NAT + InterfaceList

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всем привет.

Наконец мне восстановили основной инет, стал возвращать все настройки маршрутизатора и столкнулся с проблемой.
Ситуация такая: Теперь у меня два провайдера (оптика + 4G). Я создал InterfaceList с двумя этими WAN портами и прописал правила маршрутизации:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WANs
add action=dst-nat chain=dstnat comment="To HTTP Server" dst-port=80 in-interface-list=WANs protocol=tcp to-addresses=10.0.0.10 to-ports=80
add action=dst-nat chain=dstnat comment="To HTTPS Server" dst-port=443 in-interface-list=WANs protocol=tcp to-addresses=10.0.0.10 to-ports=443

В итоге теперь из вне всё работает хорошо, а изнутри сети я попадаю на веб-интерфейс микротика.
Сети у серверов (10.0.0.0/24) и компом (10.0.1.0/24) разные, поэтому использовать Hairpin NAT смысла нету.

В чём собственно дело?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Вопрос закрыт. vqd помог разобраться в ситуации.

Проблема была в том, что когда запрос идёт из сети, то маршрутизатор ждёт входящий трафик с внешнего интерфейса, а он приходит в внутреннего. Соответственно правило NAT не срабатывает.
Решение: Создать адрес-лист со списком внешних IP, и в настройках NAT правила указывать именно его в качестве адреса назначения.
Пример:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WANs
add action=dst-nat chain=dstnat comment="To HTTP Server" dst-address-list=WANs dst-port=80 protocol=tcp to-addresses=10.0.0.10 to-ports=80
add action=dst-nat chain=dstnat comment="To HTTPS Server" dst-address-list=WANs dst-port=443 protocol=tcp to-addresses=10.0.0.10 to-ports=443


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить