Перейти к содержимому
Калькуляторы

Сделать Микротик прозрачным

Добрый день Форумчане. Вопрос для сведующих простой, думаю 2-3 привила всего))

Есть связка из 2х МТ. Задача первого (hEX) поднять сессию Билайна. Минимальный стандартный фаервол, строчка маскарада, L2TP, статический ip.  ВСЁ! Он является шлюзом для следующего тика CCR1009. Этот друг рулит всем и вся. На него завязано несколько таких шлюзов как 1й.

Задача - пробросить прозрачно ВСЁ через первого hEXа на CCR. Оставить только winbox с другим портом (пусть 8219) и web (8080) для hEXa. Чтобы всё стандартное сразу пролетало на CCR при обращении по статике. 

Интуиция подсказывает, что в нате 2 правила , на винбокс и вебку, и за ними еще одно - пропуск на все остальное. Но какие галки и последовательность? Девайсы от меня 60 км, первая попытка была неудачная, кончилась поездкой((( 

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29 минут назад, evgeny81 сказал:

первая попытка была неудачная, кончилась поездкой((( 

А кнопку SAFE MODE нажать, не?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах


/ip firewall nat
add action=masquerade chain=srcnat
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

Пробросит все, кроме порта винбокса. Ясно дело все встроенные службы - ip-services нужно отключить. В вашем случае меняете входной интерфейс и адрес для проброса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И правда, надо было всего лишь щёлку оставить))) спасибо большое!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К чему плодить столько правил?
Winbox и WebFig работают по tcp. Ловить надо только их.
В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так:
/ip firewall nat
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 
add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80
add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.