[ExplorerSpb]

Здравствуйте Уважаемые специалисты.

Столкнулся с проблемой настройки проброса порта в Mikrotik. В TP-LINK работает, а через "новый" Mikrotik никак.

Только два правила 1. Раздать, 2. Проброс порта:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \
    protocol=tcp to-addresses=192.168.10.200 to-ports=80

Из внутренней сети и снаружи не пробиться:

dstnat: in:ether1 out:(unknown 0), src-mac 61:26:b3:4c:e2:75, proto TCP (SYN), 10.145.58.254:62273->10.145.58.250:8080, len 52
dstnat: in:Local Net Bridge out:(unknown 0), src-mac f0:a6:f7:2b:a5:9d, proto TCP (SYN), 192.168.10.21:49575->10.145.58.250:8080, len 52

ether1 - провайдер с proxy

Local Net Bridge - Бридж локальных.

 

Подскажите, где можно поискать?

[ExplorerSpb]

Вот весь конфиг:

[admin@MikroTik] > /export                                                        
# dec/29/2022 15:53:35 by RouterOS 6.48.4         
# software id = XIRT-6R04
#
# model = 2011UiAS
# serial number = 65B2064072BB
/interface bridge
add name="Local Net Bridge"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge="Local Net Bridge" interface=ether2
add bridge="Local Net Bridge" interface=ether3
add bridge="Local Net Bridge" interface=ether4
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface="Local Net Bridge" list=LAN
/ip address
add address=10.145.58.250/16 interface=ether1 network=10.145.0.0
add address=192.168.10.1/16 interface="Local Net Bridge" network=192.168.0.0
/ip dhcp-client
add comment=defconf disabled=no
/ip dns
set servers=10.124.0.1,10.124.0.9
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=8080 fragment=no hotspot="" log=yes \
    protocol=tcp to-addresses=192.168.10.200 to-ports=80
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=10.145.58.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes

 

[ExplorerSpb]

Что интересно. У меня два шлюза. Если я ставлю проброс порта с наружного IP нового шлюза на наружный старого, то всё работает.

Во внутреннюю сеть никак не хочет пробрасывать.

[jffulcrum]

В правиле dst-nat для начала указать в in интерфейс

[ExplorerSpb]

2 часа назад, jffulcrum сказал:

В правиле dst-nat для начала указать в in интерфейс

Спасибо. Интерфейс был указан, но правило не работало. Интерфейс убрал, чтобы типа с любого. Не работает 

[ShyLion]

Quote

Вот весь конфиг:

не видно /ip firewall filter

его действительно нет или вырезали "для удобства" ?

 

 

dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано?

[ExplorerSpb]

10 часов назад, ShyLion сказал:

не видно /ip firewall filter

его действительно нет или вырезали "для удобства" ?

 

 

dst-address= тоже не указан. это получается любой траффик на 8080 порт надо перенаправлять на тот хост? так задумано?

Спасибо. С наступающим Новым годом.

IP Firewall Filter я еще не добавлял. Хочу заставить хоть как то пробросить порт, чтобы сработало, потом донастроить остальное.

Поэтому и dst address не указал, чтобы с любого пока сработало.

 

[jffulcrum]

А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет?

[ExplorerSpb]

2 часа назад, jffulcrum сказал:

А как вы проверяете проброс, откуда? И что именно слушает порт на 192.168.10.200? Есть ли на нем сейчас вообще интернет?

200 - это WEB сервер (на 80 порту). Все в локалке на него ходят без проблем, второй маршрутизатор тоже пробрасывает к нему на ура. Не могу заставить Mikrotik это делать. Уже думаю может ли провайдер разрешать или запрещать маршрутизацию определенным IP или MAC

[vurd]

Google hairpin nat mikrotik

[ExplorerSpb]

9 часов назад, vurd сказал:

Google hairpin nat mikrotik

Спасибо. Это действительно сработало.

У кого такая же проблема:

к правилу проброса порта

add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80

нужно добавить правило masquerade. В моем случае:

add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp

и заработало.

[sirmax]

В 01.01.2023 в 17:01, ExplorerSpb сказал:

Спасибо. Это действительно сработало.

У кого такая же проблема:

к правилу проброса порта

add action=dst-nat chain=dstnat dst-address=10.145.58.250 dst-port=8080 log=yes protocol=tcp to-addresses=192.168.10.200 to-ports=80

нужно добавить правило masquerade. В моем случае:

add action=masquerade chain=srcnat dst-address=192.168.10.200 dst-port=80 protocol=tcp

и заработало.

Тут вы потеряли адреса с которых были запросы

[maxkst]

ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net?

[fractal]

8 часов назад, maxkst сказал:

ExplorerSpb, У вашего WEB сервера какой Gateway? Новый роутер или старый? Разрешены ли на сервере запросы из non-local net?

Как то запоздало