Odmine Posted November 30, 2017 Есть центральная база с аплинками, к ней подлючены по радио клиенты, на одном клиенте настроен NAT, на втором бридж. Со стороны бриджа (подсеть 192.168.88.0/24 ) нужно получить доступ к 80 порту в локалку на одно из устройств 192.168.4.120 которое находится за NAT второго клиента. внешний WAN адрес второго клиента 192.168.88.8, лезу по такому адресу 192.168.88.8:8085 в правиле dstnat второго клиента вижу бежит статистика, но не работает. В логе вот что: 13:54:42 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46235->192.168.88.8:8085, len 60 13:54:43 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46236->192.168.88.8:8085, len 60 Сами правила: /ip firewall address-list add address=192.168.4.13 list=vse /ip firewall filter add chain=output disabled=yes out-interface=ether1 protocol=tcp add action=drop chain=forward connection-limit=10,32 dst-port=!80,443,8080,53 \ protocol=tcp src-address-list=vse add action=drop chain=forward connection-limit=20,32 protocol=udp \ src-address-list=vse add action=drop chain=forward connection-limit=10,32 dst-port=80 protocol=tcp \ src-address-list=vse /ip firewall mangle add chain=forward disabled=yes out-interface=ether1 protocol=tcp src-port=80 /ip firewall nat add action=netmap chain=dstnat dst-address=192.168.88.8 dst-port=8085 \ in-interface=wlan1 log=yes protocol=tcp to-addresses=192.168.4.120 \ to-ports=80 add action=masquerade chain=srcnat out-interface=wlan1 Чего ему еще надо? Про PPTP туннели знаю, но порты светят только в локалку та и сеть не малая и менять конфигурации не охота и привык так, ну и дело принципа, чего у всех работает у меня нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted November 30, 2017 Включил proxy-arp на eth интерфейсе который в локалке 192.168.4.0/24 и я попал на нужное мне устройство, решил таким же макаром сделать правило чтобы попасть на другое устройство в этой подсети, но не работает. Хм. Подозреваю что прошивка 6.35.4 глючная в этом деле. Буду пробовать ночью шить. А лог нормальный как я понимаю. На устройство хожу, а лог такой же точно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted November 30, 2017 Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают. Вот такие дела. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted December 1, 2017 17 часов назад, Odmine сказал: Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают. Вот такие дела. 192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted December 1, 2017 6 часов назад, McSea сказал: 192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT В одной. Я про то, что чтобы получить доступ к устройству 192.168.4.120 на нем надо прописать шлюз 192.168.4.1, вот вопрос зачем? Этот шлюз и устройство для меня за натом, шлюз знает где устройство, устройство хоть и не знает что это шлюз, но оно в одной подсети. Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз. Я вам больше скажу, устройство раньше было в моей подсети и там прописан остался шлюз 192.168.88.1 т.е. шлюз из подсети которая хочет пролезть к нему через нат и это сработало при условии включения арп прокси на интерфейсе LAN. Если шлюз не прописан и arp прокси не поможет. Вот как-то так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted December 2, 2017 (edited) 2 часа назад, Odmine сказал: Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз. У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения, адрес источника остаётся какой был из 88-й подсети. Соответственно 4.120 должен иметь маршрут на 88-ю подсеть (либо дефолт) через тот самый шлюз, на котором происходит подмена адреса dst-nat. Edited December 2, 2017 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted December 2, 2017 31 минуту назад, McSea сказал: У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения Тогда все сходится! Я заблуждался, что через айпишник микротика локального интерфейса обращается в конечном итоге, который и находится в одной подсети с устройством. Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
