ExplorerSpb Posted December 29, 2022 Posted December 29, 2022 Здравствуйте Уважаемые специалисты. Столкнулся с проблемой настройки проброса порта в Mikrotik. В TP-LINK работает, а через "новый" Mikrotik никак. Только два правила 1. Раздать, 2. Проброс порта: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \ protocol=tcp to-addresses=192.168.10.200 to-ports=80 Из внутренней сети и снаружи не пробиться: dstnat: in:ether1 out:(unknown 0), src-mac 61:26:b3:4c:e2:75, proto TCP (SYN), 10.145.58.254:62273->10.145.58.250:8080, len 52 dstnat: in:Local Net Bridge out:(unknown 0), src-mac f0:a6:f7:2b:a5:9d, proto TCP (SYN), 192.168.10.21:49575->10.145.58.250:8080, len 52 ether1 - провайдер с proxy Local Net Bridge - Бридж локальных. Подскажите, где можно поискать? Вставить ник Quote
ExplorerSpb Posted December 29, 2022 Author Posted December 29, 2022 Вот весь конфиг: [admin@MikroTik] > /export # dec/29/2022 15:53:35 by RouterOS 6.48.4 # software id = XIRT-6R04 # # model = 2011UiAS # serial number = 65B2064072BB /interface bridge add name="Local Net Bridge" /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge="Local Net Bridge" interface=ether2 add bridge="Local Net Bridge" interface=ether3 add bridge="Local Net Bridge" interface=ether4 /interface list member add interface=ether1 list=WAN add list=LAN add interface="Local Net Bridge" list=LAN /ip address add address=10.145.58.250/16 interface=ether1 network=10.145.0.0 add address=192.168.10.1/16 interface="Local Net Bridge" network=192.168.0.0 /ip dhcp-client add comment=defconf disabled=no /ip dns set servers=10.124.0.1,10.124.0.9 /ip firewall nat add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \ protocol=tcp to-addresses=192.168.10.200 to-ports=80 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.145.58.1 /system clock set time-zone-name=Europe/Moscow /system routerboard settings set auto-upgrade=yes Вставить ник Quote
ExplorerSpb Posted December 30, 2022 Author Posted December 30, 2022 Что интересно. У меня два шлюза. Если я ставлю проброс порта с наружного IP нового шлюза на наружный старого, то всё работает. Во внутреннюю сеть никак не хочет пробрасывать. Вставить ник Quote
jffulcrum Posted December 30, 2022 Posted December 30, 2022 В правиле dst-nat для начала указать в in интерфейс Вставить ник Quote
ExplorerSpb Posted December 30, 2022 Author Posted December 30, 2022 2 часа назад, jffulcrum сказал: В правиле dst-nat для начала указать в in интерфейс Спасибо. Интерфейс был указан, но правило не работало. Интерфейс убрал, чтобы типа с любого. Не работает Вставить ник Quote
ShyLion Posted December 31, 2022 Posted December 31, 2022 Quote Вот весь конфиг: не видно /ip firewall filter его действительно нет или вырезали "для удобства" ? dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано? Вставить ник Quote
ExplorerSpb Posted December 31, 2022 Author Posted December 31, 2022 10 часов назад, ShyLion сказал: не видно /ip firewall filter его действительно нет или вырезали "для удобства" ? dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано? Спасибо. С наступающим Новым годом. IP Firewall Filter я еще не добавлял. Хочу заставить хоть как то пробросить порт, чтобы сработало, потом донастроить остальное. Поэтому и dst address не указал, чтобы с любого пока сработало. Вставить ник Quote
jffulcrum Posted December 31, 2022 Posted December 31, 2022 А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет? Вставить ник Quote
ExplorerSpb Posted December 31, 2022 Author Posted December 31, 2022 2 часа назад, jffulcrum сказал: А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет? 200 - это WEB сервер (на 80 порту). Все в локалке на него ходят без проблем, второй маршрутизатор тоже пробрасывает к нему на ура. Не могу заставить Mikrotik это делать. Уже думаю может ли провайдер разрешать или запрещать маршрутизацию определенным IP или MAC Вставить ник Quote
ExplorerSpb Posted January 1, 2023 Author Posted January 1, 2023 9 часов назад, vurd сказал: Google hairpin nat mikrotik Спасибо. Это действительно сработало. У кого такая же проблема: к правилу проброса порта add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80 нужно добавить правило masquerade. В моем случае: add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp и заработало. Вставить ник Quote
sirmax Posted January 5, 2023 Posted January 5, 2023 В 01.01.2023 в 17:01, ExplorerSpb сказал: Спасибо. Это действительно сработало. У кого такая же проблема: к правилу проброса порта add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80 нужно добавить правило masquerade. В моем случае: add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp и заработало. Тут вы потеряли адреса с которых были запросы Вставить ник Quote
maxkst Posted January 9, 2023 Posted January 9, 2023 ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net? Вставить ник Quote
fractal Posted January 10, 2023 Posted January 10, 2023 8 часов назад, maxkst сказал: ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net? Как то запоздало Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.