Проблема с пробросом портов

[netjook]

Ситуация такая: есть 2 офиса и микротиками. Оба подключены к одному провайдеру, на обоих статика. И статический ip у них отличается всего на одну цифру. Проблема в том, что невозможно подключиться по рдп из сети одного офиса к серверу в другом. И наоборот. Из любых других сетей любых провайдеров подключение проходит. Кроме того, некоторые порты вполне успешно прокидываются между этими сетями. А другие нет. Провайдер утверждает, что ничего не блочит. В чем могут быть проблемы?
Конфиги прилагаю:
1

 

# mar/05/2019 19:19:03 by RouterOS 6.44
# software id = 7L4Z-CBRK
#
# model = 951G-2HnD
# serial number = 4F4304173945
/interface bridge
add arp=reply-only fast-forward=no name=bridge-free-wifi
add fast-forward=no name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no hw-protection-mode=rts-cts mode=ap-bridge ssid=Vega \
wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=1C:7E:E5:E2:88:3B speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 \
max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-out1 password=i8zas425 \
use-peer-dns=yes user=stkvegakov20
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
jsu87agd6 wpa2-pre-shared-key=jsu87agd6
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed name=Free-wifi supplicant-identity=""
/interface wireless
add disabled=no mac-address=4E:5E:0C:4D:B9:1B master-interface=wlan1 name=\
Free-wifi security-profile=Free-wifi ssid=VegaDent_free wds-cost-range=0 \
wds-default-cost=0
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp_pool1 ranges=192.168.1.155-192.168.1.230
add name=dhcp_pool-free-wifi ranges=10.1.1.100-10.1.1.150
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no \
interface=bridge1 lease-time=3d name=dhcp1
add add-arp=yes address-pool=dhcp_pool-free-wifi authoritative=\
after-2sec-delay disabled=no interface=bridge-free-wifi lease-time=1h \
name=dhcp-free-wifi
/queue simple
add burst-limit=4M/4M burst-threshold=1M/1M burst-time=10s/10s max-limit=\
2M/2M name=queue-free-wifi target=10.1.1.0/24
/queue tree
add max-limit=20M name=in packet-mark="" parent=global queue=default
add max-limit=10M name=def-in packet-mark=def_in parent=in queue=default
add limit-at=2M max-limit=5M name=voip-in packet-mark=voip_in parent=in \
priority=1 queue=default
add max-limit=20M name=out parent=global queue=default
add max-limit=10M name=def-out packet-mark=def_out parent=out queue=default
add limit-at=2M max-limit=5M name=voip-out packet-mark=voip_out parent=out \
priority=1 queue=default
/interface bridge port
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 hw=no interface=ether3
add bridge=bridge1 hw=no interface=ether4
add bridge=bridge1 hw=no interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge-free-wifi interface=Free-wifi
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.1.1.1/24 interface=Free-wifi network=10.1.1.0
/ip dhcp-server lease
add address=192.168.1.116 always-broadcast=yes client-id=1:38:63:bb:3:15:2e \
mac-address=38:63:BB:03:15:2E server=dhcp1
add address=192.168.1.174 client-id=1:40:16:7e:aa:c0:7e mac-address=\
40:16:7E:AA:C0:7E server=dhcp1
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=8.8.8.8,85.95.164.60 gateway=10.1.1.1
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=forward dst-address=10.1.1.0/24 src-address=\
192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
10.1.1.0/24
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=def_out passthrough=yes \
src-address=192.168.1.0/24
add action=mark-packet chain=forward dst-address=192.168.1.0/24 \
new-packet-mark=def_in passthrough=yes
add action=mark-packet chain=forward new-packet-mark=voip_out passthrough=yes \
src-address=192.168.1.20
add action=mark-packet chain=forward dst-address=192.168.1.20 \
new-packet-mark=voip_in passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.1.0/24
add action=dst-nat chain=dstnat comment=videoS dst-port=3333 in-interface=\
pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=80
add action=dst-nat chain=dstnat dst-port=3334 protocol=tcp to-addresses=\
192.168.1.111 to-ports=3334
add action=dst-nat chain=dstnat dst-port=3335 protocol=tcp to-addresses=\
192.168.1.188 to-ports=80
add action=dst-nat chain=dstnat dst-port=5150 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.111 to-ports=5150
add action=dst-nat chain=dstnat dst-port=5160 protocol=tcp to-addresses=\
192.168.1.111 to-ports=5160
add action=dst-nat chain=dstnat comment=RDP dst-port=55115 protocol=tcp \
to-addresses=192.168.1.10 to-ports=55115
add action=dst-nat chain=dstnat disabled=yes dst-port=3389 protocol=tcp \
to-addresses=192.168.1.174 to-ports=3389
add action=netmap chain=dstnat comment=ats dst-port=51558 protocol=udp \
to-addresses=192.168.1.20 to-ports=5060
add action=dst-nat chain=dstnat dst-port=51556 protocol=tcp to-addresses=\
192.168.1.20 to-ports=443
add action=dst-nat chain=dstnat dst-port=51557 protocol=tcp to-addresses=\
192.168.1.20 to-ports=22
add action=netmap chain=dstnat dst-port=10000-20000 protocol=udp \
to-addresses=192.168.1.20 to-ports=10000-20000
/ip route
add distance=1 gateway=pppoe-out1
/ip route rule
add action=unreachable dst-address=10.1.1.0/24 src-address=192.169.1.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=10.1.1.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system upgrade upgrade-package-source
add address=159.148.172.226

