TightVNC - Firewall

chemo

Ahoj, mám menší problém s nastavení nejspíš Mikrotiku pro TightVNC.

Když jsem ve vnitřní síti a zadám IP adresu počítače, který chci vzdáleně ovládat + port, super mi to hned naskočí všechno, ale když to zkouším přes veřejnou IP, tak to nejde.

Pravidlo v mikrotiku mám nastaveno

32 ;;; TightVNC

chain=dstnat action=dst-nat to-addresses=192.168.100.10 to-ports=

protocol=tcp dst-address=verejna_IP dst-port=5900

33 ;;; TightVNC

chain=dstnat action=dst-nat to-addresses=192.168.100.10 to-ports=

protocol=udp dst-address=verejna_IP dst-port=5900

Když zadávám do TightVNC 192.168.100.10 tak se hned připojím (z lokální sítě). Ale přes veřejnou IP to hází: Nemohlo být vytvořeno žádné připojení, protože cílový počítač je aktivně odmítl.

jarda_jezek

Asi je třeba ještě povolit port ve forwardu.

chemo

Viděl jsem na anglickém fóru, jak někdo tam hodil /ip firewall filter print, kde neměl žádné pravidlo na TightVNC, a /ip firewall nat> print - kde měl nastaveno právě stejně, jak to mám já :-/

Ještě maličkost, nemůžu pingnout adresu 192.168.100.10 z Mikrotiku, brání tomu Windows Firewall, jaký port je potřeba povolit na to? Z příkazového řádku ve Windows z jiné stanice pingnu normálně ale z Mikrotiku ne.

mazzalo

Veřejnou IP adresu máš přímo na tom mikrotiku kde to nastavuješ?

chemo

Ano, přímo na něm.

Mám tak nastaveno hodně portů, přes které přistupuji na počítač a všechny fungují.

V poslední době mi blbne i vzdáleně Winbox :-/ Nevím proč, vždycky to fungovalo, občas blblo a najednou ne.

radekulehla

V "to-ports=" máš schválně prázdno, aby jsme nevěděli porty? Co pořadí pravidel ve fw, není nad nimy něco, co packet požere?

chemo

V to ports jsem zkoušel s i bez 5900, obojí nefungovalo. Pravidlo jsem hodil úplně nahoru a stejně nic. Žádné by s tím nemělo souviset.

Možná toto pravidlo

Nevím, co to znamená. Jinak právě jsem to vyzkoušel na jiné veřejné IP adrese + počítač Win XP, a funguje to. Když jsem nastavil pravidlo, šlo to v pohodě. Když nebylo nastaveno, házelo to chybu: "Nemohlo být vytvořeno žádné připojení, protože cílový počítač jej aktivně odmítl."

U toho, kde se to pokouším nastavit, mi to hází chybu: "Pokus o připojení selhal, protože připojená strana v časovém intervalu řádně neodpověděla, nebo vytvořené připojení selhalo, protože neodpověděl připojený hostitel." -- tuto chybu to hází se zapnutým i s vypnutým pravidlem.

radekulehla

Pošli export celé sekce ip

chemo

Pokud byste v tom našli i chybu, proč mi nejede WinBox vzdáleně, budu jenom rád.

radekulehla

to je jen NAT ... přidej tedy ještě address, routers a filter

radekulehla

smazat 0 chain=srcnat action=src-nat to-addresses=verejna_IP src-address=192.168.100.10

dát na poslední řádek a definovat odchozí interface

1 chain=srcnat action=src-nat to-addresses=verejna_IP src-address=192.168.100.0/24 - dát na poseldní řádek

smazat

2 ;;; Winbox TCP

chain=dstnat action=accept protocol=tcp dst-address=verejna_IP dst-port=8291

smazat

3 ;;; Winbox UDP

chain=dstnat action=accept protocol=udp dst-address=verejna_IP dst-port=8291

WTF?

18 X ;;; Skype TCP

chain=dstnat action=dst-nat to-ports=35883 protocol=tcp dst-address=verejna_IP dst-port=35883

WTF na druhou ?

