[rout53]

Коллеги добрый день, сложилась довольно странная ситуация которую не получается решить, прошу вашей помощи. Есть mikrotik внутренняя сетка 10.20.30.0/24, есть внешний статический ip x.x.x.x Во внутренней сети стоит ftp сервер (10.20.30.10) на который удаленные (внешние) пользователи делают выгрузку дампов базы, путь к фтп прописан путем настройки dstnat - netmap, тут все работает удаленные пользователи набирают внешний ip и делают выгрузку, но встала проблема, есть еще и внутренние пользователи которым по идее можно кидать сразу на фтп 10.20.30.10, но программистам 1с надо чтобы они кидали не на внутренний, а на внешний x.x.x.x Вот тут и начинаются траблы если внутренний поьзователь набирает внешний айпишник, то ничего не происходит, не удается установить соединение и все, как не крутил dstnat, srcnat ничего не выходит. Прошу помощи. Заранее спасибо.

[Saab95]

Создайте копию правила проброса, в качестве src address укажите подсеть ваших внутренних адресов, в качестве dst address укажите ваш белый адрес на роутере. Так же можно указать in interface = ваш интерфейс, на котором терминируются внутренние адреса и т.п.

[rout53]

Пробовал так... нифига.. уже голову сломал как сделать.. ради эксперимента поставил tp-link 941ND заработало сразу, без каикх либо телодвижений, а микротик заводиться совсем не хочет.

[Saab95]

Пробовал так... нифига.. уже голову сломал как сделать.. ради эксперимента поставил tp-link 941ND заработало сразу, без каикх либо телодвижений, а микротик заводиться совсем не хочет.

 

 

Вот пример проброса порта 111 на 80 порт устройства внутренней сети, тут ether1 интерфейс в сторону интернета, bridge1 в сторону локалки. Микротик смотрит, что если пакет пришел со стороны интернета, при этом не важно на какой адрес, хотя можно и его указать, то перенаправляет его на 80 порт. Если пакет пришел со стороны локалки, то он смотрит на какой адрес пакет адресован, если на внешний роутера, далее производит перенаправление. Первое правило это нат для локалки.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=netmap chain=dstnat dst-address=158.1.1.10 dst-port=111 in-interface=bridge1 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.2 to-ports=80
add action=netmap chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

 

Поэтому вам нужно сбросить начальную конфигурацию, настроить все с нуля по правильным конфигам, и по указанному примеру сделать пробросы.

[rout53]

 

 

Вот пример проброса порта 111 на 80 порт устройства внутренней сети, тут ether1 интерфейс в сторону интернета, bridge1 в сторону локалки. Микротик смотрит, что если пакет пришел со стороны интернета, при этом не важно на какой адрес, хотя можно и его указать, то перенаправляет его на 80 порт. Если пакет пришел со стороны локалки, то он смотрит на какой адрес пакет адресован, если на внешний роутера, далее производит перенаправление. Первое правило это нат для локалки.

 

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.0.0/24

add action=netmap chain=dstnat dst-address=158.1.1.10 dst-port=111 in-interface=bridge1 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.2 to-ports=80

add action=netmap chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

 

Чувак, миллион хороших слов тебе в карму, добавил маскарадинг на внутреннюю сеть и все полетело. Спасибо большущее за помощь.

[user71]

1. вообще это глупая глупость.

2. несмотря на глупую глупость работать должно если не работает значит есть правило запрещающее глупые глупости что верно.

3. то что пишут тут тоже может оказатся глупой глупостью и то что у тебя что то полегло виноват не "чувак с форума" а ты сам ибо перед тем как что то сделать надо подумать, а потом еще подумать, затем хорошо подумать и только после этого протестировать в песочнице, затем подумать снова, и хорошо подумать и благоприятных на то условиях сделав бекапы и всех придупредив и у всех переспросив уже переносить на рабочую площадку.

4. Есть такая жутко редкая непомерно сложная и никому доконца непонятная штука как DNS. Смысл заключается в том что у внешних пользователей и внутрених могут быть разные dns которые на одно и то же имя будут выдавать разные ип.

5. Если всеже предпочитаешь костылестроительство то нужно прописать:

add action=dstnat chain=dstnat protocol=tcp dst-port=21 dst-address=внешнийip src-address-list=списоквнутренихподсетей to-address=внутренийIPftpсервера.

Это в общем случае.