Jump to content
Калькуляторы

Сделать Микротик прозрачным

Добрый день Форумчане. Вопрос для сведующих простой, думаю 2-3 привила всего))

Есть связка из 2х МТ. Задача первого (hEX) поднять сессию Билайна. Минимальный стандартный фаервол, строчка маскарада, L2TP, статический ip.  ВСЁ! Он является шлюзом для следующего тика CCR1009. Этот друг рулит всем и вся. На него завязано несколько таких шлюзов как 1й.

Задача - пробросить прозрачно ВСЁ через первого hEXа на CCR. Оставить только winbox с другим портом (пусть 8219) и web (8080) для hEXa. Чтобы всё стандартное сразу пролетало на CCR при обращении по статике. 

Интуиция подсказывает, что в нате 2 правила , на винбокс и вебку, и за ними еще одно - пропуск на все остальное. Но какие галки и последовательность? Девайсы от меня 60 км, первая попытка была неудачная, кончилась поездкой((( 

Заранее спасибо!

Share this post


Link to post
Share on other sites

29 минут назад, evgeny81 сказал:

первая попытка была неудачная, кончилась поездкой((( 

А кнопку SAFE MODE нажать, не?

Share this post


Link to post
Share on other sites


/ip firewall nat
add action=masquerade chain=srcnat
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

Пробросит все, кроме порта винбокса. Ясно дело все встроенные службы - ip-services нужно отключить. В вашем случае меняете входной интерфейс и адрес для проброса.

Share this post


Link to post
Share on other sites

К чему плодить столько правил?
Winbox и WebFig работают по tcp. Ловить надо только их.
В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так:
/ip firewall nat
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80
add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.