[fractal]

схема такая, мне провайдер дает серый ip, я хочу попасть на внутренний сервис за натом, для этого настроил туннель до знакомого и пробросил себе его второй белый через туннель, он брал у провайдера 2 белых, но пользуется одним. настроил vrf,  второй дефолтный маршрут запустил через vrf, настроил правила Mangle, по этому белому ip захожу на микрот нормально, теперь у меня есть виртуальная машина на которую я хочу заходить по белому ip, настроил dst nat как обычно, но не заходит, причем если пробросить белый ip напрямую на виртуалку то все работает, как правильно сконфигурить правила?

 

[admin@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
 0   ;;; default configuration
     192.168.100.1/24   192.168.100.0   ether3                                   
 1 D 10.124.10.234/27   10.124.10.224   ether1                                   
 2   1.1.1.3/29  1.1.1.0  bridge1_wan                              
 3 D 1.154.54.4/32      1.154.54.1      l2tp-out1                               

[admin@MikroTik] > ip route print detail 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 A S  dst-address=0.0.0.0/0 gateway=bridge1_wan 
        gateway-status=bridge1_wan reachable distance=1 scope=30 
        target-scope=10 routing-mark=wan 

 1 ADC  dst-address=1.1.1.0/29 pref-src=1.1.1.3 gateway=bridge1_wa>
        gateway-status=bridge1_wan reachable distance=0 scope=10 
        routing-mark=wan 

 2 ADS  dst-address=0.0.0.0/0 gateway=10.124.10.254 
        gateway-status=10.124.10.254 reachable via  ether1 distance=1 scope=30 
        target-scope=10 vrf-interface=ether1 

 3 ADC  dst-address=1.154.54.1/32 pref-src=1.154.54.4 gateway=l2tp-out1 
        gateway-status=l2tp-out1 reachable distance=0 scope=10 

 4 ADC  dst-address=10.124.10.224/27 pref-src=10.124.10.234 gateway=ether1 
        gateway-status=ether1 reachable distance=0 scope=10 

 5 ADC  dst-address=192.168.100.0/24 pref-src=192.168.100.1 gateway=bridge0 
        gateway-status=bridge0 reachable distance=0 scope=10 

[admin@MikroTik] >  ip route vrf print 
Flags: X - disabled, I - inactive 
 0   routing-mark=wan interfaces=bridge1_wan 

[admin@MikroTik] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=mark-connection new-connection-mark=mark_wan 
      passthrough=no dst-address=1.1.1.3 in-interface=bridge1_wan log=no 
      log-prefix="" 

 1    chain=output action=mark-routing new-routing-mark=wan passthrough=no 
      connection-mark=mark_wan log=no log-prefix="" 

[admin@MikroTik] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=accept log=no log-prefix="" 

 1    chain=forward action=accept log=no log-prefix="" 

 2    ;;; default configuration
      chain=input action=drop in-interface=ether1 log=no log-prefix="" 

 3    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; default configuration
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix="" 

 5    chain=input action=accept log=no log-prefix="" 

 6    ;;; drop telnet brute forcers
      chain=input action=drop protocol=tcp src-address-list=telnet_blacklist 
      dst-port=23 log=no log-prefix="" 

 7    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist 
      address-list-timeout=1w3d dst-port=23 log=no log-prefix="" 

 8    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 
      address-list-timeout=1m dst-port=23 log=no log-prefix="" 

 9    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 
      address-list-timeout=1m dst-port=23 log=no log-prefix="" 

10    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp address-list=telnet_stage1 address-list-timeout=1m 
      dst-port=23 log=no log-prefix="" 

11    ;;; drop telnet brute downstream
      chain=forward action=drop protocol=tcp src-address-list=telnet_blacklist 
      dst-port=23 log=no log-prefix="" 

12    chain=output action=accept protocol=tcp content=530 Login incorrect 
      dst-limit=1/1m,9,dst-address/1m log=no log-prefix="" 

