[iraklizh]

доброе время суток, ищ внешней сети не могу подключится к А CSS326-24G-2S+RM , сделал файрвол правило с dst-nat, однако ничего не подучается.. из внутренней сети работает... как исправить подскажите плз..

[sdy_moscow]

6 минут назад, iraklizh сказал:

доброе время суток, ищ внешней сети не могу подключится к А CSS326-24G-2S+RM , сделал файрвол правило с dst-nat, однако ничего не подучается.. из внутренней сети работает... как исправить подскажите плз..

Выложили бы сразу конфиг с затертыми или измененными ИП адресами и другими данными, кто-то бы что-то посоветовал. А так будете долго ждать.

[jffulcrum]

Цитата

SwOS uses a simple algorithm to ensure TCP/IP communication - it just replies to the same IP and MAC address packet came from. This way there is no need for Default Gateway on the device itself.

Так что через NAT просто так вы на свитч не попадете. Надо туннель делать

[McSea]

Проброс порта на коммутатор с SwOS работает без проблем, потому что SwOS ответные пакеты посылает на тот же MAC, откуда приходят входящие.

И в случае с dst-nat это будет MAC адрес роутера, на котором этот dst-nat настроен.

 

 

[gard]

Проверьте default gw какой у вас на железке. Туда ли она отвечает?

[iraklizh]

на нем не прописывается default gateway.

 

On 6/19/2021 at 8:14 PM, jffulcrum said:

Так что через NAT просто так вы на свитч не попадете. Надо туннель делать

спасибо хотя не совсем понял про тунель... пойду сверну самокрутку из мануалов...

 

7 hours ago, McSea said:

Проброс порта на коммутатор с SwOS работает без проблем, потому что SwOS ответные пакеты посылает на тот же MAC, откуда приходят входящие.

И в случае с dst-nat это будет MAC адрес роутера, на котором этот dst-nat настроен.

 

 

ну в моем случае не заработало

 

23 minutes ago, gard said:

Проверьте default gw какой у вас на железке. Туда ли она отвечает?

не прописывается, только ip

Изменено 21 июня, 2021 пользователем iraklizh

[McSea]

9 hours ago, iraklizh said:

ну в моем случае не заработало

А у меня работает, специально проверил (SwOS 2.12)

Смотрите настройки (файрвола) маршрутизатора, на котором dst-nat делаете.

 

Но это в любом случае не самая лучшая идея - выставить напрямую в инет управление по HTTP.

 

Изменено 21 июня, 2021 пользователем McSea

[iraklizh]

6 hours ago, McSea said:

А у меня работает, специально проверил (SwOS 2.12)

Смотрите настройки (файрвола) маршрутизатора, на котором dst-nat делаете.

 

Но это в любом случае не самая лучшая идея - выставить напрямую в инет управление по HTTP.

 

 

а можно поподробнее какой у вас рул?

я в тестовой среде настраиваю, никаких правил в фаерволе нет кроме обычных разрешающих  forward-accept i input accept... сделал подключение по pptp.. сам микротик принуется когда попадаю во внутренюю сеть (прописал remote address 173.16.0.4) ...адресс микротика 173.16.0.1 а свич 173.16.0.3 не пингует, хотя точно знаю что работает....вижу его в arp листе... ну и по http тож не могу на свич зайти... Разобрался с VPN работает, даже через мобиловский hotspot работает быстро... но вот интересно бы напрямую разрулить ... в чем там карма...

Изменено 21 июня, 2021 пользователем iraklizh

[McSea]

On 6/21/2021 at 11:27 PM, iraklizh said:

а можно поподробнее какой у вас рул?

/ip firewall nat
add action=dst-nat chain=dstnat comment=TEST dst-port=9180 in-interface-list=WAN protocol=tcp src-address-list=WL_WAN to-addresses=192.168.10.6 to-ports=80

 

[iraklizh]

12 hours ago, McSea said:

/ip firewall nat
add action=dst-nat chain=dstnat comment=TEST dst-port=9180 in-interface-list=WAN protocol=tcp src-address-list=WL_WAN to-addresses=192.168.10.6 to-ports=80

 

Да так и делал порт тока другой брал но все решилось поднятием pptp .