Odmine Опубликовано 30 ноября, 2017 · Жалоба Есть центральная база с аплинками, к ней подлючены по радио клиенты, на одном клиенте настроен NAT, на втором бридж. Со стороны бриджа (подсеть 192.168.88.0/24 ) нужно получить доступ к 80 порту в локалку на одно из устройств 192.168.4.120 которое находится за NAT второго клиента. внешний WAN адрес второго клиента 192.168.88.8, лезу по такому адресу 192.168.88.8:8085 в правиле dstnat второго клиента вижу бежит статистика, но не работает. В логе вот что: 13:54:42 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46235->192.168.88.8:8085, len 60 13:54:43 firewall,info dstnat: in:wlan1 out:(none), src-mac bc:5f:XX:3b:XX:ae, proto TCP (SYN), 192.168.88.30:46236->192.168.88.8:8085, len 60 Сами правила: /ip firewall address-list add address=192.168.4.13 list=vse /ip firewall filter add chain=output disabled=yes out-interface=ether1 protocol=tcp add action=drop chain=forward connection-limit=10,32 dst-port=!80,443,8080,53 \ protocol=tcp src-address-list=vse add action=drop chain=forward connection-limit=20,32 protocol=udp \ src-address-list=vse add action=drop chain=forward connection-limit=10,32 dst-port=80 protocol=tcp \ src-address-list=vse /ip firewall mangle add chain=forward disabled=yes out-interface=ether1 protocol=tcp src-port=80 /ip firewall nat add action=netmap chain=dstnat dst-address=192.168.88.8 dst-port=8085 \ in-interface=wlan1 log=yes protocol=tcp to-addresses=192.168.4.120 \ to-ports=80 add action=masquerade chain=srcnat out-interface=wlan1 Чего ему еще надо? Про PPTP туннели знаю, но порты светят только в локалку та и сеть не малая и менять конфигурации не охота и привык так, ну и дело принципа, чего у всех работает у меня нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Odmine Опубликовано 30 ноября, 2017 · Жалоба Включил proxy-arp на eth интерфейсе который в локалке 192.168.4.0/24 и я попал на нужное мне устройство, решил таким же макаром сделать правило чтобы попасть на другое устройство в этой подсети, но не работает. Хм. Подозреваю что прошивка 6.35.4 глючная в этом деле. Буду пробовать ночью шить. А лог нормальный как я понимаю. На устройство хожу, а лог такой же точно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Odmine Опубликовано 30 ноября, 2017 · Жалоба Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают. Вот такие дела. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 1 декабря, 2017 · Жалоба 17 часов назад, Odmine сказал: Шитье на последнюю прошивку результата не дало, но дало результат прописание шлюза на устройстве к которому надо получить доступ. Понять не могу, зачем. Ведь они в одной подсети и друг друга видят без шлюза и маршрут знают. Вот такие дела. 192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Odmine Опубликовано 1 декабря, 2017 · Жалоба 6 часов назад, McSea сказал: 192.168.4.120 и 192.168.88.30 не в одной подсети, у первого должен быть маршрут на второй через девайс, на котором NAT В одной. Я про то, что чтобы получить доступ к устройству 192.168.4.120 на нем надо прописать шлюз 192.168.4.1, вот вопрос зачем? Этот шлюз и устройство для меня за натом, шлюз знает где устройство, устройство хоть и не знает что это шлюз, но оно в одной подсети. Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз. Я вам больше скажу, устройство раньше было в моей подсети и там прописан остался шлюз 192.168.88.1 т.е. шлюз из подсети которая хочет пролезть к нему через нат и это сработало при условии включения арп прокси на интерфейсе LAN. Если шлюз не прописан и arp прокси не поможет. Вот как-то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 декабря, 2017 (изменено) · Жалоба 2 часа назад, Odmine сказал: Т.е. шлюз обратился к устройству в своей подсети, а устройство почему-то не может ему ответить если у него не прописан шлюз. У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения, адрес источника остаётся какой был из 88-й подсети. Соответственно 4.120 должен иметь маршрут на 88-ю подсеть (либо дефолт) через тот самый шлюз, на котором происходит подмена адреса dst-nat. Изменено 2 декабря, 2017 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Odmine Опубликовано 2 декабря, 2017 · Жалоба 31 минуту назад, McSea сказал: У вас не шлюз обращается, а устройство из 88-й подсети. Dst-nat подменяет только адрес назначения Тогда все сходится! Я заблуждался, что через айпишник микротика локального интерфейса обращается в конечном итоге, который и находится в одной подсети с устройством. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...