Jump to content
Калькуляторы

Проброс порта из одной локалки в другую за NAT.

Есть центральная база с аплинками, к ней подлючены по радио клиенты, на одном клиенте настроен NAT, на втором бридж. Со стороны бриджа (подсеть 192.168.88.0/24 ) нужно получить доступ к 80 порту в локалку на одно из устройств 192.168.4.120 которое находится за NAT второго клиента.

внешний WAN адрес второго клиента 192.168.88.8, лезу по такому адресу 192.168.88.8:8085 в правиле dstnat второго клиента вижу бежит статистика, но не работает. В логе вот что:

13:54:42 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46235->192.168.88.8:8085, len 60
13:54:43 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46236->192.168.88.8:8085, len 60

 

Сами правила:

/ip firewall address-list
add address=192.168.4.13 list=vse
/ip firewall filter
add chain=output disabled=yes out-interface=ether1 protocol=tcp
add action=drop chain=forward connection-limit=10,32 dst-port=!80,443,8080,53 \
    protocol=tcp src-address-list=vse
add action=drop chain=forward connection-limit=20,32 protocol=udp \
    src-address-list=vse
add action=drop chain=forward connection-limit=10,32 dst-port=80 protocol=tcp \
    src-address-list=vse
/ip firewall mangle
add chain=forward disabled=yes out-interface=ether1 protocol=tcp src-port=80
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.88.8 dst-port=8085 \
    in-interface=wlan1 log=yes protocol=tcp to-addresses=192.168.4.120 \
    to-ports=80
add action=masquerade chain=srcnat out-interface=wlan1

 

Чего ему еще надо? Про PPTP туннели знаю, но порты светят только в локалку та и сеть не малая и менять конфигурации не охота и привык так, ну и дело принципа, чего у всех работает у меня нет?

Share this post


Link to post
Share on other sites

Включил proxy-arp на eth интерфейсе который в локалке 192.168.4.0/24 и я попал на нужное мне устройство, решил таким же макаром сделать правило чтобы попасть на другое устройство в этой подсети, но не работает. Хм. Подозреваю что прошивка 6.35.4 глючная в этом деле.

Буду пробовать ночью шить. А лог нормальный как я понимаю. На устройство хожу, а лог такой же точно.

Share this post


Link to post
Share on other sites

Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают.

Вот такие дела.

Share this post


Link to post
Share on other sites
17 часов назад, Odmine сказал:

Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают.

Вот такие дела.

192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT

 

Share this post


Link to post
Share on other sites
6 часов назад, McSea сказал:

192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT

В одной. Я про то, что чтобы получить доступ к устройству 192.168.4.120 на нем надо прописать шлюз 192.168.4.1, вот вопрос зачем? Этот шлюз и устройство  для меня за натом, шлюз знает где устройство, устройство хоть и не знает что это шлюз, но оно в одной подсети. Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз.

Я вам больше скажу, устройство раньше было в моей подсети и там прописан остался шлюз 192.168.88.1 т.е. шлюз из подсети которая хочет пролезть к нему через нат и это сработало при условии включения арп прокси на интерфейсе LAN. Если шлюз не прописан и arp прокси не поможет. Вот как-то так.

Share this post


Link to post
Share on other sites
2 часа назад, Odmine сказал:

Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз.

У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения, адрес источника остаётся какой был из 88-й подсети. Соответственно 4.120 должен иметь маршрут на 88-ю подсеть (либо дефолт) через тот самый шлюз, на котором происходит подмена адреса dst-nat.

 

 

Edited by McSea

Share this post


Link to post
Share on other sites
31 минуту назад, McSea сказал:

У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения

Тогда все сходится! Я заблуждался, что через айпишник микротика локального интерфейса обращается в конечном итоге, который и находится в одной подсети с устройством. Спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this