29 ;;; VOIP_UDP_10000-50000

chain=dstnat action=dst-nat to-addresses=192.168.100.15 protocol=udp dst-address=verejna_IP dst-port=10000-50000

smazat

30 ;;; zbytek

chain=dstnat action=accept to-addresses=192.168.100.15 dst-address=verejna_IP

nikdy jsem DST-NAT nekonfiguroval bez vyplnění to-ports ... nevim, jestli se to chová korektně, zvláště při zadávání rozsahu portů

některé rozsahy portů se kryjí, takže nastane pravidlo, které bude aplikováné dříve ... za předpokladu, že router nemá více veřejných adres a bavíme se o jedné

radekulehla

Pokud máš čistě jednu veřejnou určenou pro IP 192.168.100.10 tak použij tyto dvě pravidla

add action=netmap chain=dstnat comment="G.IP CyberMole" dst-address=veřejná to-addresses=vnitřní

add action=netmap chain=srcnat comment="G.IP CyberMole" src-address=vnitřní to-addresses=veřejná

chemo

veřejná IP adresa není čistě jenom pro 100.10

Nepochopil jsem:

dát na poslední řádek a definovat odchozí interface

Jinak ten skype je neaktivní, ostatní jsem smazal.

To s tím facebookem netuším, co tam je

radekulehla

Pomohla změna nastavení? JInak pak doporučuju smazat counters a vyzkoušet se připojit. Pokud se načte nějaký packet v pravidle, které tomu přísluší, tak bych pak hledal problém v nastavení koncové stanice.

chemo

Nepomohla a nepochopil jsem to jedno, co jsem měl změnit.

Edit: Pro změnu jedna věc - IP - Firewall - Service ports - když tu nemám Winbox, bude to fungovat? Případně jak se tam nastaví Winbox

chemo

Fakt neví někdo, čím by to mohlo být? Podle mě je něco někde zakázáno nebo tak. Možná to opravím i tak, když zprovozním vzdálený winbox na veřejnou IP (prostě to nejde. zkoušel jsem se dívat různě do nastavení ale na nic jsem nepřišel. z místní sítě se přihlásím, z jiné ne)

Díky moc za rady

----

Tak jsem to zrovna vyřešil sám. Můj bordel ve veřejných IP.

----

Jinak by mě zajímalo, zda toto taky někdo používá? Případně jaký jiný způsob je vhodný pro správu zařízení (PC a NB), který je neplacený? Toto mi přijde jako dobrá volba, ale funguje to pouze na počítače v síti za veřejnou IP.

Šlo by to udělat tak, že by se na Mikrotiku vytvořila VPN na tu veřejnou IP a potom by se šlo přihlásit na zařízení připojená k VPN odevšad?

ludvik

Také můžeš počítače odlišit porty ...

Pro BFU je bohužel lepší TeamViewer, či něco podobného, třeba Ammyy. Jen spustí .exe soubor z plochy, to většinou zvládnou. Případně je to tam strčený jako služba. A obě tyto řešení mi přijdou podstatně rychlejší, než jakákoliv varianta VNC.

chemo

Tak jako toto by mi celkem vyhovovalo, každému počítači dám statickou IP, na tu IP navážu port, VNC se zapíná automaticky po startu, jen tam nastavím daný port a přihlásím se k němu.

Teamviewer je bohužel drahý, Ammy bohužel taktéž nemůžu využívat. VNC se mi zdá jako dobrá náhrada.

Akorát musím nějakým způsobem vymyslet to VPNko.

Na Mikrotiku vytvořím VPN (návod nějaký snad najdu) - ve Windows se připojím normálně VPN vestavěnou app - a notebook bude ve vnitřní síti (tedy Mikrotik mu přiřadí stejnou adresu, jakou mu nastavím statickou + se můžu dostat odkudkoliv do sdílený připojených složek ze serveru). Šlo by to tak?

ludvik

Pokud si chceš hrát s VPN, tak si nemusíš hrát s DNAT.

chemo

Teď to nějak nechápu

Další stránka »