Mikrotik VNC Portforwarding

Auf Port 5900, intern funktioniert auch alles ohne Probleme.

Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff demnach kann ich Wireshark leider nicht darauf installieren. Stimmen denn meine Regeln überhaupt oder ist da bei VNC etwas anders im Gegensatz zu zum Beispiel OWA?

Mit dem "alten" Router der kein VPN konnte und defekt war ging dieser Zugriff allerdings.

Aber danke für den Tipp ich werde das mal prüfen lassen.

Ist denn von den Regeln die ich gesetzt habe alles ok?

Ich habe nun mal auf einem Server (Windows Server)
Einen VNC Server installiert und das Nat auf die IP des Servers ( 192.168.70.1) umgestellt. Auch bei diesem geht die VNC Verbindung nicht.

Meint ihr die dst Adressen bei Nat setzen oder bei der Forwardchain in der Firewall? Und wie sollte eine solche Regel dann aussehen?

So sieht meine Firewall jetzt gerade aus.

Ah ok danke

[admin@MikroTik] > /ip firewall filter export

1. oct/15/2015 14:01:36 by RouterOS 6.28
2. software id = ADFC-YAW4

#
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input in-interface=br-lan
add chain=input comment="Regel f\FCr die VPN Einwahl" dst-port=500,1701,4500 \
protocol=udp
add chain=input comment="Regel f\FCr die VPN Einwahl" protocol=ipsec-esp
add action=log chain=input disabled=yes
add action=drop chain=input
add chain=forward comment="Regel f\FCr DHCP Anfragen vom LAN/WLAN" \
dst-address-type=broadcast in-interface=br-lan
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward comment=\
"Regel f\FCr den Internet Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=53,80,443 in-interface=br-lan protocol=tcp
add chain=forward dst-address=!192.168.70.0/24 dst-port=53 in-interface=\
br-lan protocol=udp
add chain=forward comment="Regel f\FCr Teamviewer Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=5938 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Zeitserver (NTP) Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=123 in-interface=br-lan protocol=udp
add chain=forward comment="Regel f\FCr Mail Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=25,110,465,993,995 in-interface=\
br-lan protocol=tcp
add chain=forward comment="Regel f\FCr FTP Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=21 in-interface=br-lan protocol=tcp
add chain=forward comment=\
"Regel f\FCr den Monitoring Client Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=10124 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Starmoney Update Zugriff von LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=3000,58826 in-interface=br-lan protocol=tcp
add chain=forward comment="Regel f\FCr ICMP Echo Requests von LAN auf WAN" \
dst-address=!192.168.70.0/24 in-interface=br-lan protocol=icmp
add chain=forward comment="Regel f\FCr RDP Zugriff von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=3389 protocol=tcp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=500,1701,4500 protocol=udp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 protocol=ipsec-esp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=20,21,443,3389 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=5500,5800,5900 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment=VPN dst-address=192.168.70.0/24 src-address=\
192.168.78.0/24
add chain=forward comment="Hairpin NAT" dst-address=192.168.70.0/24 \
src-address=192.168.70.0/24
add action=log chain=forward disabled=yes
add action=drop chain=forward

[admin@MikroTik] > /ip firewall nat export

1. oct/15/2015 14:12:48 by RouterOS 6.28
2. software id = ADFC-YAW4

#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out-wdsl
add action=dst-nat chain=dstnat comment="dst-nat von Intern" \
dst-address-type=local dst-port=443 protocol=tcp to-addresses=\
192.168.70.1 to-ports=443
add action=dst-nat chain=dstnat comment="dst-nat von Extern" dst-port=443 \
in-interface=pppoe-out-wdsl protocol=tcp to-addresses=192.168.70.1 \
to-ports=443
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=20-21
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=3389
add action=dst-nat chain=dstnat dst-port=5500 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5500
add action=dst-nat chain=dstnat dst-port=5800 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5800
add action=dst-nat chain=dstnat dst-port=5900 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5900

Ich versteh euch ja, aber die Sachen sind hier nun einmal gegeben und ich bin das auszuführende Organ. Diese Budde die das betreut will das unbedingt so und der Betreiber hat dem so zugestimmt.
Ich bin da ja nicht der Boss.
Aber danke für eure Hinweise.

Danke Jodel ich habe mit der Regel geändert, noch funktioniert es leider nicht. Ich werde nun die Windows Firewall von denen so einstellen lassen und dann mal sehen.

Geht nicht, ok ich breche das ganze jetzt ab und werde den mitteln entweder via IPSec VPN oder halt nicht.

Danke für eure Hilfe. Ganz kurz noch zwecks Sicherheit. Habe ich bei meinen anderen Regeln nen Fehler eingebaut und mir irgendwo Löcher aufgerissen? Wenn ja was habe ich falsch gemacht? Würde mich freuen wenn ihr mir dabei helfen würdet.