[LEOLINER]

Имеется беспроводной мост на базе двух NanoBeam M5, оба устройства настроены в режиме bridge, ip адреса 192.168.88.235, 192.168.88.236. По мосту ходит Инет. Принимает Инет роутер  Mikrotik x86, ip адрес внутренний 192.168.78.1, ip адрес внешний 192.168.88.6 на интерфейсе ether1(на нём висит Инет по PPPoE. Ping до устройств идёт, но только от самого микротика. На роутере настроено NAT masquerade, Firewall, есть ещё маркировка и балансировка, но она в данных момент отключена, только маркировка работает.

Задача состоит в следующем: нужен доступ на WEB управление NanoBeam M5, из внутренней сети 192.168.78.0/24. Знаю что надо прописать маршрут, но я уже прописывал, всё без толку. Некий динамический маршрут присутствует на микротике. Что интересно ставил обычный роутер Keenetic, прописал маршрут и всё работало, а на тике так не прокатывает. Люди! У кого какие соображения по этому поводу?

Динамический маршрут

все маршруты:

/ip route
add disabled=yes distance=1 gateway="(unknown)" routing-mark=to-isp1
add distance=1 gateway=ether2 routing-mark=to-isp2
add check-gateway=ping distance=1 gateway=109.200.00.23
add disabled=yes distance=1 gateway="(unknown),(unknown)"
add distance=1 dst-address=192.168.88.0/24 gateway=ether1

[LEOLINER]

Внимание! Добавил правило /ip firewall filter  add chain=forward protocol=icmp, пошёл пинг до устройств 192.168.88.236 и 192.168.88.235. Что же это получается маршрут добавлен верно? А где то может фаервол доступ блокирует?
 

 

Схема сети 

[McSea]

1 час назад, LEOLINER сказал:

Что же это получается маршрут добавлен верно? А где то может фаервол доступ блокирует?

Это что, вопросы риторические ? Нам-то отсюда не видно, что у вас еще в /ip firewall filter прописано :)

[LEOLINER]

Настройки фаервола 

/ip firewall filter
add chain=input comment="access to winbox" dst-port=8291 in-interface=\
    pppoe-out1 protocol=tcp
add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \
    protocol=tcp
add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \
    protocol=tcp
add chain=forward comment="access to web2" dst-port=80 in-interface=ether1 \
    protocol=tcp
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add chain=input connection-state=related disabled=yes in-interface=ether2
add chain=input connection-state=established disabled=yes in-interface=ether2
add chain=input dst-port=1723 in-interface=pppoe-out1 protocol=tcp
add chain=input in-interface=pppoe-out1 protocol=gre
add action=drop chain=input in-interface=pppoe-out1
add action=drop chain=input disabled=yes in-interface=ether2
add chain=forward dst-address=192.168.78.243
add chain=forward dst-address=192.168.78.241
add chain=forward comment=erhov2 dst-address=192.168.78.13
add chain=forward comment=dvorecki dst-address=192.168.78.35

dd action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer

/ip firewall mangle
add action=mark-connection chain=forward in-interface=pppoe-out1 \
    new-connection-mark=to-isp1c
add action=mark-connection chain=forward disabled=yes in-interface=ether2 \
    new-connection-mark=to-isp2c
add action=mark-routing chain=prerouting connection-mark=to-isp1c \
    new-routing-mark=to-isp1 src-address=192.168.78.0/24
add action=mark-routing chain=prerouting connection-mark=to-isp2c disabled=yes \
    new-routing-mark=to-isp2 src-address=192.168.78.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment=nat1 out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=ether2 to-addresses=0.0.0.0

[LEOLINER]

Всё, проблема решена уважаемые камрады!
Перво наперво на входящем извне интерфейсе ether1, изменил адрес на 192.168.88.1, возможно не зря - в устройствах NanoBeam M5 этот адрес указан в качестве шлюза. Динамический маршрут существовал и ранее и было создано правило в фаервол
add chain=forward src-address=192.168.88.0/24. Внимание! Никаких статических маршрутов не добавлял. Затем, что интересно надо было поднять правило лишь выше правила add action=drop chain=forward dst-address=192.168.78.0/24. И всё заработало! Круто! Я в восторге! Всем спасибо уважаемые камрады!

Для кого интересно вот нижняя изменённая часть фаервола:

add chain=forward src-address=192.168.88.0/24
add action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer

[McSea]

26 минут назад, LEOLINER сказал:

Перво наперво на входящем извне интерфейсе ether1, изменил адрес на 192.168.88.1, возможно не зря - в устройствах NanoBeam M5 этот адрес указан в качестве шлюза

Странно, что ранее пинг работал из внутренней сети. NanoBeam M5 обязательно должен иметь маршрут на 78-ю сеть через микротик, сейчас у вас это просто дефолтовый маршрут. Нанобим точно за ether1, а не ether2, который у вас маскарадится ? 

 

Ну и видимо вы идете с 78.XX адреса, который не разрешен в файволе - там же у вас логика такая, что разрешены только определенные адреса из 78-й сети, а все остальные дропаются. Поэтому accept на 88-ю сеть понадобился выше drop-а 78-й. 

 

46 минут назад, LEOLINER сказал:

add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer

А это зачем дублируется ? И established, related в одно правило обычно делают.

[LEOLINER]

Да по барабану - работает и ладно.