Volodey Опубликовано 15 июля, 2015 (изменено) · Жалоба Добрый день. Помогите настроить проброс портов по схеме которую я приложил. При запросе на белый адрес микротик1, через РРТР попадать на устройсво в СЕТИ2. Проблему решили тут (извиняюсь за ссылку) - http://local.com.ua/forum/topic/50147-mikrotik-2-pptp-dstnat/ (ситуация аналогичная) Но я не понял что написали в последнем посте. P.S. Все настроено, пинги идут из Сети1 в Сеть2, и наоборот. Подключатся к обеим микротикам с любой из сетей тоже можно. Заранее благодарен. Изменено 15 июля, 2015 пользователем Volodey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 июля, 2015 · Жалоба Схема конечно мягко говоря странная, зачем идти так сложно, почему не через внешний интерфейс второго МТ? Но раз уж хочется капремонт двигателя через выхлопную... Настраивайте каскадный проброс через оба роутера: МТ1: /ip firewall add action=netmap chain=dstnat dst-port=<входной порт> in-interface=ИНТЕРНЕТ1 protocol=<tcp|udp> to-addresses=192.168.5.2 to-ports=<любой порт, например 55555> МТ2: /ip firewall add action=netmap chain=dstnat dst-port=55555 in-interface=<ваш pptp-интерфейс> protocol=<tcp|udp> to-addresses=<адрес получателя, 192.168.2.х> to-ports=<порт получателя> add action=src-nat chain=srcnat dst-address=<адрес получателя> dst-port=<порт получателя> protocol=<tcp|udp> to-addresses=<адрес МТ, шлюз сети 192.168.2.0> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Volodey Опубликовано 16 июля, 2015 · Жалоба Схема конечно мягко говоря странная, зачем идти так сложно, почему не через внешний интерфейс второго МТ? Но раз уж хочется капремонт двигателя через выхлопную... Настраивайте каскадный проброс через оба роутера: МТ1: /ip firewall add action=netmap chain=dstnat dst-port=<входной порт> in-interface=ИНТЕРНЕТ1 protocol=<tcp|udp> to-addresses=192.168.5.2 to-ports=<любой порт, например 55555> МТ2: /ip firewall add action=netmap chain=dstnat dst-port=55555 in-interface=<ваш pptp-интерфейс> protocol=<tcp|udp> to-addresses=<адрес получателя, 192.168.2.х> to-ports=<порт получателя> add action=src-nat chain=srcnat dst-address=<адрес получателя> dst-port=<порт получателя> protocol=<tcp|udp> to-addresses=<адрес МТ, шлюз сети 192.168.2.0> Отвечу на вопрос. Такая схема связана с тем что (забыл указать) на Микротике2 внешний интерфейс с "серым" IP. И нужно иметь доступ к устройствам в сети2 через интентет. Спасибо за совет. Попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Volodey Опубликовано 16 июля, 2015 · Жалоба Схема конечно мягко говоря странная, зачем идти так сложно, почему не через внешний интерфейс второго МТ? Но раз уж хочется капремонт двигателя через выхлопную... Настраивайте каскадный проброс через оба роутера: МТ1: /ip firewall add action=netmap chain=dstnat dst-port=<входной порт> in-interface=ИНТЕРНЕТ1 protocol=<tcp|udp> to-addresses=192.168.5.2 to-ports=<любой порт, например 55555> МТ2: /ip firewall add action=netmap chain=dstnat dst-port=55555 in-interface=<ваш pptp-интерфейс> protocol=<tcp|udp> to-addresses=<адрес получателя, 192.168.2.х> to-ports=<порт получателя> add action=src-nat chain=srcnat dst-address=<адрес получателя> dst-port=<порт получателя> protocol=<tcp|udp> to-addresses=<адрес МТ, шлюз сети 192.168.2.0> Что-то неправильно. Пакеты по обеим правилам на микротик2 идут но соединения нет. Возможно ошибся тут ---- to-addresses=<адрес МТ, шлюз сети 192.168.2.0> Шлюз сети 192.168.2.0 - 192,168,2,254. Ввел этот адрес но результата нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 июля, 2015 · Жалоба Добавьте на МТ1 правило: add action=src-nat chain=srcnat dst-address=192.168.5.2 dst-port=55555 protocol=tcp to-addresses=192.168.5.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Volodey Опубликовано 17 июля, 2015 · Жалоба Добавьте на МТ1 правило: add action=src-nat chain=srcnat dst-address=192.168.5.2 dst-port=55555 protocol=tcp to-addresses=192.168.5.1 Спасибо огромное. Все заработало так как нужно!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagel Опубликовано 5 октября, 2015 (изменено) · Жалоба Добавьте на МТ1 правило: add action=src-nat chain=srcnat dst-address=192.168.5.2 dst-port=55555 protocol=tcp to-addresses=192.168.5.1 Спасибо огромное. Все заработало так как нужно!!! У меня не получилось, делал по этой схеме(ситуация аналогичная) для проброса к видеорегистратору. Из вне через VPN - Появляется меню авторизации для доступа к видеорегистратору(через браузер), но при попытке авторизации - пишет "соединение не установлено", Т.е. порт доступен, телнетится, но вот такие траблы при авторизации.... Внутри сетки - все гуд, через VPN - тоже хорошо, авторизация проходит и грузится менюха видеорегистратора. Изменено 5 октября, 2015 пользователем seagel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 5 октября, 2015 · Жалоба Скорее всего портов нужно пробросить несколько, почитайте документацию к регистратору. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagel Опубликовано 7 октября, 2015 · Жалоба Скорее всего портов нужно пробросить несколько, почитайте документацию к регистратору. Да, вы правы!! Оказывается также нужно было пробросить порт "управления" видеорегистратора. Всё заработало! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
awax Опубликовано 30 октября, 2015 · Жалоба DRiVen, скажи пжт. для чего нужно менять входной порт на другой для проброса дальше ? почему нельзя to-ports=<входной порт> ? ну соответственно и дальше в правилах... /ip firewall add action=netmap chain=dstnat dst-port=<входной порт> in-interface=ИНТЕРНЕТ1 protocol=<tcp|udp> to-addresses=192.168.5.2 to-ports=<любой порт, например 55555> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 30 октября, 2015 · Жалоба Не обязательно менять, если он не занят на обоих устройствах, просто это не всегда так, особенно касающееся серверных портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
awax Опубликовано 30 октября, 2015 · Жалоба Понятно спс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...