Zemelia Posted October 7, 2014 (edited) · Report post Доброго времени суток всем. Проблема такая: есть сеть: стоит микротик rb-450G подключен к вышестоящему провайдеру по кабелю порт ether1, к порту ether2 подключен NanoBridge m2 дальше радиоканал(мост) и снова NanoBridge m2, мост настроен бриджом. За радиоканалом есть коммутаторы и видеорегистраторы к которым необходимо получить доступ из внешки, указав реальный IP микротика и порт который выделен для конкретного устройства. Проброс портов работает только до 1ого NanoBridge m2, а дальше ни в какую не хочет, ни на 2ую антенну ни на коммутаторы в локальной сети за мостом. Прошивки на антеннах стоят v5.5.8 . На буллетах, наносах + микротик - без проблем работает, а тут ни в какую не хочет.При этом все оборудование за мостом пингуется и можно зайти через ssh. Необходим именно проброс чтобы можно было подключится например смартфоном или планшетом к видеорегистратору из внешки. У микротика Ether2 (192.168.7.1/24), у первой антенны на стороне микротика 192.168.7.2/24 шлюз и днс 192.168.7.1 , и у второй антенны 192.168.7.3/24 шлюз и днс 192.168.7.1 Вот настройки микротика: > ip fir nat export # oct/07/2014 23:20:13 by RouterOS 6.9 # /ip firewall nat add action=masquerade chain=srcnat comment="Added by webbox" disabled=yes \ out-interface=ether1 to-addresses=0.0.0.0 add action=masquerade chain=srcnat dst-address=94.236.ххх.1 src-address-list=\ CLIENTS_4 add action=masquerade chain=srcnat dst-address=46.146.ххх.65 \ src-address-list=CLIENTS_4 add action=dst-nat chain=dstnat dst-address=0.0.0.0/0 dst-port=80 protocol=\ tcp src-address-list=CLIENTS_4 to-addresses=46.146.ххх.65 to-ports=80 add action=dst-nat chain=dstnat dst-address=0.0.0.0/0 dst-port=80 protocol=\ tcp src-address-list=CLIENTS_4 to-addresses=46.146.ххх.65 to-ports=80 add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=8006 \ protocol=tcp to-addresses=192.168.7.6 to-ports=80 add action=masquerade chain=srcnat src-address-list=CLIENTS_10 add action=masquerade chain=srcnat src-address-list=CLIENTS_11 add action=masquerade chain=srcnat src-address-list=CLIENTS_5 add action=masquerade chain=srcnat src-address-list=CLIENTS_6 add action=masquerade chain=srcnat src-address-list=CLIENTS_7 add action=masquerade chain=srcnat src-address-list=CLIENTS_8 add action=masquerade chain=srcnat src-address-list=CLIENTS_9 add action=masquerade chain=srcnat src-address-list=CLIENTS_10 add action=masquerade chain=srcnat src-address-list=CLIENTS_11 add action=masquerade chain=srcnat src-address-list=CLIENTS_5 add action=masquerade chain=srcnat src-address-list=CLIENTS_6 add action=masquerade chain=srcnat src-address-list=CLIENTS_7 add action=masquerade chain=srcnat src-address-list=CLIENTS_8 add action=masquerade chain=srcnat src-address-list=CLIENTS_9 to-addresses=\ 0.0.0.0 add action=masquerade chain=srcnat src-address-list=CLIENTS_10 add action=masquerade chain=srcnat src-address-list=CLIENTS_11 add action=masquerade chain=srcnat src-address-list=CLIENTS_5 add action=masquerade chain=srcnat src-address-list=CLIENTS_6 add action=masquerade chain=srcnat src-address-list=CLIENTS_7 add action=masquerade chain=srcnat src-address-list=CLIENTS_8 add action=masquerade chain=srcnat src-address-list=CLIENTS_9 add action=masquerade chain=srcnat src-address-list=CLIENTS_10 add action=masquerade chain=srcnat src-address-list=CLIENTS_11 add action=masquerade chain=srcnat src-address-list=CLIENTS_5 add action=masquerade chain=srcnat src-address-list=CLIENTS_6 add action=masquerade chain=srcnat src-address-list=CLIENTS_7 add action=masquerade chain=srcnat src-address-list=CLIENTS_8 add action=masquerade chain=srcnat src-address-list=CLIENTS_9 to-addresses=\ 0.0.0.0 add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \ protocol=tcp to-addresses=192.168.7.2 to-ports=80 add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\ 192.168.7.3 to-ports=80 add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \ protocol=tcp to-addresses=192.168.7.4 to-ports=80 > ip addr export # oct/07/2014 23:29:50 by RouterOS 6.9 /ip address add address=178.161.ххх.30/30 interface=ether1 network=178.161.ххх.28 add address=192.168.7.1/24 interface=ether2 network=192.168.7.0 > ip servi export # oct/07/2014 23:31:45 by RouterOS 6.9 # /ip service set telnet disabled=yes set ftp disabled=yes set www port=8888 set ssh disabled=yes port=2121 set api disabled=yes set api-ssl disabled=yes Помогите разобраться в чём может быть проблема? Edited October 10, 2014 by Zemelia Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted October 7, 2014 · Report post самое очевидное: оба нанобриджа в режиме WDS? add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \ protocol=tcp to-addresses=192.168.7.2 to-ports=80 add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\ 193.168.7.3 to-ports=80 add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \ protocol=tcp to-addresses=192.168.7.4 to-ports=80 причем тут радио? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zemelia Posted October 7, 2014 · Report post самое очевидное: оба нанобриджа в режиме WDS? add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7002 \ protocol=tcp to-addresses=192.168.7.2 to-ports=80 add action=dst-nat chain=dstnat dst-port=7003 protocol=tcp to-addresses=\ 193.168.7.3 to-ports=80 add action=dst-nat chain=dstnat dst-address=178.161.ххх.30 dst-port=7004 \ protocol=tcp to-addresses=192.168.7.4 to-ports=80 причем тут радио? Да, конечно и первый и второй nanobridge в режиме WDS, это было сделано в первую очередь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted October 7, 2014 · Report post конфиг выглядит корректно, маленькое замечание - правило для второго радио не имеет параметра dstaddress. Стандартные воркэраунды стандартны - ребут, стирание и новая настройка /ip firewall nat, апдейт прошивки. Это выглядит так, будто конфиг не выполняется полностью самим микротиком, у меня было подобное с firewall, половину правил он выполнял, половину - нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zemelia Posted October 8, 2014 · Report post Сегодня попробую поменять Микротик на аналогичный с ОС 6.9. Еще один момент, может кому пригодится: при обновлении прошивки на nanobridge m2 c v5.5 до v5.5.8 при подключении с Микротика по ssh к nanobridge появилась ошибка: [root@MikroTik] > system ssh 192.168.7.2 DH_compute_key failed err: error:05066066:lib(5):func(102):reason(102) Вот ссылка на проблему на офиц.форуме Микротика Ссылка на форум Буду снова прошивать nanobridge версией 5.5, на ней доступ был без проблем по ssh. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...