Недоступность внешних сервисов из локальной сети

Обсуждение оборудования и его настройки
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

Здравствуйте.
RB750GL
Есть настройка NAT:
1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=123 protocol=udp dst-address=213.168.***.*** dst-port=123


Внешние пользователи без проблем подключаются.
Но локальные пользователи при подключение на внешний IP не подключаются.
Уже какие только правила не побывал, может какой loopback надо сделать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

посмотрите файрволл, скорее всего либо что-то не настроили, либо чего-то не хватает

в помощь утилита torch

и ip firewall connections print


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

вот я и не могу понять что не так, вроде все правила по умолчанию. отключал их разрешал все один результат.
и я искав решение понял что не один такой но решения так и нет.

Понятно лишь одно
что от локального пользователя 192.168.1.11 приходит запрос на внешний IP 213.168.22.123 он передаётся локальному серверу 192.168.1.3 а ответ передаётся на 192.168.1.11 хотя должен на 213.168.22.123.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

посмотрите торчем что и откуда лезет


я подобное делал не раз - работало все четко

правила файерволла такие же

вопорс, у Вас НАТ на прероутинге или на инпуте?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

немного не понял что я должен увидеть в торче.

вопорс, у Вас НАТ на прероутинге или на инпуте?

прошу прощение но это где смотреть, в нате такого не нашел.


EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

Запрос на ETH1 локальный интерфейс из локальной сети:
Untitled 1.jpg
(6.79 КБ) 48 скачиваний

Ответ на PPPoE соединение:
Untitled 2.jpg
(6.63 КБ) 48 скачиваний


EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

Untitled 4.jpg
(249.69 КБ) 48 скачиваний

Untitled 5.jpg
(154.32 КБ) 48 скачиваний


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

сделайте
ip firewall nat print


меня в основном интересует
dst adress = ??? action = mascarade


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

это пока все правила
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=Megafon

1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=udp
in-interface=Megafon dst-port=123


попробовал так, ни чего не изменилось
1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=udp
dst-address=213.168.***.*** dst-port=123


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

надо завести адресс лист local_net

в него ввести адрес 192.168.3.0/24 - то есть вашу локальную подсеть

и изменить правило маскардинга

chain=srcnat action=masquerade out-interface=Megafon
добавить dst_adress=0.0.0.0/0 dst_adress_list=!local_net

то есть перестать маскарадить локальные адреса

а то похоже сервак сам на себя маскарадится

попробуйте также добавить ваш внешний айпишник в адресс лист local_net


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить