dimugric Posted April 1, 2016 Коллеги, доброго дня. Кому-то вопрос покажется странным, но я его задам. Есть микротик, к которому подключено 2 интернета и на нем проброшено куча портов через настройку NAT. Почему-то с компьютеров, которые находятся за NAT нельзя попинговать свой внешний IP адрес. Для эксперимента взял другой микротик, поставил его. Настроил только белые адреса на портах и NAT. Компы за ним свой внешний IP адрес видят. Подскажите куда капнуть в случае с первым маршрутизатором? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BigMazi Posted April 1, 2016 (edited) Есть правило разрешающее imput на внешний интерфейс из внутренней сети? Самый простой способ найти затык это создать правило логирования трафика, поместить его в самый верх, увидеть записи в логе, и потихоньку опускать в низ по списку, как только оно опуститься ниже правила по которому пакет обрабатывается записи в логе пропадут. Edited April 1, 2016 by BigMazi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 1, 2016 dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 2, 2016 Я вот думаю, может Harpin решит мой вопрос. Мне нужно по факту, чтоб из локалки по внешнему IP:port шло подключение для работы с одним ресурсом dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Запрещающие правила в firewall я отключал и проверял, не помогло. А вот с маркировкой трафика может быть косяк. У меня 2 провайдера (основной и резерв). Для переключения каналов как раз настраивал маркировку трафика. Может конечно и там что-то, но настройку делал по статье с Хабра Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 3, 2016 (edited) dimugric, если IP на интерфейсе не пингуется, основных причин три: 1) не приходит запрос 2) не уходит ответ 3) ответ уходит не туда. Ставьте отладочное правило LOG вверху цепочки mangle в perouting. Ловите в нем icmp. Делайте выводы. Затем то же с postrouting. Edited April 3, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 4, 2016 Вроде нашел в чем косяк. Есть "чудо-скрипт" для переключения каналов. Сделано как здесь, только у меня не 3 канала, а 2 http://mikrotik.axiom-pro.ru/articles/failovertangarus.php Так вот, в самом конце статьи есть пункт маркировки трафика по каждому каналу Помечаем белый краской спинки пакетиков: /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=inet passthrough=\ yes src-address=212.152.X.55 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=rialkom \ passthrough=yes src-address=80.X.255.130 Допустим, что основной интернет - это Билайн. Выключая 1е правило я сразу начинаю видить свой внешний IP из за NAT`а. Вопрос - чем оно так не нравится то микротику?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 5, 2016 (edited) /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 1) Вы пингуете 62.X.7.242 из LAN 2) Ответы идут от него с src-address=62.X.7.242 и получают "new-routing-mark=beeline". 3) Ответный пакет маршрутизируется по таблице beeline. Смотрите таблицу, куда она ведет. Есть ли в ней маршрут в LAN Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Edited April 5, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimugric Posted April 6, 2016 Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Вот! Спасибо огромное, так работает! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...