Jump to content
Калькуляторы

Сделать Микротик прозрачным

Добрый день Форумчане. Вопрос для сведующих простой, думаю 2-3 привила всего))

Есть связка из 2х МТ. Задача первого (hEX) поднять сессию Билайна. Минимальный стандартный фаервол, строчка маскарада, L2TP, статический ip.  ВСЁ! Он является шлюзом для следующего тика CCR1009. Этот друг рулит всем и вся. На него завязано несколько таких шлюзов как 1й.

Задача - пробросить прозрачно ВСЁ через первого hEXа на CCR. Оставить только winbox с другим портом (пусть 8219) и web (8080) для hEXa. Чтобы всё стандартное сразу пролетало на CCR при обращении по статике. 

Интуиция подсказывает, что в нате 2 правила , на винбокс и вебку, и за ними еще одно - пропуск на все остальное. Но какие галки и последовательность? Девайсы от меня 60 км, первая попытка была неудачная, кончилась поездкой((( 

Заранее спасибо!

Share this post


Link to post
Share on other sites
29 минут назад, evgeny81 сказал:

первая попытка была неудачная, кончилась поездкой((( 

А кнопку SAFE MODE нажать, не?

Share this post


Link to post
Share on other sites

/ip firewall nat
add action=masquerade chain=srcnat
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

Пробросит все, кроме порта винбокса. Ясно дело все встроенные службы - ip-services нужно отключить. В вашем случае меняете входной интерфейс и адрес для проброса.

Share this post


Link to post
Share on other sites

И правда, надо было всего лишь щёлку оставить))) спасибо большое!

Share this post


Link to post
Share on other sites

К чему плодить столько правил?
Winbox и WebFig работают по tcp. Ловить надо только их.
В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так:
/ip firewall nat
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80
add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this