[dimugric]

Коллеги, доброго дня.

Кому-то вопрос покажется странным, но я его задам.

Есть микротик, к которому подключено 2 интернета и на нем проброшено куча портов через настройку NAT.

Почему-то с компьютеров, которые находятся за NAT нельзя попинговать свой внешний IP адрес.

 

Для эксперимента взял другой микротик, поставил его. Настроил только белые адреса на портах и NAT. Компы за ним свой внешний IP адрес видят.

Подскажите куда капнуть в случае с первым маршрутизатором?

[BigMazi]

Есть правило разрешающее imput на внешний интерфейс из внутренней сети?

Самый простой способ найти затык это создать правило логирования трафика, поместить его в самый верх, увидеть записи в логе, и потихоньку опускать в низ по списку, как только оно опуститься ниже правила по которому пакет обрабатывается записи в логе пропадут.

Edited April 1, 2016 by BigMazi

[nkusnetsov]

dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP.

А может, просто в фаерволе фильтр.

А может еще много чего быть.

[dimugric]

Я вот думаю, может Harpin решит мой вопрос. Мне нужно по факту, чтоб из локалки по внешнему IP:port шло подключение для работы с одним ресурсом

 

dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP.

А может, просто в фаерволе фильтр.

А может еще много чего быть.

Запрещающие правила в firewall я отключал и проверял, не помогло.

А вот с маркировкой трафика может быть косяк. У меня 2 провайдера (основной и резерв). Для переключения каналов как раз настраивал маркировку трафика. Может конечно и там что-то, но настройку делал по статье с Хабра

[nkusnetsov]

dimugric, если IP на интерфейсе не пингуется, основных причин три:

1) не приходит запрос

2) не уходит ответ

3) ответ уходит не туда.

Ставьте отладочное правило LOG вверху цепочки mangle в perouting. Ловите в нем icmp. Делайте выводы.

Затем то же с postrouting.

Edited April 3, 2016 by nkusnetsov

[dimugric]

Вроде нашел в чем косяк.

Есть "чудо-скрипт" для переключения каналов. Сделано как здесь, только у меня не 3 канала, а 2

http://mikrotik.axiom-pro.ru/articles/failovertangarus.php

Так вот, в самом конце статьи есть пункт маркировки трафика по каждому каналу

 

Помечаем белый краской спинки пакетиков:

/ip firewall mangle

add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \

passthrough=yes src-address=62.X.7.242

add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=inet passthrough=\

yes src-address=212.152.X.55

add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=rialkom \

passthrough=yes src-address=80.X.255.130

 

Допустим, что основной интернет - это Билайн.

Выключая 1е правило я сразу начинаю видить свой внешний IP из за NAT`а.

Вопрос - чем оно так не нравится то микротику?)

[nkusnetsov]

/ip firewall mangle

add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \

passthrough=yes src-address=62.X.7.242

1) Вы пингуете 62.X.7.242 из LAN

2) Ответы идут от него с src-address=62.X.7.242 и получают "new-routing-mark=beeline".

3) Ответный пакет маршрутизируется по таблице beeline.

Смотрите таблицу, куда она ведет. Есть ли в ней маршрут в LAN

 

Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24",

тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации.

Edited April 5, 2016 by nkusnetsov

[dimugric]

Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24",

тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации.

 

Вот! Спасибо огромное, так работает!