Mlan Posted April 18, 2018 Posted April 18, 2018 Добрый вечер! Который день бьюсь с проблемой проброса портов при использовании двойного NAT. Есть 2 девайса Mikrotik - SXT LTE (используется как WAN) и RB3011 (как основной роутер в сети). Пришлось извращаться с double NAT, т.к. SXT LTE невозможно использовать в режиме бриджа, а CPU не хватает для нормальной работы VPN, при этом SXT LTE идеально ловит проблемный 4G. Все работает нормально за исключением проброса портов. Было создано 2 правила dst nat для SXT LTE -> RB3011 и RB3011 -> web server. Проблема, что пакеты с WAN до web server доходят и он отвечает (проверял Wireshark'ом), но ответы от веб сервера теряются в дебрях между микротиками и не уходят в WAN. Понимаю, что src nat (маскарадинг) где-то работает неверно, есть ли у Вас идеи возможной проблемы и путей решения? Спасибо! Вставить ник Quote
.None Posted April 18, 2018 Posted April 18, 2018 показывайте /ip firewall filter export /ip firewall nat export с обоих устройств заодно и можно показать /ip route export Вставить ник Quote
Mlan Posted April 18, 2018 Author Posted April 18, 2018 SXT LTE: /ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" in-interface=lte1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=lte1 add action=dst-nat chain=dstnat dst-address-type="" in-interface=lte1 to-addresses=192.168.88.253 пути (/ip route) все по-умолчанию, поэтому не экспортируются, скриншот: http://prntscr.com/j6zzmp RB3011: /ip firewall filter add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid add action=accept chain=input comment="Allow established connections" connection-state=established add action=accept chain=input comment="Allow related connections" connection-state=related add action=accept chain=input comment="Allow access to router from LAN only" src-address=192.168.1.0/24 add action=drop chain=input comment="Block DNS requests from WAN" dst-port=53 in-interface=WAN protocol=udp add action=accept chain=input comment="Allow Ping" icmp-options=0:0 protocol=icmp add action=accept chain=input comment="Allow Ping" icmp-options=8:0 protocol=icmp add action=accept chain=input comment="Allow Traceroute" icmp-options=11:0 protocol=icmp add action=accept chain=input comment="Allow Traceroute" icmp-options=3:3 protocol=icmp add action=accept chain=input comment="Allow Path MTU Discovery" icmp-options=3:4 protocol=icmp add action=drop chain=input comment="Drop all other ICMP" protocol=icmp add action=drop chain=input comment="All other inputs drop" /ip firewall nat add action=masquerade chain=srcnat comment="PureVPN nat" out-interface=PureVPN add action=masquerade chain=srcnat comment="WAN nat" out-interface=WAN add action=dst-nat chain=dstnat comment="80 port forwarding" dst-address-type="" dst-port=80 in-interface=WAN protocol=tcp to-addresses=192.168.1.101 to-ports=80 /ip route для RB3011: http://prntscr.com/j701ne Вставить ник Quote
McSea Posted April 18, 2018 Posted April 18, 2018 (edited) @Mlan А трафик от веб сервера случайно в VPN не заворачивается ? Для проверки отключите на RB3011 все маршруты в VPN и на SXT LTE правило с fasttrack-ом. И посмотреть сниффером на обоих микротиках во время обращения (/tool sniffer quick ip-address=...) Edited April 18, 2018 by McSea Вставить ник Quote
pingz Posted April 19, 2018 Posted April 19, 2018 Стоп, я кто запрещает для сервера прямой стык с STX? Можно же на сервере создать 2 интерфейса(вилана) так же проще. Бридж можно собрать и на RB. Вставить ник Quote
EugeneTV Posted April 19, 2018 Posted April 19, 2018 16 часов назад, Mlan сказал: двойного NAT. А зачем двойной? Оставьте на SXT только NAT, а на rb3011 прямую маршрутизацию в его сторону и построение VPN. При такой схеме NAT на 3011 вообще ни к чему, ИМХО Вставить ник Quote
Saab95 Posted April 19, 2018 Posted April 19, 2018 Ага - делаете на LTE NAT, на 3011 создаете бридж, в один порт подключаете канал от LTE (на бридж вешаете IP для работы интернета и туннелей), в этот же бридж подключаете сервер. На него доступ будет и с LTE и с 3011. Делаете прямой проброс и всего делов. Вставить ник Quote
Mlan Posted April 19, 2018 Author Posted April 19, 2018 1 час назад, Saab95 сказал: Ага - делаете на LTE NAT, на 3011 создаете бридж, в один порт подключаете канал от LTE (на бридж вешаете IP для работы интернета и туннелей), в этот же бридж подключаете сервер. На него доступ будет и с LTE и с 3011. Делаете прямой проброс и всего делов. Спасибо! Потестирую, так выглядит все грамотнее :-) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.