik
O mais importante é out-interface na interface de saída pra internet onde esta o IP publico, no caso a interface pppoe), pra não ficar trocando o ip de origem de pacotes que estão saindo pelas interfces LAN desnecessariamente.
O src-adress não precisa, a não ser que vc queira definir que apenas uma rede especifica vai acessar a internet.
se todas redes locais vão acessar a internet deixa em branco.
Re: Ajuda com firewall do mikrotik
Vc usa Link dedicado ou XDSL ? receber ip público válido não significa vc não estar em um CGNAT pela operadora. Aqui no Shopping Recife, a operadora Vivo, faz isso com maioria dos clientes que pedem instalação. Apesar de ter na interface PPPoe um ip válido, nenhuma conexão externa (Winbox, DVRs, e outras portas/serviços que vc habilitar) é realizada.
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
RedSkull
Não, eu recebo IP publico válido, consigo pingar meu DDNS e o IP > Cloud, só o acesso que não funciona mesmo...
Não confunda o NAT com CGNAT efetuado pela operadora !!
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
ory0n
O mais importante é out-interface na interface de saída pra internet onde esta o IP publico, no caso a interface pppoe), pra não ficar trocando o ip de origem de pacotes que estão saindo pelas interfces LAN desnecessariamente.
O src-adress não precisa, a não ser que vc queira definir que apenas uma rede especifica vai acessar a internet.
se todas redes locais vão acessar a internet deixa em branco.
Entendi, setei aqui a out-interface como pppoe, tecnicamente é só isso ou preciso fazer algo mais? Pelo meu 4G o acesso ao winbox ainda não funciona, seja por DDNS ou pelo cloud da mikrotik.. Algo deve estar passando despercebido mas não consigo identificar o que.
Ficou assim aqui: http://prntscr.com/ntyuqk
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
cunhajr
Vc usa Link dedicado ou XDSL ? receber ip público válido não significa vc não estar em um CGNAT pela operadora. Aqui no Shopping Recife, a operadora Vivo, faz isso com maioria dos clientes que pedem instalação. Apesar de ter na interface PPPoe um ip válido, nenhuma conexão externa (Winbox, DVRs, e outras portas/serviços que vc habilitar) é realizada.
Recebo minha internet na fibra do provedor que trabalho, antes de colocar a RB, eu conseguia acessar meu roteador(Xiaomi), conectar na VPN criada no proprio roteador, agora que coloquei a RB eu não consigo acessar nem a RB e nem o servidor VPN criado na RB.
Mas é IP publico sim, os unicos planos de CGNAT que tem nessa empresa, são planos abaixo de R$90 pois não temos AS ainda e não liberam mais blocos de ips pra gente.
Eu tô só tentando aprender mikrotik para num futuro já ter uma noção básica, caso seja preciso, pretendo fazer um curso só que agora não dá, então se eu já tiver um norte já ficaria mais fácil rs
Re: Ajuda com firewall do mikrotik
É algum detalhe básico.
Na duvida, faz um backup, reseta as configurações sem a configuração padrão, zera tudo mesmo.
E começa do zero, configura só o PPPoE na interface e a senha de admin, e testa se a RB pinga algum site qualquer na internet só pra conferir se a rb esta com internet
Se estiver com internet na RB tenta acessar a RB de fora da rede pelo ip publico.
tem que funcionar, só com pppoe configurado.
Depois que funcionar faz o resto da configuração
Se nada der certo, volta o backup e continua pensando.
Re: Ajuda com firewall do mikrotik
Citação:
Postado originalmente por
ory0n
É algum detalhe básico.
Na duvida, faz um backup, reseta as configurações sem a configuração padrão, zera tudo mesmo.
E começa do zero, configura só o PPPoE na interface e a senha de admin, e testa se a RB pinga algum site qualquer na internet só pra conferir se a rb esta com internet
Se estiver com internet na RB tenta acessar a RB de fora da rede pelo ip publico.
tem que funcionar, só com pppoe configurado.
Depois que funcionar faz o resto da configuração
Se nada der certo, volta o backup e continua pensando.
muito obrigado, tentarei aqui assim que chegar em casa.
Eu tenho ideia mais ou menos do que pode ser, tô achando que como setei um ip pra cada interface, isso pode estar interferindo, irei testar mais tarde. De qualquer forma, já aprendi um pouco em relação ao firewall aqui nesse topico, achei que funcionava de uma outra forma mas já tirei a duvida.
agradeço e qualquer coisa posto aqui.
