ExplorerSpb Опубликовано 29 декабря, 2022 · Жалоба Здравствуйте Уважаемые специалисты. Столкнулся с проблемой настройки проброса порта в Mikrotik. В TP-LINK работает, а через "новый" Mikrotik никак. Только два правила 1. Раздать, 2. Проброс порта: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \ protocol=tcp to-addresses=192.168.10.200 to-ports=80 Из внутренней сети и снаружи не пробиться: dstnat: in:ether1 out:(unknown 0), src-mac 61:26:b3:4c:e2:75, proto TCP (SYN), 10.145.58.254:62273->10.145.58.250:8080, len 52 dstnat: in:Local Net Bridge out:(unknown 0), src-mac f0:a6:f7:2b:a5:9d, proto TCP (SYN), 192.168.10.21:49575->10.145.58.250:8080, len 52 ether1 - провайдер с proxy Local Net Bridge - Бридж локальных. Подскажите, где можно поискать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 29 декабря, 2022 · Жалоба Вот весь конфиг: [admin@MikroTik] > /export # dec/29/2022 15:53:35 by RouterOS 6.48.4 # software id = XIRT-6R04 # # model = 2011UiAS # serial number = 65B2064072BB /interface bridge add name="Local Net Bridge" /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge="Local Net Bridge" interface=ether2 add bridge="Local Net Bridge" interface=ether3 add bridge="Local Net Bridge" interface=ether4 /interface list member add interface=ether1 list=WAN add list=LAN add interface="Local Net Bridge" list=LAN /ip address add address=10.145.58.250/16 interface=ether1 network=10.145.0.0 add address=192.168.10.1/16 interface="Local Net Bridge" network=192.168.0.0 /ip dhcp-client add comment=defconf disabled=no /ip dns set servers=10.124.0.1,10.124.0.9 /ip firewall nat add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \ protocol=tcp to-addresses=192.168.10.200 to-ports=80 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.145.58.1 /system clock set time-zone-name=Europe/Moscow /system routerboard settings set auto-upgrade=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 30 декабря, 2022 · Жалоба Что интересно. У меня два шлюза. Если я ставлю проброс порта с наружного IP нового шлюза на наружный старого, то всё работает. Во внутреннюю сеть никак не хочет пробрасывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 декабря, 2022 · Жалоба В правиле dst-nat для начала указать в in интерфейс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 30 декабря, 2022 · Жалоба 2 часа назад, jffulcrum сказал: В правиле dst-nat для начала указать в in интерфейс Спасибо. Интерфейс был указан, но правило не работало. Интерфейс убрал, чтобы типа с любого. Не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 31 декабря, 2022 · Жалоба Quote Вот весь конфиг: не видно /ip firewall filter его действительно нет или вырезали "для удобства" ? dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 31 декабря, 2022 · Жалоба 10 часов назад, ShyLion сказал: не видно /ip firewall filter его действительно нет или вырезали "для удобства" ? dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано? Спасибо. С наступающим Новым годом. IP Firewall Filter я еще не добавлял. Хочу заставить хоть как то пробросить порт, чтобы сработало, потом донастроить остальное. Поэтому и dst address не указал, чтобы с любого пока сработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 31 декабря, 2022 · Жалоба А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 31 декабря, 2022 · Жалоба 2 часа назад, jffulcrum сказал: А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет? 200 - это WEB сервер (на 80 порту). Все в локалке на него ходят без проблем, второй маршрутизатор тоже пробрасывает к нему на ура. Не могу заставить Mikrotik это делать. Уже думаю может ли провайдер разрешать или запрещать маршрутизацию определенным IP или MAC Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 1 января, 2023 · Жалоба Google hairpin nat mikrotik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ExplorerSpb Опубликовано 1 января, 2023 · Жалоба 9 часов назад, vurd сказал: Google hairpin nat mikrotik Спасибо. Это действительно сработало. У кого такая же проблема: к правилу проброса порта add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80 нужно добавить правило masquerade. В моем случае: add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp и заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 5 января, 2023 · Жалоба В 01.01.2023 в 17:01, ExplorerSpb сказал: Спасибо. Это действительно сработало. У кого такая же проблема: к правилу проброса порта add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80 нужно добавить правило masquerade. В моем случае: add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp и заработало. Тут вы потеряли адреса с которых были запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 9 января, 2023 · Жалоба ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 10 января, 2023 · Жалоба 8 часов назад, maxkst сказал: ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net? Как то запоздало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...