Mikrotik u stationu i portforward

Uzeo sam mikrotik RB951 (192.168.88.1). Stavio wifi u station mode (192.168.1.134), nakačio se na tcom router (192.168.1.1). Virtual wlan 2 napravio bridgao sa svim lan portovima i to sve radi uredno, imam net na lanovima wifiu, dhcp.

DHCP mi daje mikrotik na mojoj mreži u range 192.168.88.0.

E sad pati me portforward. Na tcom routeru sam prvo stavio adresu 192.168.1.134 u DMZ.

Šta trebam imati u Firewall-Filter rules (tu nemam ništa trenutno)? A šta dodati u NAT?

Puštam port konkretno na adresi 192.168.88.254:5901. Ja sam to nekako i podesio u NAT-u i kad pošaljem zahrijev sa moba na taj port vidim da paket dodje ali nemogu pristupiti UVNC-u.

Može pomoć, thx

Trenutno mi je ovako:

https://www.dropbox.com/s/gakq1ggfvlbzidc/Screenshot%202018-05-30%2010.55.44.png?dl=0

https://www.dropbox.com/s/z4dagjr4na6e0xv/Screenshot%202018-05-30%2010.56.38.png?dl=0

Tcom nije moj sa njega samo uzimam net ( u dogovoru sa susjedom), a ja bi sebi sve složio na mikrotiku.

On ima i maxtv i neda mi se i sa tim kombinirati, i još da mu objasnim da i to treba imati kod tv-a, nije baš jednostavno :)

A da li na tcomovom routeru ništa neznaći što sam pod DMZ stavio ip adresu od mikrotika? Nebi li tcomov router puštati sve sa te adrese ako je u DMZ-u?

Kada maknem adresu od tika iz tcom DMZ onda mi paketi ne prolaze do tika.

(iako sam probao i puštati i na tcomu iste aderse i portove)

Ja vidim da doalze paketi na mikrotik, što bi mi znaćilo da negdje nešta griješim na tiku?

Aha, nisam skuzio za DMZ. Ak paketi dolaze do tika, onda bi sve trebalo raditi.

jel ti problem zveknut /export file=conf u terminal, pa samo copy/paste tu.

Jedino posakrivaj MAC i passworde.

EDIT: Stvorit ce ti file conf.rsc, njega drag/dropas negdje na svoj komp

Dobro si napravio sve po ovom što pišeš, ja imam na puno lokacija tako složeno i mora raidti.DMZ otvara sve portove prema Mikrotiku.Na njemu radiš port forward dalje normalno i po slikama isto si dobro napravio.

Dal si probao i napraviti kopiju ovog NAT što si pokazao na Dropbox slikama samo dodaj UDP protokol?Ne koristim više VNC ali sam imao pušten i UDP, isto tako imao sam pušten i 5500 TCP/UDP radi uvn repeatera, al nisam ti više siguran jel sam davno to koristio, možeš za probu dodati.

Isto tako obavezno napravi port check na http://canyouseeme.org/ Sa tog računala provjeri dal je port otvoren, može biti i problem u samom računalu da port ne pušta na internet već samo lokalno, tako da probaj isključiti Firewall(za sva 3 profila da budeš siguran), čisto da vidiš u čemu je problem.

I da, export config ako ne radi da vidimo.

Probao sam pustiti u udp ali nije prošlo, ali prije mi je radilo samo tcp ako pustim na tcom routeru.

//

# may/30/2018 15:36:03 by RouterOS 6.42.3
# software id = RBMG-B9IN
#
# model = 951G-2HnD
# serial number = xxxxxxxxxxxxxx
/interface bridge
add admin-mac=xxxxxxxxxxxx auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name="moj pass" \
supplicant-identity="" wpa-pre-shared-key=xxxxxxxxx wpa2-pre-shared-key=\
xxxxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn disabled=no distance=indoors \
frequency=2432 security-profile="moj pass" ssid=xxxxxx wireless-protocol=\
802.11
add disabled=no keepalive-frames=disabled mac-address=xxxxxxxxxxxxxxxxx \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile="moj pass" ssid=xxxxxx wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wlan1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=dstnat disabled=yes dst-port=5901 in-interface=wlan1 \
log=yes protocol=tcp to-addresses=192.168.88.254 to-ports=5901
add action=dst-nat chain=dstnat dst-port=5901 in-interface=wlan1 protocol=tcp \
to-addresses=192.168.88.254 to-ports=5901
add action=dst-nat chain=dstnat dst-port=5901 in-interface=wlan1 protocol=udp \
to-addresses=192.168.88.254 to-ports=5901
/system clock
set time-zone-name=Europe/Zagreb
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Nevidi ga ni canyouseeme. A ovi svi rulovi su i pogašeni.

1. Stavi fiksnu IP adresu na wlan1, izvan range-a DHCP servera na t-com routeru. Al onda moraš upisati i gateway (t-com router) i DNS (koristi 8.8.8.8 ili 1.1.1.1)

2. Fiksiraj komp koji je na .254... dupli klik na samu rezervaciju i tamo imaš make static ili tako nešto...

3. Ovo je longshot ali jel ti dst-nat iznad samog masquerade u NAT-u?

4. Stavi station-pseudobridge mod na wlan1

Inače ok konfiguracija. Nemoj firewall sranja držat isključenima.

pseudobridge će ti sredit problem, bridge radi samo između 2 mikrotika

 Al njemu radi sve u njegovom lokalnom subnetu, znaći da je sve dobro postavio već kako si i napisao, pošto kompovi dobivaju adrese i sve radi.

Naravno ne gasiti Firewall rulove, to je samo brzi test da eliminiraš probleme.

Al stavke 3. i 4. može probati u pravu si.

Modovi

Pseudobridge se koristi kad na drugoj strani nije mikrotik AP.

Povuci dst-nat iznad masquarade, na mjesto 0 i 1. Trenutno su na 1 i 2.

edit: vidim da si to napravio, sad bi sve trebalo radit.. hm

Gledam sad Ovako na brzaka preko moba al mislim da znam u čemu je problem, jel ti je to wlan stavljen pod Bridge?

Uglavnom makni wifi interface koji se spaja na tcom router iz bridge ako je stavljeno tako. 

Tako je pool na tcomu je do 100. wlan2-virtual mi je u bridgu, wlan1 nije u bridgu.

I daleko sam ja od dečka ;)

Ne, konfiguracija je dobra, dobro je postavljen NAT, dobro su bridge-ani portovi i wlan, bridge je u LAN-u, wlan koji se spaja je u WAN grupi.

Bio kraj radnog vremena, pa nisam više mogao guviti vrijeme na forumu :)

Možeš li pingati mikrotik sa t-com subneta?

Koliko vidim u onom NAT screen-u koji si postavio, imao si 22 TCP paketa koji su prošli kroz NAT. Tako da mi stvarno nije jasno u čemu je problem. Jesi li siguran da te firewall ne zajebava na samom kompu?

Inače, wlan1 možeš slobodno vratiti u station.

Nema predaje.

Windows? ako je otiđi na windows defender firewall u control panelu, pa tamo na inbound rules, pa lupi new rule, pa onda selektiraj port radio button i next

i pod specific port upiši koji ti već je je... i dal je TCP ili UDP, pa opet next. Allow the conenction, i onda opet next i odaberi sve tipove mreža.

I probaj opet VNC izvana.