Mikrotik RB952UI-5AC2ND hAP ac lite не пробрасывается 443 порт, Думаю это очень хороший модем для сервера Mikrotik RB952UI-5AC2ND hAP ac lite, 2.4GHz b/g/n, 5GHz a/n/ac, CPU 650MHz, 64MB DDR R, но настроить 443 порт никак не могу!
Подскажите пожалуйста, может у кого то такой же модем. На обычном дешевом модеме Тенда легко настроил все порты , 80, 443 , 3389. Сайты и удаленка работают отлично. Но все же это туповатый модем и дешевый. Поэтому приобрел Mikrotik RB952UI-5AC2ND. Все порты настроил кроме 443. Ну никак не могу его открыть. Сайты не отзываются не из локалки не из внешнего IP. Как быть?
Попробуйте В разделе IP -> Services www-ssl отключить. Да именно отключить. А то когда эта опция включена то роутер ждет соединения на 443 порту что б по ssl протоколу вы могли его администрировать. А когда отключите, то и порт должен проброситься стандартным методом как и остальные порты.
dst-address=0.0.0.0 - ВАШ IP внешний, который на WAN порте. (тот по которому у вас в браузере должен открываться сайт) in-interface=ether1 - Тут должен быть ВАШ интерфейс который у вас смотрит наружу (скорее всего ether1) addresses=192.168.33.2 - ВАШ IP локальной машины внутри сети на которой крутится портал
Еще одна проблема которую нужно решить, так как без этого битрикс не может пройти проверку системы "Работа с сокетами".
При переходе с обычного дешевого модема на MikroTik перестали открываться сайты с устройств находящихся в той же локальной сети что и сервер. Например если я захожу на site.com через мобильный интернет, то все работает, но если уже подключаюсь к wi-fi сети модема MikroTik через который подключен и сервер, то достучаться нельзя.
где src-address=192.168.33.0/24 - это адрес вашей сети, у микротиков обычно 192.168.88.0/24, но возможно у вас свои настройки dst-address=192.168.33.2 - это ваш сервер
Но если отключаю самое первое правило, которое было по умолчанию в роутере с самого начала, то эта проблема с сокетами пропадает. Но что то подтупливают другие сайты...
Попробуйте прописать out-interface как в мануале микротика или как указал Евгений Костюк в #9, т.е. out-interface=LAN Я часто сталкиваюсь с такими ситуациями и правило всегда работает. Также поднимите это правило выше в приоритетах. Чтоб не вникать в тонкости Вашего случая предлагаю поставить его сразу после дефолтного правила masquerade вторым (т.е. defconf: masquerade это нулевое и правило для Hairpin NAT первое)
P.S. Также на скрине не видно какой action у этого правила - надеюсь там masquerade, а не accept или что-то еще.
P.P.S. И еще обновите версию RouterOS - она у Вас достаточно старая и имеет несколько общеизвестных уязвимостей.
Замените в правиле 1) Out. Interface - ничего не ставьте 2) в Out. Interface List укажите LAN 3) Отредактируйте правило о котором я писал в посте №4. В нем я указывал in-interface=ether1, но вам тут не нужно вообще никакого интерфейса указывать 4) и как заметили выше на вашем скриншоте не видно какой экшен стоит. Должен быть маскарад.
Резюмируя у вас должно быть два правила (именно в такой очередности)
0) Стандартное правило маскарада, его не нужно отключать. 1) add chain=srcnat src-address=(тутадрес вашей сети напрмер 192.168.88.0/24) dst-address=IP_Сервера protocol=tcp dst-port=443 out-interface-list=LAN action=masquerade 2) add action=dst-nat chain=dstnat dst-address=IP_внешний dst-port=443 protocol=tcp to-addresses=IP_Сервера to-ports=443
Если у вас дефолтная конфигурация и в interface-list "LAN" добавлен bridge, то все должно работать))
1) Посмотрите через winbox, либо просто забейте командой, которую Вам привели уже готовую выше, правило в терминал. Веб-интерфейс это удобно. Я не буду спорить есть там эта опция или нет, т.к. давно не пользовался и негде сейчас проверить. Но через терминал или winbox точно есть возможность ее настроить. 2) А где обычное правило на проброс порта снаружи внутрь? Без него работать не будет. Это правило, с которым мы тут пытаемся помочь, включает Hairpin NAT, но если правила NAT нет, то и это не отработает.
P.S. В подтверждение своих слов показываю как это выглядит из winbox
По всей видимости нужно обновить прошивку я делал правила на прошивке 6.46.4 там есть возможность интерфейс лист использовать. Но даже если и не обновлять то можно вместо интерфейс листа использовать Out Interface в нем укажите или all ethernet или Bridge (я не знаю как у вас настроен роутер, но если вы используете дефолтную конфигурацию то выбирайте Bridge, если не сработает то попробуйте all ethernet) Я попробовал у себя использовать Out Interface = Bridge и у меня работает.