Товарищи, прошу подсказать - есть 3011 микрот. Делаю проброс порта rdp. Например 17080 -> 3389 - работает.

Теперь делаю проброс 80 порта (ilo5) - не хочет открываться. Служба ilo5. Внутри сети открывается.

Подскажите кто настраивал ило через проброс портов?

Спасибо за ответы!

1) Может 80 порт зарезервирован для веб-консоли самого микрота?
2) Вроде кроме проброса нужно еще и разрешение на форвардинг.

снаружи указывай не 80й порт а какой нибудь 8888
(2) NAT работает раньше firewall

(0) 443 еще пробрось

большая часть веба сча httpS по 443 порту
80 порт он сча обычно остается как начальный порт для редиректа на 443
да на практике https может быть на любом порту и даже на 80, но на нем если сразу воткнуть то могут быть траблы
поэтому стандарт это 80(http) и 443(https) порты, которые и надо пробрасывать

Если нужен именно 80, поменяй порт IP-Services для www

а как пробросит 2 порта, если на входе перенаправление только на один

снаружи я указываю вообще 18111 например

(1) может. идея хорошая. но я с микротами пока никак)))

(7) В (4) тебе сказали что делать ищи IP-Services

Микротик не умеет "проброс порта" в стиле xinetd, он умеет dst-nat - это не то же самое. В случае dst-nat адрес источника не подменяется на адрес роутера. Соответственно, должен быть рабочий маршрут от сервера (ilo) до клиента через микротик.

+(8) https://i.imgur.com/6Sh9wRG.png

(7) Проброс портов настраивается элементарно. Прямо в винбокс.
ip - firewall - nat. Добавить.

Закладка General.
Chain - dstnat, Protokol - 6(tcp), Dst.Port - =нужный порт с наружи=, In interface - =твой инет интерфейс=

Закладка Action
Action - dst-nat, To adress - =локальный адрес твоего ilo=, to port - 80

+(11) Здесь в картинках https://lantorg.com/article/probros-portov-na-mikrotik
Правда Action рекомендуют netmap.

(11) Если микротик не является для управляемого сервера шлюзом по умолчанию - всё не так элементарно становится... Реально не хватает в микротике возможности редиректа с подменой адреса источника на адрес интерфейса микротика. Это бы сильно всё упростило.

(11) именно так я настроил проброс на рдп... но с ило - не так все просто....

(14) А на ilo шлюз по умолчанию задан правильно, адресом микротика?

(14) "не так все просто". В чем сложность?

(16) Придется маршрут на клиентскую сеть прописывать на управляемом сервере.

(14) Что у тебя в (10) ?

Предлагаю выкинуть этот говнотик и взять нормальный кинетик
Там это элементарно делается

Добавляешь это правило в терминале:
add action=dst-nat chain=dstnat comment=ILO disabled=yes dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=ЛОКАЛЬНЫЙ АДРЕС ILO  to-ports=443

Всего используется 3 порта:
Web:443
Remote console:17990
Virtual media:17988

Только после добавления активируй это правило во вкладке NAT

(0) Если не получится, пиши, пришлю со скриншотами как сделать :) Но там вообще все просто, думаю разберешься. И желательно 443 порт с наружи заменить другим, например 9443. Вообще правильнее поднять VPN, наружу ILO нежелательно выставлять, там дыры тоже есть в некоторых прошивках.

спасибо

(13) masquerade?

(23) А как его подружить с dst-nat'ом? Чтобы работало как редирект в xinetd, чтобы целевой хост думал что с ним соединяется сам роутер и не искал маршруты к реальному src?

продолжим тему, руки добрались

настроил доступ - dscnat -> 6(tcp) -> 18100 на 80-ый порт внутренного сервера 192.168.88.5

в результате открывается адрес внутреннего сервера и тишина полная