fractal Опубликовано 25 июня, 2018 (изменено) · Жалоба схема такая, мне провайдер дает серый ip, я хочу попасть на внутренний сервис за натом, для этого настроил туннель до знакомого и пробросил себе его второй белый через туннель, он брал у провайдера 2 белых, но пользуется одним. настроил vrf, второй дефолтный маршрут запустил через vrf, настроил правила Mangle, по этому белому ip захожу на микрот нормально, теперь у меня есть виртуальная машина на которую я хочу заходить по белому ip, настроил dst nat как обычно, но не заходит, причем если пробросить белый ip напрямую на виртуалку то все работает, как правильно сконфигурить правила? [admin@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; default configuration 192.168.100.1/24 192.168.100.0 ether3 1 D 10.124.10.234/27 10.124.10.224 ether1 2 1.1.1.3/29 1.1.1.0 bridge1_wan 3 D 1.154.54.4/32 1.154.54.1 l2tp-out1 [admin@MikroTik] > ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S dst-address=0.0.0.0/0 gateway=bridge1_wan gateway-status=bridge1_wan reachable distance=1 scope=30 target-scope=10 routing-mark=wan 1 ADC dst-address=1.1.1.0/29 pref-src=1.1.1.3 gateway=bridge1_wa> gateway-status=bridge1_wan reachable distance=0 scope=10 routing-mark=wan 2 ADS dst-address=0.0.0.0/0 gateway=10.124.10.254 gateway-status=10.124.10.254 reachable via ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1 3 ADC dst-address=1.154.54.1/32 pref-src=1.154.54.4 gateway=l2tp-out1 gateway-status=l2tp-out1 reachable distance=0 scope=10 4 ADC dst-address=10.124.10.224/27 pref-src=10.124.10.234 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10 5 ADC dst-address=192.168.100.0/24 pref-src=192.168.100.1 gateway=bridge0 gateway-status=bridge0 reachable distance=0 scope=10 [admin@MikroTik] > ip route vrf print Flags: X - disabled, I - inactive 0 routing-mark=wan interfaces=bridge1_wan [admin@MikroTik] > ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=mark-connection new-connection-mark=mark_wan passthrough=no dst-address=1.1.1.3 in-interface=bridge1_wan log=no log-prefix="" 1 chain=output action=mark-routing new-routing-mark=wan passthrough=no connection-mark=mark_wan log=no log-prefix="" [admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept log=no log-prefix="" 1 chain=forward action=accept log=no log-prefix="" 2 ;;; default configuration chain=input action=drop in-interface=ether1 log=no log-prefix="" 3 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 4 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix="" 5 chain=input action=accept log=no log-prefix="" 6 ;;; drop telnet brute forcers chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 log=no log-prefix="" 7 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23 log=no log-prefix="" 8 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23 log=no log-prefix="" 9 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23 log=no log-prefix="" 10 chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23 log=no log-prefix="" 11 ;;; drop telnet brute downstream chain=forward action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 log=no log-prefix="" 12 chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,9,dst-address/1m log=no log-prefix="" 13 ;;; drop winbox brute forcers chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=8291 log=no log-prefix="" 14 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=8291 log=no log-prefix="" 15 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=8291 log=no log-prefix="" 16 chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=8291 log=no log-prefix="" 17 chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=8291 log=no log-prefix="" 18 ;;; drop winbox brute downstream chain=forward action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=8291 log=no log-prefix="" [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=dstnat action=dst-nat to-addresses=192.168.100.150 to-ports=80 protocol=tcp in-interface=bridge1_wan dst-port=80 log=no log-prefix="" 1 ;;; default configuration chain=srcnat action=masquerade src-address=192.168.100.0/24 out-interface=ether1 log=no log-prefix="" Изменено 25 июня, 2018 пользователем fractal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 июня, 2018 · Жалоба белый ip заменил на 1.1.1.3/29 в выложенном конфиге Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 25 июня, 2018 · Жалоба Религия не позволяет заходить через VPN? Роутер с серым IP ---VPN--->>>Белый IP <<<<---VPN---- ваш пк или роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 июня, 2018 · Жалоба 1 час назад, pingz сказал: Религия не позволяет заходить через VPN? Роутер с серым IP ---VPN--->>>Белый IP <<<<---VPN---- ваш пк или роутер. С любого места? Мне надо через браузер попасть на сервак по htttp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 25 июня, 2018 · Жалоба @fractal IOS, андоюха, винда, линкс умеют подымать тунели PPtP, или вам нужно с кофе машины заходить? З.Ы. если нужно публичный сайт выкладывать для этого есть хостинге и датацентры цены не кусаются уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 25 июня, 2018 · Жалоба Где chain=srcnat action=src-nat(masquerade) src-address=192.168.100.ВМ/24 out-interface=bridge1_wan? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 июня, 2018 · Жалоба 3 часа назад, pingz сказал: @fractal IOS, андоюха, винда, линкс умеют подымать тунели PPtP, или вам нужно с кофе машины заходить? З.Ы. если нужно публичный сайт выкладывать для этого есть хостинге и датацентры цены не кусаются уже. Не надо мне сайт, просто доступ до своей виртуальной лабы и без туннелей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 26 июня, 2018 · Жалоба 5 часов назад, DRiVen сказал: Где chain=srcnat action=src-nat(masquerade) src-address=192.168.100.ВМ/24 out-interface=bridge1_wan? Разве можно прописать правило маскарада из такой же сети еще раз для одного ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 июня, 2018 · Жалоба Не вижу препятствий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 27 июня, 2018 · Жалоба 5 часов назад, DRiVen сказал: Не вижу препятствий. [admin@MikroTik] /ip firewall nat> add chain=srcnat action=src-nat src-address=192 .168.100.150/24 out-interface=bridge1_wan failure: to-addresses or to-ports must be specifie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 июня, 2018 · Жалоба Ну так или to-address=1.1.1.3/29 укажите, или маскарад используйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 27 июня, 2018 · Жалоба Только что, DRiVen сказал: Ну так или 1.1.1.3/29 укажите, или маскарад используйте. Пробовал маскарад, не работает, выдал отдельную подсеть на сервак и все норм, на нее пробросил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 июня, 2018 · Жалоба 17 минут назад, fractal сказал: Пробовал маскарад, не работает Что-то не так делаете, все работает: /ip firewall nat add action=masquerade chain=srcnat comment=PPPoE out-interface=pppoe-out1 src-address=192.168.1.0/24 add action=masquerade chain=srcnat comment=CDN out-interface=eth1.1785 src-address=192.168.1.0/24 add action=masquerade chain=srcnat comment=L2TP out-interface=l2tp-cdn src-address=192.168.1.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...