13    ;;; drop winbox brute forcers
      chain=input action=drop protocol=tcp src-address-list=telnet_blacklist 
      dst-port=8291 log=no log-prefix="" 

14    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist 
      address-list-timeout=1w3d dst-port=8291 log=no log-prefix="" 

15    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 
      address-list-timeout=1m dst-port=8291 log=no log-prefix="" 

16    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 
      address-list-timeout=1m dst-port=8291 log=no log-prefix="" 

17    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp address-list=telnet_stage1 address-list-timeout=1m 
      dst-port=8291 log=no log-prefix="" 

18    ;;; drop winbox brute downstream
      chain=forward action=drop protocol=tcp src-address-list=telnet_blacklist 
      dst-port=8291 log=no log-prefix="" 

[admin@MikroTik] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=dstnat action=dst-nat to-addresses=192.168.100.150 to-ports=80 
      protocol=tcp in-interface=bridge1_wan dst-port=80 log=no log-prefix="" 

 1    ;;; default configuration
      chain=srcnat action=masquerade src-address=192.168.100.0/24 
      out-interface=ether1 log=no log-prefix="" 

 

Изменено 25 июня, 2018 пользователем fractal

[fractal]

белый ip заменил на 1.1.1.3/29 в выложенном конфиге

[pingz]

Религия не позволяет заходить через VPN?

 

Роутер с серым IP ---VPN--->>>Белый IP <<<<---VPN---- ваш пк или роутер. 

[fractal]

1 час назад, pingz сказал:

Религия не позволяет заходить через VPN?

 

Роутер с серым IP ---VPN--->>>Белый IP <<<<---VPN---- ваш пк или роутер. 

С любого места? Мне надо через браузер попасть на сервак по htttp

[pingz]

@fractal  IOS, андоюха, винда, линкс умеют подымать тунели PPtP, или вам нужно с кофе машины заходить? 

 

З.Ы. если нужно публичный сайт выкладывать для этого есть хостинге и датацентры цены не кусаются уже. 

[DRiVen]

Где chain=srcnat action=src-nat(masquerade) src-address=192.168.100.ВМ/24 out-interface=bridge1_wan?

[fractal]

3 часа назад, pingz сказал:

@fractal  IOS, андоюха, винда, линкс умеют подымать тунели PPtP, или вам нужно с кофе машины заходить? 

 

З.Ы. если нужно публичный сайт выкладывать для этого есть хостинге и датацентры цены не кусаются уже. 

Не надо мне сайт, просто доступ до своей виртуальной лабы и без туннелей

[fractal]

5 часов назад, DRiVen сказал:

Где chain=srcnat action=src-nat(masquerade) src-address=192.168.100.ВМ/24 out-interface=bridge1_wan?

Разве можно прописать правило маскарада из такой же сети еще раз для одного ip? 

[DRiVen]

Не вижу препятствий.

[fractal]

5 часов назад, DRiVen сказал:

Не вижу препятствий.

[admin@MikroTik] /ip firewall nat> add chain=srcnat action=src-nat src-address=192
.168.100.150/24 out-interface=bridge1_wan            
failure: to-addresses or to-ports must be specifie

[DRiVen]

Ну так или to-address=1.1.1.3/29 укажите, или маскарад используйте.

[fractal]

Только что, DRiVen сказал:

Ну так или 1.1.1.3/29 укажите, или маскарад используйте.

Пробовал маскарад, не работает, выдал отдельную подсеть на сервак и все норм, на нее пробросил

[DRiVen]

17 минут назад, fractal сказал:

Пробовал маскарад, не работает

Что-то не так делаете, все работает:

/ip firewall nat
add action=masquerade chain=srcnat comment=PPPoE out-interface=pppoe-out1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=CDN out-interface=eth1.1785 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=L2TP out-interface=l2tp-cdn src-address=192.168.1.0/24