Проблема проброса порта

[Startnik]

Не могу разобраться в простом вопросе - На 951-м настроен проброс портов для Winbox до двух других 951-х роутеров, находящихся в локалке и используемых как точки доступа ( т.е. напр. 5002 -> 8291 ). Теперь беру новую точку Wap, подключаю ее репитером ( slave WDS ) к головному тику, доступ Winbox-ом в локалке есть, все работает...Делаю на головном устройстве очередной проброс порта до точки Wap - и получить его снаружи не могу, нет соединения...

Подскажите, какими средствами продиагностировать процесс такого обращения к точке извне ?

 

Вот вырезка конфига:

/ip firewall filter

add chain=input protocol=icmp

add chain=input connection-state=new dst-port=8291 protocol=tcp

add chain=input connection-state=established

add chain=input connection-state=related

add action=drop chain=input connection-state=new in-interface=!bridge-local

/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration" \

out-interface=pppoe-out1 to-addresses=0.0.0.0

add action=netmap chain=dstnat dst-port=5002 in-interface=pppoe-out1 protocol=\

tcp to-addresses=192.168.88.2 to-ports=8291

add action=netmap chain=dstnat dst-port=5003 in-interface=pppoe-out1 log=yes \

protocol=tcp to-addresses=192.168.88.3 to-ports=8291

add action=netmap chain=dstnat dst-port=5005 in-interface=pppoe-out1 log=yes \

protocol=tcp to-addresses=192.168.88.5 to-ports=8291

[DRiVen]

доступ Winbox-ом в локалке есть

Шлюз прописан?

to-addresses=0.0.0.0

Зачем?

[Startnik]

Шлюз прописан?

Озадачен...похоже не указал..., надо ехать к точке....

Напомните, где проверить ?

to-addresses=0.0.0.0

Зачем?

Не знаю откуда береться, настраивал через меню, там нет такого.....

[DRiVen]

Напомните, где проверить?

IP->Routes

что-то типа

AS  0.0.0.0/0 192.168.88.1 Reachable <имя интерфейса, на который прописан ip>

 

надо ехать к точке....

Не обязательно, к корневому RB951 же есть доступ, на нем можно /tool mac-telnet поиспользовать, или вписать

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.88.5 dst-port=8291 protocol=tcp to-addresses=192.168.88.1

адрес поменяйте на адрес wap, точка должна начать отвечать на трансляцию порта, но шлюз все равно надо вписать, а это правило после этого удалить.

[Startnik]

DRiVen , спасибо большое !

Вписал строку, получил доступ...конечно шлюза нет...И главное я совершенно не помню, как делал его на двух других точках...

В общем добавил в ip\route маршрут, все заработало, теперь пытаюсь осознать, чего же я сделал :)

[DRiVen]

теперь пытаюсь осознать, чего же я сделал

Это никогда не лишнее ;)

 

outside_global_ip<--TCP-->[[inside_global_ip:port(ваш внешний)->DSTNAT->inside_local_ip:port(внутренний 951)->SRCNAT->outside_local_ip(ваш LAN)]]<--TCP-->inside_local_ip(внутренний 951)

Вы создали проброс порта (синим), в этом случае ваш внутренний 951-й видел обращение к себе с белого внешнего ip и при отсутствии дефолтного шлюза не знал куда отвечать, потом добавили вторую трансляцию (бирюзовым), которая подменила ip источника с белого внешнего на собственый LAN-адрес, в итоге обращение извне для внтреннего 951-го стало обращением внутри LAN, для которого шлюз не нужен.

[Startnik]

Да, я так и разобрал эту команду....Изящное решение, до которого без практики я бы не додумался...

А про шлюз я не подумал, потому что с чего-то решил, что проброс порта заменит "белый" ip на ip самого шлюза...Ну в общем "..сам дурак!" :)

[divxl]

2 DRiVen

 

Добрый день.

