Startnik Posted March 31, 2016 Не могу разобраться в простом вопросе - На 951-м настроен проброс портов для Winbox до двух других 951-х роутеров, находящихся в локалке и используемых как точки доступа ( т.е. напр. 5002 -> 8291 ). Теперь беру новую точку Wap, подключаю ее репитером ( slave WDS ) к головному тику, доступ Winbox-ом в локалке есть, все работает...Делаю на головном устройстве очередной проброс порта до точки Wap - и получить его снаружи не могу, нет соединения... Подскажите, какими средствами продиагностировать процесс такого обращения к точке извне ? Вот вырезка конфига: /ip firewall filter add chain=input protocol=icmp add chain=input connection-state=new dst-port=8291 protocol=tcp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input connection-state=new in-interface=!bridge-local /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" \ out-interface=pppoe-out1 to-addresses=0.0.0.0 add action=netmap chain=dstnat dst-port=5002 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.2 to-ports=8291 add action=netmap chain=dstnat dst-port=5003 in-interface=pppoe-out1 log=yes \ protocol=tcp to-addresses=192.168.88.3 to-ports=8291 add action=netmap chain=dstnat dst-port=5005 in-interface=pppoe-out1 log=yes \ protocol=tcp to-addresses=192.168.88.5 to-ports=8291 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 31, 2016 доступ Winbox-ом в локалке есть Шлюз прописан? to-addresses=0.0.0.0 Зачем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted March 31, 2016 Шлюз прописан? Озадачен...похоже не указал..., надо ехать к точке.... Напомните, где проверить ? to-addresses=0.0.0.0 Зачем? Не знаю откуда береться, настраивал через меню, там нет такого..... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 31, 2016 Напомните, где проверить? IP->Routes что-то типа AS 0.0.0.0/0 192.168.88.1 Reachable <имя интерфейса, на который прописан ip> надо ехать к точке.... Не обязательно, к корневому RB951 же есть доступ, на нем можно /tool mac-telnet поиспользовать, или вписать /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.88.5 dst-port=8291 protocol=tcp to-addresses=192.168.88.1 адрес поменяйте на адрес wap, точка должна начать отвечать на трансляцию порта, но шлюз все равно надо вписать, а это правило после этого удалить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted March 31, 2016 DRiVen , спасибо большое ! Вписал строку, получил доступ...конечно шлюза нет...И главное я совершенно не помню, как делал его на двух других точках... В общем добавил в ip\route маршрут, все заработало, теперь пытаюсь осознать, чего же я сделал :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 31, 2016 теперь пытаюсь осознать, чего же я сделал Это никогда не лишнее ;) outside_global_ip<--TCP-->[[inside_global_ip:port(ваш внешний)->DSTNAT->inside_local_ip:port(внутренний 951)->SRCNAT->outside_local_ip(ваш LAN)]]<--TCP-->inside_local_ip(внутренний 951) Вы создали проброс порта (синим), в этом случае ваш внутренний 951-й видел обращение к себе с белого внешнего ip и при отсутствии дефолтного шлюза не знал куда отвечать, потом добавили вторую трансляцию (бирюзовым), которая подменила ip источника с белого внешнего на собственый LAN-адрес, в итоге обращение извне для внтреннего 951-го стало обращением внутри LAN, для которого шлюз не нужен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted April 1, 2016 Да, я так и разобрал эту команду....Изящное решение, до которого без практики я бы не додумался... А про шлюз я не подумал, потому что с чего-то решил, что проброс порта заменит "белый" ip на ip самого шлюза...Ну в общем "..сам дурак!" :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted April 7, 2016 (edited) 2 DRiVen Добрый день. Что то с пробросом делаю не так и не пойму что, помогите )) Есть роутер, на нем: # ADDRESS NETWORK INTERFACE 0 192.168.1.1/24 192.168.1.0 Local 1 D 10.20.26.16/24 10.20.26.0 ether1 Пробрасываю порт из ether1 в Local /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 protocol=tcp to-addresses=192.198.1.10 to-ports=8292 add action=netmap chain=dstnat comment=Client_Station dst-port=8293 log=yes protocol=tcp to-addresses=192.198.1.2 to-ports=8293 Вот что в логе: firewall,info dstnat: in:ether1 out:(none), src-mac 44:03:a7:ab:67:ff, proto TCP (SYN), 10.20.191.52:40921->10.20.26.16:8293, len 60 На клиенте: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 192.168.1.1 1 1 ADC 192.168.1.0/24 192.168.1.2 Local 0 Что не так ? Edited April 7, 2016 by divxl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 7, 2016 Судя по логу dstnat работает, а это ...to-ports=8292 ...to-ports=8293 я так понимаю для winbox проброс, но зачем на разные порты, если каждый на своем адресе? Или на "2.4 AP Office" и Client_Station в IP->Services порты винбокса на соотвествующие меняйте (но смысл не ясен), или add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 protocol=tcp to-addresses=192.198.1.10 to-ports=8291add action=netmap chain=dstnat comment=Client_Station dst-port=8293 log=yes protocol=tcp to-addresses=192.198.1.2 to-ports=8291 может в этом прблема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted April 7, 2016 Поменял по Вашему совету, но не помогает: лог: 08:02:53 firewall,info dstnat: in:ether1 out:(none), src-mac 44:03:a7:ab:67:ff, proto TCP (SYN), 10.20.191.52:53653->10.20.26.16:8292, len 60 Настройки на роутере: add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 log=yes protocol=tcp to-addresses=192.198.1.10 to-ports=8291 На точке доступа: 6 winbox 8291 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 7, 2016 Тогда скрины вкладок ip->firewall->nat и ip->firewall->filter rules + вывод /ip firewall filter export покажите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted April 7, 2016 (edited) Вот [admin@AP_Uvarov] /ip firewall nat> pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no log-prefix="" 1 chain=dstnat action=netmap to-addresses=192.168.1.108 to-ports=37777 protocol=tcp dst-port=37777 log=no log-prefix="" 2 ;;; 2.4 AP Office chain=dstnat action=netmap to-addresses=192.198.1.10 to-ports=8291 protocol=tcp dst-port=8292 log=yes log-prefix="" 3 ;;; Client_Station chain=dstnat action=netmap to-addresses=192.198.1.2 to-ports=8291 protocol=tcp dst-port=5003 log=yes log-prefix="" 4 X chain=srcnat action=src-nat to-addresses=192.168.1.1 protocol=tcp dst-address=192.168.1.10 dst-port=8292 log=no log-prefix="" /ip firewall filter add action=drop chain=input dst-port=53 in-interface=Zelenaya.Net protocol=udp add action=drop chain=input dst-port=53 in-interface=Zelenaya.Net protocol=tcp [admin@AP_Uvarov] /ip firewall filter> pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=drop protocol=udp in-interface=Zelenaya.Net dst-port=53 log=no log-prefix="" 1 chain=input action=drop protocol=tcp in-interface=Zelenaya.Net dst-port=53 log=no log-prefix="" Edited April 7, 2016 by divxl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 7, 2016 Проверьте настройки файрвола на АР и клиенте, запрет по input и/или в ip-services ограничения доступа с определенных подсетей не ставили? На роутере правила работают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted April 9, 2016 Проверьте настройки файрвола на АР и клиенте, запрет по input и/или в ip-services ограничения доступа с определенных подсетей не ставили? На роутере правила работают. Единственный запрет в файрволле на роутере, это 53 порт. Ip-services ограничений нет. Если интерестно, могу в личку дать ip/пароль, сам голову ломаю не пойму в чем дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
