Доброго дня всем. На днях хакнули шлюз (mikrotik). (не представляю как, пароль был зубодробительный, но не об этом речь). Во внутреннюю сетку попасть не смогли, но закрыли подключение извне. Также предполагаю, что попыток влезть внутрь не оставили. Шлюз сбросил и восстановил конфиг. Интернет работает, но подключения извне так и не случилось. Сначала грешил, что где-то не те настройки в шлюзе. Но нет, все правильно. Начал проверять сервера. Обнаружил, что проблема в dns. Путем многих манипуляций (включая подсказки с данного сайта) добился от команды dcdiag /s:hide /test:dns следующих результатов (сначала старые данные):
Было:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: Connectivity
......................... HIDE - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... HIDE - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: hide
Выполнение проверок предприятия на: hide.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: Hide.hide.local
Домен: hide.local
TEST: Delegations (Del)
Ошибка: DNS-сервер: server.hide.local. IP-адрес:<Недоступен> [Missing glue A record]
Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:
DNS-сервер: 10.221.0.50 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 10.221.0.50
DNS-сервер: 10.221.1.100 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 10.221.1.100
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: hide.local
Hide PASS PASS PASS FAIL PASS PASS n/a
......................... hide.local - не пройдена проверка DNS

Стало:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: Connectivity
......................... HIDE - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... HIDE - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: hide
Выполнение проверок предприятия на: hide.local
Запуск проверки: DNS
......................... hide.local - пройдена проверка DNS

Но проблема осталась. Извне недоступность на порты. Также обнаружил, что часть выданных ip адресов не имеют доступа в интернет. DHCP работает, выдает адреса без проблем. Диспетчер серверов говорит, что все лучше не бывает. Помогите понять, где проблема!!!!

P.S. Предыстория dhcp: была сеть /24 (пусть будет 192.168.0.х). Стало нехватать. Сделали /23. И вот адреса из новой подсети не получают интернет (пусть будет 192.168.1.х).

miksoft,

Спасибо большое за ссылки. Действительно не следил за новостями.

[quot bga83]Viohinondhcp: была сеть /24 (пусть будет 192.168.0.х). Стало нехватать. Сделали /23. И вот адреса из новой подсети не получают интернет (пусть будет 192.168.1.х).судя по всему доступ порезан на проксе или в настройках NAT(в зависимости от того как именно доступ в интернет организован), у сети осталась старая маска.

Спасибо большое действительно пропустил в одном правиле маску. Изнутри интернет заработал на всех устройствах. Но победить отсутствие подключения извне пока не удалось.

eNose,

Может, я чего не понимаю.

eNose,

Отключены три правила с резервного провайдера. Или вы о другом? Если о другом, то ткните носом, пожалуйста.

eNose,

И тем не менее доступ извне не работает.

eNose,

Dst. address - внешний IP шлюза.
To address, to ports - куда надо подключение отправить.

В маскараде scr.address - локальная сеть (пусть будет вида 192.168.0.0/23)

eNose,

Нет данных. Создал несколько правил в логгинге. Сложилось ощущение, что запрос к шлюзу на подключение не приходит. Хотя сам адрес пингуется.

eNose,

Микротик и выступает в роли шлюза. Провайдер сказал, что у них настройки не менялись и все отлично. Может вы подскажете, как правильно с нуля сконфигурировать привила файрвола?

eNose,

Нет. 1 IP, 1 провод.

Пинг до конечного хоста не идет. Шлюз извне пингуется.