Jump to content
Калькуляторы

Микротик RB-450G + мост NanoBridge m2 - Проброс портов Микротик RB-450G + мост NanoBridge m2 - Проброс портов

Доброго времени суток всем.

 

Проблема такая:

есть сеть: стоит микротик rb-450G подключен к вышестоящему провайдеру по кабелю порт ether1, к порту ether2 подключен NanoBridge m2 дальше радиоканал(мост) и снова NanoBridge m2, мост настроен бриджом.

 

За радиоканалом есть коммутаторы и видеорегистраторы к которым необходимо получить доступ из внешки, указав реальный IP микротика и порт который выделен для конкретного устройства.

 

Проброс портов работает только до 1ого NanoBridge m2, а дальше ни в какую не хочет, ни на 2ую антенну ни на коммутаторы в локальной сети за мостом.

 

Прошивки на антеннах стоят v5.5.8 . На буллетах, наносах + микротик - без проблем работает, а тут ни в какую не хочет.При этом все оборудование за мостом пингуется и можно зайти через ssh.

 

Необходим именно проброс чтобы можно было подключится например смартфоном или планшетом к видеорегистратору из внешки.

 

У микротика Ether2 (192.168.7.1/24), у первой антенны на стороне микротика 192.168.7.2/24 шлюз и днс 192.168.7.1 , и у второй антенны 192.168.7.3/24 шлюз и днс 192.168.7.1

 

Вот настройки микротика:

 

> ip fir nat export

# oct/07/2014 23:20:13 by RouterOS 6.9

#

/ip firewall nat

add action=masquerade chain=srcnat comment="Added by webbox" disabled=yes \

out-interface=ether1 to-addresses=0.0.0.0

add action=masquerade chain=srcnat dst-address=94.236.ххх.1 src-address-list=\

CLIENTS_4

add action=masquerade chain=srcnat dst-address=46.146.ххх.65 \

src-address-list=CLIENTS_4

add action=dst-nat chain=dstnat dst-address=0.0.0.0/0 dst-port=80 protocol=\

tcp src-address-list=CLIENTS_4 to-addresses=46.146.ххх.65 to-ports=80

add action=dst-nat chain=dstnat dst-address=0.0.0.0/0 dst-port=80 protocol=\

tcp src-address-list=CLIENTS_4 to-addresses=46.146.ххх.65 to-ports=80

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=8006 \

protocol=tcp to-addresses=192.168.7.6 to-ports=80

add action=masquerade chain=srcnat src-address-list=CLIENTS_10

add action=masquerade chain=srcnat src-address-list=CLIENTS_11

add action=masquerade chain=srcnat src-address-list=CLIENTS_5

add action=masquerade chain=srcnat src-address-list=CLIENTS_6

add action=masquerade chain=srcnat src-address-list=CLIENTS_7

add action=masquerade chain=srcnat src-address-list=CLIENTS_8

add action=masquerade chain=srcnat src-address-list=CLIENTS_9

add action=masquerade chain=srcnat src-address-list=CLIENTS_10

add action=masquerade chain=srcnat src-address-list=CLIENTS_11

add action=masquerade chain=srcnat src-address-list=CLIENTS_5

add action=masquerade chain=srcnat src-address-list=CLIENTS_6

add action=masquerade chain=srcnat src-address-list=CLIENTS_7

add action=masquerade chain=srcnat src-address-list=CLIENTS_8

add action=masquerade chain=srcnat src-address-list=CLIENTS_9 to-addresses=\

0.0.0.0

add action=masquerade chain=srcnat src-address-list=CLIENTS_10

add action=masquerade chain=srcnat src-address-list=CLIENTS_11

add action=masquerade chain=srcnat src-address-list=CLIENTS_5

add action=masquerade chain=srcnat src-address-list=CLIENTS_6

add action=masquerade chain=srcnat src-address-list=CLIENTS_7

add action=masquerade chain=srcnat src-address-list=CLIENTS_8

add action=masquerade chain=srcnat src-address-list=CLIENTS_9

add action=masquerade chain=srcnat src-address-list=CLIENTS_10

add action=masquerade chain=srcnat src-address-list=CLIENTS_11

add action=masquerade chain=srcnat src-address-list=CLIENTS_5

add action=masquerade chain=srcnat src-address-list=CLIENTS_6

add action=masquerade chain=srcnat src-address-list=CLIENTS_7

add action=masquerade chain=srcnat src-address-list=CLIENTS_8

add action=masquerade chain=srcnat src-address-list=CLIENTS_9 to-addresses=\

0.0.0.0

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \

protocol=tcp to-addresses=192.168.7.2 to-ports=80

add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\

192.168.7.3 to-ports=80

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \

protocol=tcp to-addresses=192.168.7.4 to-ports=80

 

> ip addr export

# oct/07/2014 23:29:50 by RouterOS 6.9

 

/ip address

add address=178.161.ххх.30/30 interface=ether1 network=178.161.ххх.28

add address=192.168.7.1/24 interface=ether2 network=192.168.7.0

 

> ip servi export

# oct/07/2014 23:31:45 by RouterOS 6.9

#

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www port=8888

set ssh disabled=yes port=2121

set api disabled=yes

set api-ssl disabled=yes

 

Помогите разобраться в чём может быть проблема?

Edited by Zemelia

Share this post


Link to post
Share on other sites

самое очевидное: оба нанобриджа в режиме WDS?

 

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \

protocol=tcp to-addresses=192.168.7.2 to-ports=80

add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\

193.168.7.3 to-ports=80

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \

protocol=tcp to-addresses=192.168.7.4 to-ports=80

причем тут радио?

Share this post


Link to post
Share on other sites

самое очевидное: оба нанобриджа в режиме WDS?

 

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \

protocol=tcp to-addresses=192.168.7.2 to-ports=80

add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\

193.168.7.3 to-ports=80

add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \

protocol=tcp to-addresses=192.168.7.4 to-ports=80

причем тут радио?

 

Да, конечно и первый и второй nanobridge в режиме WDS, это было сделано в первую очередь.

Share this post


Link to post
Share on other sites

конфиг выглядит корректно, маленькое замечание - правило для второго радио не имеет параметра dstaddress.

Стандартные воркэраунды стандартны - ребут, стирание и новая настройка /ip firewall nat, апдейт прошивки. Это выглядит так, будто конфиг не выполняется полностью самим микротиком, у меня было подобное с firewall, половину правил он выполнял, половину - нет.

Share this post


Link to post
Share on other sites

Сегодня попробую поменять Микротик на аналогичный с ОС 6.9.

 

Еще один момент, может кому пригодится:

при обновлении прошивки на nanobridge m2 c v5.5 до v5.5.8 при подключении с Микротика по ssh к nanobridge появилась ошибка:

 

[root@MikroTik] > system ssh 192.168.7.2

DH_compute_key failed err: error:05066066:lib(5):func(102):reason(102)

 

Вот ссылка на проблему на офиц.форуме Микротика Ссылка на форум

 

Буду снова прошивать nanobridge версией 5.5, на ней доступ был без проблем по ssh.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this