Diman_xxxx Posted April 16, 2013 Posted April 16, 2013 (edited) Помогите пожалуйста сделать ПРавильный проброс. Привожу конфигу почти полностью: Где: 1.1.1.1 - Белый IP; 2.2.2.2 - Серый IP локальной сети провайдера; 3.3.3.3 - Локальный IP PBX в локалке микротика. Проблема - пакеты на 5060 порт непроходят на внешний интерфейс (1.1.1.1) с локалки микротика. Проброс 5060 с локалки микротика на локалку провайдера работает правильно. Интернеты и локальная сеть провайдера с компов 1 и 2 работают. # apr/16/2013 06:03:14 by RouterOS 6.0rc13 # /interface bridge add l2mtu=1598 name=bridge1-LAN /interface ethernet set 0 name="TTK" set 3 name=ether4-bridge1-Komp2 /ip dhcp-server add interface=bridge1-LAN name="DHCP server1" /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m /interface l2tp-client add add-default-route=yes comment="1.1.1.1 TTK vpn 247" connect-to=172.22.22.247 dial-on-demand=yes max-mru=1460 \ max-mtu=1460 name=l2tp-out1-TTK password=xxx profile=default user=xxx /interface pptp-client add add-default-route=yes comment="1.1.1.1 TTK vpn 254" connect-to=172.22.22.254 dial-on-demand=yes max-mru=1460 \ max-mtu=1460 name=pptp-out1 password=xxx profile=default user=xxx /ip neighbor discovery set l2tp-out1-TTK comment="1.1.1.1 TTK vpn 247" discover=no set pptp-out1 comment="1.1.1.1 TTK vpn 254" discover=no /interface bridge port add bridge=bridge1-LAN interface=Komp1 add bridge=bridge1-LAN interface=Komp2 add bridge=bridge1-LAN interface=DLink /ip address add address=2.2.2.2/24 interface="TTK" network=2.2.2.0 add address=3.3.3.33/24 interface=bridge1-LAN network=3.3.3.0 /ip dhcp-server network add address=3.3.3.0/24 dns-server=172.22.22.1 gateway=3.3.3.33 /ip dns set allow-remote-requests=yes servers=172.22.22.1,84.53.200.24,84.53.199.254 /ip firewall filter add chain=forward comment="forward 349 to K2 Komp1" dst-address=3.3.3.1 in-interface=!bridge1-LAN port=349 \ protocol=tcp add chain=forward comment="forward 339 to K2 Komp2" dst-address=3.3.3.2 in-interface=!bridge1-LAN port=339 \ protocol=tcp add chain=forward comment="forward 5060 to PBX" dst-address=3.3.3.3 dst-port=5060 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward 5060 to PBX" disabled=yes dst-address=3.3.3.3 dst-port=5060 in-interface=\ !bridge1-LAN protocol=tcp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=30000-30300 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=13000-13896 in-interface=!bridge1-LAN \ protocol=udp /ip firewall nat add action=dst-nat chain=dstnat comment="forward RTP to PBX" dst-port=20000-20300 protocol=udp to-addresses=3.3.3.3 \ to-ports=20000-20300 add action=dst-nat chain=dstnat comment="forward RTP to PBX" dst-port=13000-13896 protocol=udp to-addresses=3.3.3.3 \ to-ports=13000-13896 add action=dst-nat chain=dstnat comment="forward UDP 5060 to PBX" dst-port=5060 protocol=udp to-addresses=3.3.3.3 \ to-ports=5060 add action=dst-nat chain=dstnat comment="forward TCP 5060 to PBX" disabled=yes dst-port=5060 protocol=tcp to-addresses=\ 3.3.3.3 to-ports=5060 add action=dst-nat chain=dstnat comment="forward 349 to K2 Komp1" dst-port=349 protocol=tcp to-addresses=\ 3.3.3.101 to-ports=0-65535 add action=dst-nat chain=dstnat comment="forward 339 to K2 Komp2" dst-port=339 protocol=tcp to-addresses=\ 3.3.3.99 to-ports=0-65535 add action=src-nat chain=srcnat comment=default_!!! out-interface="TTK" src-address=\ 3.3.3.0/24 to-addresses=2.2.2.2 add action=masquerade chain=srcnat comment=default_!!! out-interface=l2tp-out1-TTK add action=masquerade chain=srcnat comment=default_!!! out-interface=pptp-out1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set pptp disabled=yes /// 5060 не выключал /ip route add distance=1 dst-address=172.22.22.22/12 gateway=2.2.2.1 /system ntp client set enabled=yes mode=unicast primary-ntp=165.233.2.2 /tool bandwidth-server set allocate-udp-ports-from=1000 authenticate=no max-sessions=1 Уже все что мог попробовал... Нужен коллективный разум Edited April 17, 2013 by Diman_xxxx Вставить ник Quote
