dimugric Posted April 1, 2016 · Report post Коллеги, доброго дня. Кому-то вопрос покажется странным, но я его задам. Есть микротик, к которому подключено 2 интернета и на нем проброшено куча портов через настройку NAT. Почему-то с компьютеров, которые находятся за NAT нельзя попинговать свой внешний IP адрес. Для эксперимента взял другой микротик, поставил его. Настроил только белые адреса на портах и NAT. Компы за ним свой внешний IP адрес видят. Подскажите куда капнуть в случае с первым маршрутизатором? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BigMazi Posted April 1, 2016 (edited) · Report post Есть правило разрешающее imput на внешний интерфейс из внутренней сети? Самый простой способ найти затык это создать правило логирования трафика, поместить его в самый верх, увидеть записи в логе, и потихоньку опускать в низ по списку, как только оно опуститься ниже правила по которому пакет обрабатывается записи в логе пропадут. Edited April 1, 2016 by BigMazi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 1, 2016 · Report post dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 2, 2016 · Report post Я вот думаю, может Harpin решит мой вопрос. Мне нужно по факту, чтоб из локалки по внешнему IP:port шло подключение для работы с одним ресурсом dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Запрещающие правила в firewall я отключал и проверял, не помогло. А вот с маркировкой трафика может быть косяк. У меня 2 провайдера (основной и резерв). Для переключения каналов как раз настраивал маркировку трафика. Может конечно и там что-то, но настройку делал по статье с Хабра Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 3, 2016 (edited) · Report post dimugric, если IP на интерфейсе не пингуется, основных причин три: 1) не приходит запрос 2) не уходит ответ 3) ответ уходит не туда. Ставьте отладочное правило LOG вверху цепочки mangle в perouting. Ловите в нем icmp. Делайте выводы. Затем то же с postrouting. Edited April 3, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 4, 2016 · Report post Вроде нашел в чем косяк. Есть "чудо-скрипт" для переключения каналов. Сделано как здесь, только у меня не 3 канала, а 2 http://mikrotik.axiom-pro.ru/articles/failovertangarus.php Так вот, в самом конце статьи есть пункт маркировки трафика по каждому каналу Помечаем белый краской спинки пакетиков: /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=inet passthrough=\ yes src-address=212.152.X.55 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=rialkom \ passthrough=yes src-address=80.X.255.130 Допустим, что основной интернет - это Билайн. Выключая 1е правило я сразу начинаю видить свой внешний IP из за NAT`а. Вопрос - чем оно так не нравится то микротику?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 5, 2016 (edited) · Report post /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 1) Вы пингуете 62.X.7.242 из LAN 2) Ответы идут от него с src-address=62.X.7.242 и получают "new-routing-mark=beeline". 3) Ответный пакет маршрутизируется по таблице beeline. Смотрите таблицу, куда она ведет. Есть ли в ней маршрут в LAN Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Edited April 5, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 6, 2016 · Report post Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Вот! Спасибо огромное, так работает! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...