Diman_xxxx Posted March 7, 2013 · Report post Можно ли грешить на Mikrotik, так как возможно через него непроходят invait's на 5060 5061. На 5062 - проходят - все ОК. Из NAT-а две строки с маскарадингом: 1 на WAN порт со Stati IP, 2 на тотже порт на L2TP "ннтерфейс" и все. Инвайты почемуто не уходят/ Провайдер клянеться что порты открыты. Как проверить еще незнаю. Подскажите пожалуйста что можно сделать. Share this post Link to post Share on other sites
tartila Posted March 7, 2013 (edited) · Report post Можно ли грешить на Mikrotik, так как возможно через него непроходят invait's на 5060 5061. На 5062 - проходят - все ОК. Из NAT-а две строки с маскарадингом: 1 на WAN порт со Stati IP, 2 на тотже порт на L2TP "ннтерфейс" и все. Инвайты почемуто не уходят/ Провайдер клянеться что порты открыты. Как проверить еще незнаю. Подскажите пожалуйста что можно сделать. хелперы неправильно работают в MT? /ip firewall service-port p.s. И еще... Я взял за моду использовать маскарадинг ТОЛЬКО на динамических интерфейсах (ppp), во всех остальных случаях dnat. Я понимаю, что маскарадинг удобен (настройка не требуется), но я лично видел примеры, когда он брал НЕ тот IP (с другого интерфейса) и работал не корректно. Edited March 7, 2013 by tartila Share this post Link to post Share on other sites
Diman_xxxx Posted March 7, 2013 · Report post хелперы неправильно работают в MT? /ip firewall service-port Наверно да, порты там включены(как и были по умолчанию). Я для эксперемена их выключил - слетела sip регистрация. Включил, на попытки перерегистрации шлюзы не регестрировались. Закинул конфигу из бекапа, ребутнул - вуаля все завелось. Поэтому и подозрения на МТ... p.s. И еще... Я взял за моду использовать маскарадинг ТОЛЬКО на динамических интерфейсах (ppp), во всех остальных случаях dnat. Я понимаю, что маскарадинг удобен (настройка не требуется), но я лично видел примеры, когда он брал НЕ тот IP (с другого интерфейса) и работал не корректно. Согласен, но надо немного разбираться... Share this post Link to post Share on other sites
Diman_xxxx Posted March 24, 2013 · Report post Обнаружил что при включенной строке NAT с пробросом одно порта 5060 по UDP - UDP Trace с локалки на 5060 не идет!!! С ВЫКЛюченной - все OK. С самого же микротика udp trace на 5060 уходит ОК. Правило на картинке, Подскажите пожалуйста как победить эту напасть :) ? Share this post Link to post Share on other sites
Diman_xxxx Posted March 27, 2013 · Report post p.s. И еще... Я взял за моду использовать маскарадинг ТОЛЬКО на динамических интерфейсах (ppp), во всех остальных случаях dnat. Подскажите пожалуйста где посмотреть пример такого правила ? Share this post Link to post Share on other sites
tartila Posted March 27, 2013 · Report post p.s. И еще... Я взял за моду использовать маскарадинг ТОЛЬКО на динамических интерфейсах (ppp), во всех остальных случаях dnat. Подскажите пожалуйста где посмотреть пример такого правила ? http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Destination_NAT Share this post Link to post Share on other sites
Diman_xxxx Posted March 27, 2013 · Report post http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Destination_NAT Прописал /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \ to-addresses=192.168.0.109 Локалка работает. Но ppp перестал пробрасывать. При сохраненном правиле маскарадинга на ppp интерфейс. в примере дальше написано: Add rule allowing access to the internal server from external networks: /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \to-addresses=192.168.0.109 Тут используеться белый IP 10.5.8.200? У меня же поднят PPTP. И серый IP из локальной сети. Внешний - динамический. Как подправить второе правило? Share this post Link to post Share on other sites
tartila Posted March 27, 2013 · Report post http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Destination_NAT Прописал /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \ to-addresses=192.168.0.109 Локалка работает. Но ppp перестал пробрасывать. При сохраненном правиле маскарадинга на ppp интерфейс. в примере дальше написано: Add rule allowing access to the internal server from external networks: /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \to-addresses=192.168.0.109 Тут используеться белый IP 10.5.8.200? У меня же поднят PPTP. И серый IP из локальной сети. Внешний - динамический. Как подправить второе правило? При динамическом интерфейсе (например, ppp) - только маскарадинг. Share this post Link to post Share on other sites
Diman_xxxx Posted March 27, 2013 (edited) · Report post Tartila - огромное спасибо за помощь! Наконецто разобрался) После замены маскарадинга на scr-nat порты (5060) наконецто стали ПРАВИЛЬНО пробрасываться ! Edited March 28, 2013 by Diman_xxxx Share this post Link to post Share on other sites