Diman_xxxx Posted May 14, 2013 Author Posted May 14, 2013 UP Сааб помоги) Апну на волне микротикомании! Вставить ник Quote
Saab95 Posted May 14, 2013 Posted May 14, 2013 Если вы вместо add action=dst-nat chain=dstnat comment="forward UDP 5060 to PBX" dst-port=5060 protocol=udp to-addresses=3.3.3.3 to-ports=5060 Напишите add action=netmap chain=dstnat comment="forward UDP 5060 to PBX" dst-port=5060 protocol=udp to-addresses=3.3.3.3 to-ports=5060 и по аналогии все другие правила проброса, далее уберете полностью /ip firewall filter add chain=forward comment="forward 349 to K2 Komp1" dst-address=3.3.3.1 in-interface=!bridge1-LAN port=349 \ protocol=tcp add chain=forward comment="forward 339 to K2 Komp2" dst-address=3.3.3.2 in-interface=!bridge1-LAN port=339 \ protocol=tcp add chain=forward comment="forward 5060 to PBX" dst-address=3.3.3.3 dst-port=5060 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward 5060 to PBX" disabled=yes dst-address=3.3.3.3 dst-port=5060 in-interface=\ !bridge1-LAN protocol=tcp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=30000-30300 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=13000-13896 in-interface=!bridge1-LAN \ protocol=udp И в заключение переделаете НАТ на внешние адреса клиентов в пункте src.address, а не интерфейс add action=masquerade chain=srcnat comment=default_!!! out-interface=l2tp-out1-TTK add action=masquerade chain=srcnat comment=default_!!! out-interface=pptp-out1 То все должно заработать. Вставить ник Quote
Diman_xxxx Posted May 14, 2013 Author Posted May 14, 2013 Спасибо! Если вы вместо add action=dst-nat chain=dstnat comment="forward UDP 5060 to PBX" dst-port=5060 protocol=udp to-addresses=3.3.3.3 to-ports=5060 Напишите add action=netmap chain=dstnat comment="forward UDP 5060 to PBX" dst-port=5060 protocol=udp to-addresses=3.3.3.3 to-ports=5060 и по аналогии все другие правила проброса, далее уберете полностью /ip firewall filter add chain=forward comment="forward 349 to K2 Komp1" dst-address=3.3.3.1 in-interface=!bridge1-LAN port=349 \ protocol=tcp add chain=forward comment="forward 339 to K2 Komp2" dst-address=3.3.3.2 in-interface=!bridge1-LAN port=339 \ protocol=tcp add chain=forward comment="forward 5060 to PBX" dst-address=3.3.3.3 dst-port=5060 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward 5060 to PBX" disabled=yes dst-address=3.3.3.3 dst-port=5060 in-interface=\ !bridge1-LAN protocol=tcp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=30000-30300 in-interface=!bridge1-LAN \ protocol=udp add chain=forward comment="forward RTP to PBX" dst-address=3.3.3.3 dst-port=13000-13896 in-interface=!bridge1-LAN \ protocol=udp Эти пункты пока непомогли(хотя есть еще одно но - но это завтра) И в заключение переделаете НАТ на внешние адреса клиентов в пункте src.address, а не интерфейс add action=masquerade chain=srcnat comment=default_!!! out-interface=l2tp-out1-TTK add action=masquerade chain=srcnat comment=default_!!! out-interface=pptp-out1 То все должно заработать. Сделать по аналогии c: add action=src-nat chain=srcnat comment=default_!!! out-interface="TTK" src-address=\ 3.3.3.0/24 to-addresses=2.2.2.2 ??? вроде: add action=src-nat chain=srcnat src-address=IP PBX to-addresses=мой белый ip ? Вставить ник Quote
Saab95 Posted May 14, 2013 Posted May 14, 2013 Нат делают по внутренним адресам. Допустим выдаете клиентам 192.168.0.х, и в правиле надо указать именно их, а не интерфейс. И ничего более там указывать не нужно. Ваш белый IP маршрутизатор и так знает. Никаких to-address не нужно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.