В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету: Сегодня мы поговорим о том, как обезопасить себя от уже известных уязвимостей в RouterOS и защититься от тех, которые выявят в будущем. Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

Sip direct media mikrotik что это

SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.

Еще одна часто возникающая проблема с роутерами Mikrotik – это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий

1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов

В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .

TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Но провернуть подобную операцию с Windows не так просто из стандартного набора программ выпилили Telnet, а качать сторонний софт не всегда возможно. Если самостоятельно разобраться в нюансах не получается, пишите мне!

MikroTik: Firewall правильное перенаправление портов | GREGORY GOST

• Стоимость – в своем ценовом сегменте конкуренты просто не обнаруживаются;
• Единая для всех своих устройств ОС позволяет быстро устанавливать оборудование, а так же раз усвоенный навык работы с Microtik поможет всегда.
• Документация и обновления – один из самых приятных плюсов. Все прошивки размещены на официальном сайте, а документация – на Википедии. Все можно скачать, не регистрируясь, что не распространено среди конкурентов.
• Надежность. – превыше всего. Если один раз правильно настроить Microtik, больше с этим вряд ли придется сталкиваться. Но на всякий случай стоит знать о WatchDog, которая может спасти зависший роутер.
• Масштаб. Идеально Microtik подходит для небольших компаний, но ее вполне можно приспособить и для более сложной нагрузки, поставив на мощный сервер.
• Функционал сетевого оборудования этой марки необычайно широк, конкурируя с серьезными марками. («Домашние» роутеры не могут составить ему конкуренцию»).

среда, 6 июня 2018 г.

MikroTik SIP Helper и зависшие регистрации

Как это обычно бывает, ты тратишь время на поиск истины в RFC, зарывшись в дампах трафика и исходников протокола, а кто-то за тебя это уже сделал. Ну что же, будет мне уроком. Все тоже самое, что тут, но на видео и с дополнительными картинками – https://www.youtube.com/watch?v=Anu6ZYg25yM

Прежде всего давайте разберем основы SIP протокола и установки связи на примере Asterisk.
SIP – это транспортный протокол для SDP, и вот уже SDP определяет куда надо отвечать второму абоненту.

На Asterisk NAT выключен, SIP Helper на микротике выключен. На микротике включен SRC-NAT masquerade, и DST-NAT TCP 5060, UDP 10000-20000 в сторону телефона.

SIP телефон успешно зарегистрировался на сервере, микротик создал трансляции ната, и держит соединения в connection tracking.

С номера 100 (192.168.1.100) совершают звонок на номер 200.

Важный момент: SIP Helper работает только с SIP на порту 5060, он разумеется не сможет работать с SIP TLS, так как шифруется на оконечных устройствах. И он НИКАК не влияет на RTP!

При такой схеме и работающем SIP Helper мы получаем картину, при которой наш микротик получит пакеты, где адрес назначения будет одинаковый. Если включен SIP Direct Media – то он даст возможность телефонам напрямую общаться. Если выключен, то подобные пакеты будут просто дропаться.

Рассмотрим теперь проблему зависающих сессий.
Рассмотрим схему ниже:

Port Forwarding трудоемкое и требующее внимательности мероприятие. Возможно, что с первого раза новичку будет трудно его осуществить. Желательно сохранить резервную копию конфигурации маршрутизатора перед началом процесса. Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра. Если он установлен для определенного интерфейса, аутентификация разрешена всем, кроме тех устройств, которые перечислены в списке доступа без флажка.

Перенаправление портов

Существует несколько способов реализации проброса портов в роутерах MikroTik. Используются как графический интерфейс, так и консольные команды.

Настройка через GUI

Для подключения к роутеру можно использовать фирменную программу Winbox, скачав ее с сайта разработчика. После установки произвести следующие действия:

После этого следует написать пояснения к вновь созданному правилу, чтобы не забыть для чего оно устанавливалось. Делается это путем нажатия кнопки «Comment».

После настройки всех компонентов подтвердить, нажав на «ОК». Правило появится в меню NAT. Для активизации нужно поставить его выше других сценариев.

Использование командной строки

Для подключения консоли выбрать пункт «New Terminal» в Winbox. Также можно воспользоваться Telnet или SSH.

После подключения установить 2 правила:

• номер_внешнего_узла_ роутера — внешний порт маршрутизатора, открытый для проброса;
• адрес_устройства — ip компьютера во внутренней сети, который соединяется через проброс;
• узел_устройства — порт внутреннего компьютера;
• внутренний_адрес_роутера/24— адрес роутера в локальной сети, «24» указывает, что маска подсети 255.255.255.0;
• ether1-gateway — физический интерфейс через который осуществляется связь с интернетом.

Использование консоли может вызвать затруднения у неопытных пользователей.

Переадресация нескольких портов

Если нужно применить Port Forwarding к нескольким портам, то в пункте Dst.Port на вкладке General указать их через запятую.

В определенных случаях, например, при пробросе udp для компьютерной телефонии, нужно дополнительно сделать маркировку пакетов. Для этого нужно зайти во вкладку «Mangle», находящуюся в меню «firewall».

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Создание домашней сети на базе устройств MikroTik Часть 7 Firewall правильное перенаправление портов в сети с двумя шлюзами. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Проброс портов в NAT Mikrotik на примере RDP | Soft-Setup

• подключение к IP-камере или видерегистратору удаленно, через интернет;
• для правильного функционирования торрентов;
• доступ кP2P-сетям и локальным FTP и WEB серверам;
• создание домашних игровых серверов.

Port Forwarding для 80 порта

Ниже будет показан пример настройки для переадресации 80 порта веб-севера, находящегося в локальной сети.

Его адрес 192.168.15.15, протокол — tcp, имя физического интерфейса роутера — ether5-WAN1 с адресом 10.1.100.1. Создать правило NAT, с указанными на рисунке параметрами.

Вкладка «General»:

Вкладка «Action»:

Если настраивать через консоль, то ввести следующие команды: