Проброс порта

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Mangle правила срабатывают?
Счетчики растут?
Соединение промаркированное появляется?


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

Срабатывают и растут.
Промаркированное соединение устанавливается

Вроде все проходит и общается. Но судя по логам в р1 в какой то момент все очень странно заворачивается в круг и ответ идет не на тот интерфейс
И правило dstnat на р1 при попытке зайти с внешнего устройства увеличивается всего на 2 пакета



10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:6169, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:6169, len 60
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:6169, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:6169, len 60
10:26:41 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:6169->192.168.1.8:8125, NAT 213.87.xx.xx:6169->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:41 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:6169->192.168.1.8:8125, NAT 213.87.xx.xx:6169->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:41 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:6169->192.168.1.8:8125, len 52
10:26:41 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:6169->192.168.1.8:8125, len 52
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:6169, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:6169), len 40
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:6169, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:6169), len 40
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:1621, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:1621, len 60
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:1621, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:1621, len 60
10:26:41 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:1621->192.168.1.8:8125, NAT 213.87.xx.xx:1621->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:41 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:1621->192.168.1.8:8125, NAT 213.87.xx.xx:1621->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:41 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:1621->192.168.1.8:8125, len 52
10:26:41 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:1621->192.168.1.8:8125, len 52
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:1621, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:1621), len 40
10:26:41 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:1621, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:1621), len 40
10:26:42 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:62536, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:62536, len 60
10:26:42 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (SYN,ACK), 192.168.1.8:8125->213.87.xx.xx:62536, NAT (192.168.1.8:8125->185..xx.xx.xx:8125)->213.87.xx.xx:62536, len 60
10:26:42 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:62536->192.168.1.8:8125, NAT 213.87.xx.xx:62536->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:42 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK), 213.87.xx.xx:62536->192.168.1.8:8125, NAT 213.87.xx.xx:62536->(185..xx.xx.xx:8125->192.168.1.8:8125), len 52
10:26:42 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:62536->192.168.1.8:8125, len 52
10:26:42 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK), 213.87.xx.xx:62536->192.168.1.8:8125, len 52
10:26:42 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:62536, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:62536), len 40
10:26:42 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:62536, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:62536), len 40
10:26:42 firewall,info DROP input: in:Internet out:(unknown 0), src-mac xx, proto TCP (SYN), 45.129.33.6:49057->185..xx.xx.xx:3983, len 40
10:26:43 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK,PSH), 213.87.xx.xx:1621->192.168.1.8:8125, NAT 213.87.xx.xx:1621->(185..xx.xx.xx:8125->192.168.1.8:8125), len 542
10:26:43 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK,PSH), 213.87.xx.xx:1621->192.168.1.8:8125, NAT 213.87.xx.xx:1621->(185..xx.xx.xx:8125->192.168.1.8:8125), len 542
10:26:43 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,PSH), 213.87.xx.xx:1621->192.168.1.8:8125, len 542
10:26:43 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,PSH), 213.87.xx.xx:1621->192.168.1.8:8125, len 542
10:26:43 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:1621, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:1621), len 40
10:26:43 firewall,info FIRE DACH INET forward: in:Dacha out:Internet, proto TCP (RST), 192.168.1.8:8125->213.87.xx.xx:1621, NAT 192.168.1.8:8125->(213.87.xx.xx:1134->213.87.xx.xx:1621), len 40
10:26:45 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, NAT 213.87.xx.xx:6169->(185..xx.xx.xx:8125->192.168.1.8:8125), len 542
10:26:45 firewall,info FIRE DACH forward: in:Internet out:Dacha, src-mac xx, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, NAT 213.87.xx.xx:6169->(185..xx.xx.xx:8125->192.168.1.8:8125), len 542
10:26:45 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, len 542
10:26:45 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, len 542
10:26:45 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, len 542
10:26:45 firewall,info FIRE DACH forward: in:Dacha out:Dacha, proto TCP (ACK,FIN,PSH), 213.87.xx.xx:6169->192.168.1.8:8125, len 542


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

NAT и mangle mark connection и должны расти на единичку при каждом соединении.
Mark routing уже помечает каждый ответный пакет.

Уберите ненужные NAT правила: какие-то из них выключены, какие-то включены, но все равно вроде как не работают - тяжело понять, не участвуют ли они в процессе ненароком.
Правило нужно всего одно - dst-nat на R1 (плюс два дефолтных маскарада на WAN порт, по одному на каждый роутер).
Проверьте, что туннель нигде случайно не добавлен в лист WAN.


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 25 авг 2020, 11:08 Правило нужно всего одно - dst-nat на R1 (плюс два дефолтных маскарада на WAN порт, по одному на каждый роутер).
Проверьте, что туннель нигде случайно не добавлен в лист WAN.
Сделано. Перезагружено. Увы без результата.
Тунель точно не в WAN - тогда бы ничего не работало.
Куда еще смотреть?

R1
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward comment=Dacha dst-address=192.168.0.0/24 in-interface=Dacha src-address=192.168.1.0/24
add action=accept chain=forward comment=Dacha dst-address=10.10.15.1 in-interface=Dacha src-address=192.168.1.0/24
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="IPSEC ESP" protocol=ipsec-esp
add action=accept chain=forward comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment="Established allow" connection-state=established
add action=accept chain=input comment="Related Allow" connection-state=related
add action=accept chain=input comment=web dst-port=80 protocol=tcp
add action=log chain=forward dst-address=192.168.1.8 log=yes log-prefix="FIRE OUT" src-address=!192.168.0.0/24
add action=log chain=forward dst-address=!192.168.0.0/24 log=yes log-prefix="FIRE IN" src-address=192.168.1.8
add action=accept chain=input comment=web dst-port=8080 protocol=tcp
add action=drop chain=forward comment="Guest WiFi only WAN" disabled=yes in-interface="Guest WLAN" log=yes log-prefix="GUEST WIFI" out-interface=!Internet
add action=drop chain=input in-interface-list=!LAN log=yes log-prefix=DROP

#ВОТ ЭТО ПРАВИЛО МОЖЕТ УБРАТЬ?
add action=drop chain=forward comment="defcon OLD drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=Internet log=yes log-prefix=DROPNAT


/ip firewall nat
add action=dst-nat chain=dstnat comment=DACHA dst-address-type=local dst-port=8125 log=yes log-prefix=DACH protocol=tcp to-addresses=192.168.1.8 to-ports=8125
add action=redirect chain=dstnat dst-address=ччч dst-port=80 log-prefix=PROXY protocol=tcp to-ports=8080
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment=DNAT-HASS dst-address=!192.168.0.1 dst-address-type=local dst-port=8123 log-prefix=HPOME protocol=tcp to-addresses=192.168.0.8 to-ports=8123

#Без этого не заходит изнутри сети на www.мойсервер.ру 8123 что выше
add action=masquerade chain=srcnat comment=SNAT-HASS dst-port=8123 out-interface=bridge1 protocol=tcp src-address=192.168.0.0/24
#Это правило для обновления сертификата CERTBOT включаю раз в 3 месяца
add action=dst-nat chain=dstnat comment="CERTBOT HASS" disabled=yes dst-address=!192.168.0.1 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.0.8 to-ports=80

R2
/ip firewall address-list
add address=192.168.77.0/24 list=Guests
add address=192.168.1.90-92 list=Cameras
add address=192.168.0.0/24 list=internal
add address=192.168.1.0/24 list=internal
add address=10.10.15.1 list=internal
add address=10.10.15.2 list=internal
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-mark=!con-r1 connection-state=established,related
add action=accept chain=input comment="Local CAPSMAN" src-address-type=local
add action=accept chain=input comment=PINGS protocol=icmp
add action=log chain=input log=yes log-prefix=DACHA src-address=192.168.1.8
add action=accept chain=forward comment=Kvartira dst-address=192.168.1.0/24 in-interface="Home Connect" src-address=192.168.0.0/24
add action=accept chain=forward disabled=yes dst-address=10.10.15.2 in-interface="Home Connect" src-address=192.168.0.0/24
add action=accept chain=input dst-port=8291 in-interface="Home Connect" protocol=tcp
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=log chain=forward disabled=yes log=yes log-prefix=CAMERA out-interface-list=!LAN src-address-list=Cameras
add action=accept chain=forward disabled=yes dst-address=192.168.1.8 dst-port=8125 log=yes log-prefix="DACHA PORT ACCEPT" protocol=tcp
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=DROP
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN log=yes \
log-prefix=DROP2
add action=drop chain=input in-interface-list=!LAN log-prefix=DROOP3
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=con-r1 in-interface-list=LAN new-routing-mark=via-r1 passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface="Home Connect" new-connection-mark=con-r1 passthrough=no src-address-list=!internal
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none log-prefix=SNAT out-interface-list=WAN


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Это как раз правило, которое разрешает проход пакетов, которые были подвергнуты dstnat’у. Хотя мне больше нравится, когда оно отдельно от drop-правила сделано.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Нашел похоже!

У вас в NAT на первом роутере вот такая строчка:

Код: Выделить всё

add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.0.0/24
Условие на src-address там лишнее, получается, что траффик пришедший из туннеля и уходящий наружу не маскарадится.


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 25 авг 2020, 13:55 Условие на src-address там лишнее, получается, что траффик пришедший из туннеля и уходящий наружу не маскарадится.
Убрал ее. Не помогло
В connections соединение есть. Промаркированное. В логах же упорно овтечает через Internet (насколько позволяют судить мои знания).

19:36:54 firewall,info DROP forward: in:bridge out:Internet, src-mac xx, proto TCP (SYN,ACK), 192.169.1.8:8125->213.xx.xx.xx:13624, len 60


Я правда как буду чайником и мало понимая еще залез в настройки ppp на r2 (там pppoe интернет) и выставил default distance 2. Но это тоже не помогло


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

moskovskiy82 писал(а): 25 авг 2020, 19:43 Убрал ее. Не помогло
Надеюсь не всю строчку, а только условие на src-address?

Что ж за наваждение то.
Слушайте, а на втором роутере bridge точно добавлен в interface-list=LAN?
Или я уже спрашивал?!


Telegram: @thexvo
moskovskiy82
Сообщения: 31
Зарегистрирован: 12 июн 2020, 22:12

xvo писал(а): 25 авг 2020, 20:12
moskovskiy82 писал(а): 25 авг 2020, 19:43 Убрал ее. Не помогло
Надеюсь не всю строчку, а только условие на src-address?
Что ж за наваждение то.
Слушайте, а на втором роутере bridge точно добавлен в interface-list=LAN?
Или я уже спрашивал?!
На первое - да. Конечно только src.
Конечно нет перепроверил несколько раз.
Дъявол точно кроется в деталях. Жаль форум не дает постить скриншоты. Нестандартная конфигурация. Еще в ipsec отмечен nat


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

moskovskiy82 писал(а): 25 авг 2020, 21:05 Конечно нет перепроверил несколько раз.
Конечно нет или все-таки конечно да?

В общем приложите конфиг с R2 целиком.
Только затрите там всякое: внешние адреса и т.д.


Telegram: @thexvo
Ответить