Jump to content
Калькуляторы

Не пробрасывается порт RB2011

Reply to this topic

ExplorerSpb   

ExplorerSpb
Posted

Здравствуйте Уважаемые специалисты.

Столкнулся с проблемой настройки проброса порта в Mikrotik. В TP-LINK работает, а через "новый" Mikrotik никак.

Только два правила 1. Раздать, 2. Проброс порта: 

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \
    protocol=tcp to-addresses=192.168.10.200 to-ports=80

Из внутренней сети и снаружи не пробиться: 

dstnat: in:ether1 out:(unknown 0), src-mac 61:26:b3:4c:e2:75, proto TCP (SYN), 10.145.58.254:62273->10.145.58.250:8080, len 52
dstnat: in:Local Net Bridge out:(unknown 0), src-mac f0:a6:f7:2b:a5:9d, proto TCP (SYN), 192.168.10.21:49575->10.145.58.250:8080, len 52

ether1 - провайдер с proxy

Local Net Bridge - Бридж локальных.

 

Подскажите, где можно поискать?

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted

Вот весь конфиг: 

[admin@MikroTik] > /export                                                        
# dec/29/2022 15:53:35 by RouterOS 6.48.4         
# software id = XIRT-6R04
#
# model = 2011UiAS
# serial number = 65B2064072BB
/interface bridge
add name="Local Net Bridge"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge="Local Net Bridge" interface=ether2
add bridge="Local Net Bridge" interface=ether3
add bridge="Local Net Bridge" interface=ether4
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface="Local Net Bridge" list=LAN
/ip address
add address=10.145.58.250/16 interface=ether1 network=10.145.0.0
add address=192.168.10.1/16 interface="Local Net Bridge" network=192.168.0.0
/ip dhcp-client
add comment=defconf disabled=no
/ip dns
set servers=10.124.0.1,10.124.0.9
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \
    protocol=tcp to-addresses=192.168.10.200 to-ports=80
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=10.145.58.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes

 

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted

Что интересно. У меня два шлюза. Если я ставлю проброс порта с наружного IP нового шлюза на наружный старого, то всё работает.

Во внутреннюю сеть никак не хочет пробрасывать.

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted
2 часа назад, jffulcrum сказал:

В правиле dst-nat для начала указать в in интерфейс

Спасибо. Интерфейс был указан, но правило не работало. Интерфейс убрал, чтобы типа с любого. Не работает 

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted
Quote

Вот весь конфиг:

не видно /ip firewall filter

его действительно нет или вырезали "для удобства" ?

 

 

dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано?

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted
10 часов назад, ShyLion сказал:

не видно /ip firewall filter

его действительно нет или вырезали "для удобства" ?

 

 

dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано?

Спасибо. С наступающим Новым годом.

IP Firewall Filter я еще не добавлял. Хочу заставить хоть как то пробросить порт, чтобы сработало, потом донастроить остальное.

Поэтому и dst address не указал, чтобы с любого пока сработало.

 

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted
2 часа назад, jffulcrum сказал:

А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет?

200 - это WEB сервер (на 80 порту). Все в локалке на него ходят без проблем, второй маршрутизатор тоже пробрасывает к нему на ура. Не могу заставить Mikrotik это делать. Уже думаю может ли провайдер разрешать или запрещать маршрутизацию определенным IP или MAC

Share this post

Link to post
Share on other sites

ExplorerSpb   

ExplorerSpb
Posted
9 часов назад, vurd сказал:

Google hairpin nat mikrotik

Спасибо. Это действительно сработало.

У кого такая же проблема:

к правилу проброса порта 

add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80

нужно добавить правило masquerade. В моем случае: 

add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp

и заработало.

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted
В 01.01.2023 в 17:01, ExplorerSpb сказал:

Спасибо. Это действительно сработало.

У кого такая же проблема:

к правилу проброса порта 

add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80

нужно добавить правило masquerade. В моем случае: 

add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp

и заработало.

Тут вы потеряли адреса с которых были запросы

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
8 часов назад, maxkst сказал:

ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net?

Как то запоздало

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Mikrotik коммутаторы и маршрутизаторы