2

 

# mar/05/2019 16:21:20 by RouterOS 6.44
# software id = Q63R-QVEX
#
# model = 951G-2HnD
# serial number = 4F4304B685CD
/interface lte
set [ find ] mac-address=0C:5B:8F:27:9A:64 name=lte1
/interface bridge
add fast-forward=no name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no hw-protection-mode=rts-cts mode=ap-bridge ssid=VD \
wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=64:70:02:04:FF:49 speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 \
max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-out1 password=qt6ru7fy \
user=stkvegaplus60let18
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
dkufh434klf wpa2-pre-shared-key=dkufh434klf
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp_pool1 ranges=192.168.10.100-192.168.10.170
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no \
interface=bridge1 lease-time=3d name=dhcp1
/interface bridge port
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 hw=no interface=ether3
add bridge=bridge1 hw=no interface=ether4
add bridge=bridge1 hw=no interface=ether5
add bridge=bridge1 interface=wlan1
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.10.11 always-broadcast=yes client-id=1:38:63:bb:d7:97:b0 \
mac-address=38:63:BB:D7:97:B0 server=dhcp1
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.10.0/24
add action=dst-nat chain=dstnat comment=VideoS dst-port=3333 log=yes \
log-prefix=2312 protocol=tcp to-addresses=192.168.10.15 to-ports=80
add action=dst-nat chain=dstnat dst-port=3334 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.10.15 to-ports=3334
add action=dst-nat chain=dstnat dst-port=5150 protocol=tcp to-addresses=\
192.168.10.15 to-ports=5150
add action=dst-nat chain=dstnat dst-port=5160 protocol=tcp to-addresses=\
192.168.10.15 to-ports=5160
add action=dst-nat chain=dstnat dst-port=55115 log=yes log-prefix=rdp \
protocol=tcp to-addresses=192.168.10.10 to-ports=3389
/ip route
add distance=1 gateway=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-autodetect=no
/system leds
set 0 interface=wlan1

[KARaS'b]

берем ваше правило

Код: Выделить всё

add action=dst-nat chain=dstnat disabled=yes dst-port=3389 protocol=tcp \
to-addresses=192.168.1.174 to-ports=3389

И читаем, так сказать, по слогам:
action=dst-nat - заменить адрес назначения на
chain=dstnat - цепочка трафика в которой нужно заменить какие-то параметры касающиеся назначения этого пакета
dst-port=3389 - исходный порт назначения
protocol=tcp - протокол интересующий нас
to-addresses=192.168.1.174 - собссна сам адрес, на который мы должны заменить исходный адрес назначения
to-ports=3389 - порт на который мы должны заменить исходный порт

И что мы видим теперь, мы берем какие-то пакеты которые соответствую критериям - пакет tcp, порт 3389 и все, т.е. под ваше правило подпадают абсолютно все пакеты по протоколу tcp с портом назначения 3389 которые проходят через ваш микротик, т.е.(2) любое рдп соединение которое проходит через ваш маршрутизатор будет перенаправлено на рдп сервер внутри вашей сети, а поскольку адрес сервера который вы указываете при попытках подключиться, скорее всего внешний, то ваши хосты обращаясь к нему ждут ответа от него, а отвечает на такие обращения рдп сервер внутри сети и со своего серого ip, потому что ваши правила перенаправляют даже исходящий трафик на внутренний рдп, что воспринимается вопрощающим как глупость и он просто не обращает внимания на такие ответы продолжая думать, что ему никто не отвечает. И на втором роутере точно такая же ошибка.
И вот теперь давайте вы проявите немного самостоятельности и попытаетесь понять, как сделать так, что бы исходящий трафик из ваших сетей конкретизировался так, что бы проходя через маршрутизатор изнутри наружу он не подпадал под ваши правила и не перенаправлялся на внутренний рдп сервер. Вариантов минимум 2.

[netjook]

Спасибо за подробное разъяснение! Проблема успешно решена)