Nat и Чайник

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
KoTzzz
Сообщения: 3
Зарегистрирован: 09 май 2019, 09:05

Доброго времени суток.
Цель: Обратиться Telnet-ом по порту 630 с локальной машины (192.168.0.2) к MikroTik (192.168.0.1) и попасть на машину в сети интернет (95.45.71.82 630)
Локальный шлюз (192.168.0.10)

Попытка правил из мануалов:

1 Правило/ (General) Chain - dstnat
Protocol - tcp
Dst. Port - 630
In. Interface - ether2-master
(Action) Action - netmap
To Adresses - 95.45.71.82
To Ports - 630

2 Правило/ (General) Chain - dstnat
Protocol - tcp
Dst. Port - 630
In. Interface - ether2-master
(Action) Action - dst-nat
To Adresses - 95.45.71.82
To Ports - 630

3 Правило/ (General) Chain - srcnat
Src. Address - 95.45.71.82
Dst. Address - 192.168.0.1
Protocol - tcp
Dst. Port - 630
(Action) Action - masquerade
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

А почему так всё сложно?

Почему нельзя с локальной машины (192.168.0.2) сразу обратиться на 95.45.71.82 630 ?
Для этого даже правил DST-NAT не надо. Обычное правило Максарайдинга или SRC-NAT сработает.
И почему комп должен сначала передать запрос рядом (по адресу рядом) другому роутеру?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
KoTzzz
Сообщения: 3
Зарегистрирован: 09 май 2019, 09:05

Есть Энное кол-во машин (предположим с 0.2 по 0.30 локальные, а с 0.31 по 0.60 в vpn) vpn на точках поднимают тплинки и зюксели. Для локальных можно открыть доступ к 95.45.71.82. Для vpn прописываем правило на 95.45.71.82, остальной интернет у них закрыт. Но трудность в том, если адрес 95.45.71.82 меняем на другой, тогда на тплинках руками придется прописывать правило. На 20 компов вроде как не сложно, но если таких машин 200, уже трудности. Поэтому все машины обращаются на 192.168.0.1 (МикроТик), а на нем уже меняем правило для переброса. Как часто будет меняться 95.45.71.82, нет информации.
На данный момент есть локальная машина, на которой крутится программа по перебросу. Так как время от времени бывают с ней сбои, хочется попробовать заменить её МикроТик-ом.


Аватара пользователя
KoTzzz
Сообщения: 3
Зарегистрирован: 09 май 2019, 09:05

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=630 protocol=tcp to-addresses=95.45.71.82
add action=masquerade chain=srcnat dst-port=630 protocol=tcp

Тема закрыта. Всем спасибо


Ответить