SiriusGale Posted December 29, 2020 Posted December 29, 2020 (edited) Всем привет, такая ситуация. Есть локальная сеть 172.16.0.0/12. К ней подключен микротик с IP 172.19.172.5, на нём настроена своя сеть 192.168.0.0/24 Внутри нее есть Synology, на вебку которой я захожу по 192.168.0.4:5000. Нужно настроить доступ к этой Synology из сети 172.16.0.0/12 через проброс портов. Правило NAT настроено по стандартному мануалу: chain=dstnat action=netmap to-addresses=192.168.0.4 to-ports=5000 protocol=tcp in-interface=ether1 dst-port=5000 log=yes log-prefix="nas" Все правила Firewall отключены. Имеется правило NAT для маскарада: chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1 При попытке обратиться из локальной сети 172.16.0.0/12 на 172.19.172.5:5000 в логах вылезает следующее: nas dstnat: in:ether1 out:(unknown 0), src-mac 1:1:1:1:1:1, proto TCP (SYN), 172.19.118.3:55164->172.19.172.5:5000, len 52 Сам микротик из локальной сети доступен (пингуется с устройства). В чём моя ошибка и беда? Очень долго гуглил, но те советы, что нашёл - не помогли. Edited December 29, 2020 by SiriusGale Вставить ник Quote
McSea Posted December 30, 2020 Posted December 30, 2020 (edited) 9 hours ago, SiriusGale said: При попытке обратиться из локальной сети 172.16.0.0/12 на 172.19.172.5:5000 в логах вылезает следующее: nas dstnat: in:ether1 out:(unknown 0), src-mac 1:1:1:1:1:1, proto TCP (SYN), 172.19.118.3:55164->172.19.172.5:5000, len 52 Т.е. правило ваше отрабатывает. Адрес, на который идет подмена, в логе не выводится, а исходящий интерфейс на данном этапе неизвестен, определится после подмены адреса на этапе routing decision. Так что это сообщение нормальное. action=netmap в правиле излишен, это для диапазонов адресов; для одного адреса достаточно Action=dst-nat. Но работать должно и с netmap. А проблема в чем ? Edited December 30, 2020 by McSea Вставить ник Quote
SiriusGale Posted December 30, 2020 Author Posted December 30, 2020 (edited) 7 часов назад, McSea сказал: Т.е. правило ваше отрабатывает. Адрес, на который идет подмена, в логе не выводится, а исходящий интерфейс на данном этапе неизвестен, определится после подмены адреса на этапе routing decision. Так что это сообщение нормальное. action=netmap в правиле излишен, это для диапазонов адресов; для одного адреса достаточно Action=dst-nat. Но работать должно и с netmap. А проблема в чем ? Пробовал и sdt-nat, ничего не меняется. Проблема в том, что не работает. При обращении из локальной сети 172.16.0.0/12 на 172.19.172.5:5000 в браузере выводится: Не удется получить доступ к сайту Превышено время ожидания твета от сайта 172.19.172.5 Edited December 30, 2020 by SiriusGale Вставить ник Quote
McSea Posted December 30, 2020 Posted December 30, 2020 Смотрите на Synology настройки файрвола и маршрутизации - обращение из других подсетей не должно блокироваться и должен быть маршрут до 172.16.0.0/12 через микротик, или дефолт через микротик. Вставить ник Quote
SiriusGale Posted January 11, 2021 Author Posted January 11, 2021 Нашёл и устранил 31 декабря, но не было времени отписаться. Если вдруг кому-то интересно, то вот) На Synology присутствует 2 Ethernet интерфеса, на LAN1 была настроена 192.168.0.0/24 подсеть, на LAN2 временно была настроена 172.16.0.0/12 подсеть. В этом, собственно, и была беда. После отключения LAN2 перенаправление начало работать корректно. Полагаю, само перенаправление работало и так, но ответные пакеты от NAS'а уходили не туда, а именно по LAN2. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.