Перейти к содержимому
Калькуляторы

Проброс порта из одной локалки в другую за NAT.

Есть центральная база с аплинками, к ней подлючены по радио клиенты, на одном клиенте настроен NAT, на втором бридж. Со стороны бриджа (подсеть 192.168.88.0/24 ) нужно получить доступ к 80 порту в локалку на одно из устройств 192.168.4.120 которое находится за NAT второго клиента.

внешний WAN адрес второго клиента 192.168.88.8, лезу по такому адресу 192.168.88.8:8085 в правиле dstnat второго клиента вижу бежит статистика, но не работает. В логе вот что:

13:54:42 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46235->192.168.88.8:8085, len 60
13:54:43 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46236->192.168.88.8:8085, len 60

 

Сами правила:

/ip firewall address-list
add address=192.168.4.13 list=vse
/ip firewall filter
add chain=output disabled=yes out-interface=ether1 protocol=tcp
add action=drop chain=forward connection-limit=10,32 dst-port=!80,443,8080,53 \
    protocol=tcp src-address-list=vse
add action=drop chain=forward connection-limit=20,32 protocol=udp \
    src-address-list=vse
add action=drop chain=forward connection-limit=10,32 dst-port=80 protocol=tcp \
    src-address-list=vse
/ip firewall mangle
add chain=forward disabled=yes out-interface=ether1 protocol=tcp src-port=80
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.88.8 dst-port=8085 \
    in-interface=wlan1 log=yes protocol=tcp to-addresses=192.168.4.120 \
    to-ports=80
add action=masquerade chain=srcnat out-interface=wlan1

 

Чего ему еще надо? Про PPTP туннели знаю, но порты светят только в локалку та и сеть не малая и менять конфигурации не охота и привык так, ну и дело принципа, чего у всех работает у меня нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включил proxy-arp на eth интерфейсе который в локалке 192.168.4.0/24 и я попал на нужное мне устройство, решил таким же макаром сделать правило чтобы попасть на другое устройство в этой подсети, но не работает. Хм. Подозреваю что прошивка 6.35.4 глючная в этом деле.

Буду пробовать ночью шить. А лог нормальный как я понимаю. На устройство хожу, а лог такой же точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают.

Вот такие дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, Odmine сказал:

Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают.

Вот такие дела.

192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, McSea сказал:

192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT

В одной. Я про то, что чтобы получить доступ к устройству 192.168.4.120 на нем надо прописать шлюз 192.168.4.1, вот вопрос зачем? Этот шлюз и устройство  для меня за натом, шлюз знает где устройство, устройство хоть и не знает что это шлюз, но оно в одной подсети. Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз.

Я вам больше скажу, устройство раньше было в моей подсети и там прописан остался шлюз 192.168.88.1 т.е. шлюз из подсети которая хочет пролезть к нему через нат и это сработало при условии включения арп прокси на интерфейсе LAN. Если шлюз не прописан и arp прокси не поможет. Вот как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Odmine сказал:

Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз.

У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения, адрес источника остаётся какой был из 88-й подсети. Соответственно 4.120 должен иметь маршрут на 88-ю подсеть (либо дефолт) через тот самый шлюз, на котором происходит подмена адреса dst-nat.

 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, McSea сказал:

У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения

Тогда все сходится! Я заблуждался, что через айпишник микротика локального интерфейса обращается в конечном итоге, который и находится в одной подсети с устройством. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.