 

Что то с пробросом делаю не так и не пойму что, помогите ))

 

Есть роутер, на нем:

#   ADDRESS            NETWORK         INTERFACE
0   192.168.1.1/24     192.168.1.0     Local
1 D 10.20.26.16/24     10.20.26.0      ether1

 

Пробрасываю порт из ether1 в Local

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 protocol=tcp to-addresses=192.198.1.10 to-ports=8292
add action=netmap chain=dstnat comment=Client_Station dst-port=8293 log=yes protocol=tcp to-addresses=192.198.1.2 to-ports=8293

 

Вот что в логе:

firewall,info dstnat: in:ether1 out:(none), src-mac 44:03:a7:ab:67:ff, proto TCP (SYN), 10.20.191.52:40921->10.20.26.16:8293, len 60

 

На клиенте:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.1               1
1 ADC  192.168.1.0/24     192.168.1.2     Local                     0

 

 

Что не так ?

Edited April 7, 2016 by divxl

[DRiVen]

Судя по логу dstnat работает, а это

 

...to-ports=8292
...to-ports=8293

я так понимаю для winbox проброс, но зачем на разные порты, если каждый на своем адресе? Или на "2.4 AP Office" и Client_Station в IP->Services порты винбокса на соотвествующие меняйте (но смысл не ясен), или

 

add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 protocol=tcp to-addresses=192.198.1.10 to-ports=8291

add action=netmap chain=dstnat comment=Client_Station dst-port=8293 log=yes protocol=tcp to-addresses=192.198.1.2 to-ports=8291

 

может в этом прблема.

[divxl]

Поменял по Вашему совету, но не помогает:

лог:

08:02:53 firewall,info dstnat: in:ether1 out:(none), src-mac 44:03:a7:ab:67:ff, proto TCP (SYN), 10.20.191.52:53653->10.20.26.16:8292, len 60

Настройки на роутере:

add action=netmap chain=dstnat comment="2.4 AP Office" dst-port=8292 log=yes protocol=tcp to-addresses=192.198.1.10 to-ports=8291

На точке доступа:

 6   winbox                                                            8291

[DRiVen]

Тогда скрины вкладок ip->firewall->nat и ip->firewall->filter rules + вывод /ip firewall filter export покажите.

[divxl]

Вот

 

 

 

[admin@AP_Uvarov] /ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no log-prefix="" 

1    chain=dstnat action=netmap to-addresses=192.168.1.108 to-ports=37777 protocol=tcp dst-port=37777 log=no log-prefix="" 

2    ;;; 2.4 AP Office
     chain=dstnat action=netmap to-addresses=192.198.1.10 to-ports=8291 protocol=tcp dst-port=8292 log=yes log-prefix="" 

3    ;;; Client_Station
     chain=dstnat action=netmap to-addresses=192.198.1.2 to-ports=8291 protocol=tcp dst-port=5003 log=yes log-prefix="" 

4 X  chain=srcnat action=src-nat to-addresses=192.168.1.1 protocol=tcp dst-address=192.168.1.10 dst-port=8292 log=no log-prefix="" 

 

 

 

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=Zelenaya.Net protocol=udp
add action=drop chain=input dst-port=53 in-interface=Zelenaya.Net protocol=tcp

 

[admin@AP_Uvarov] /ip firewall filter> pr            
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=input action=drop protocol=udp in-interface=Zelenaya.Net dst-port=53 log=no log-prefix="" 

1    chain=input action=drop protocol=tcp in-interface=Zelenaya.Net dst-port=53 log=no log-prefix="" 

Edited April 7, 2016 by divxl

[DRiVen]

Проверьте настройки файрвола на АР и клиенте, запрет по input и/или в ip-services ограничения доступа с определенных подсетей не ставили? На роутере правила работают.

[divxl]

Проверьте настройки файрвола на АР и клиенте, запрет по input и/или в ip-services ограничения доступа с определенных подсетей не ставили? На роутере правила работают.

 

 

Единственный запрет в файрволле на роутере, это 53 порт. Ip-services ограничений нет.

Если интерестно, могу в личку дать ip/пароль, сам голову ломаю не пойму в чем дело.