dst-nat с участием ip firewal address list

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

То ли лыжи не едут, то ли .. баг, то ли ..

Есть микротик, уже "голый" то есть WAN статикой
выход в инет через маскарадинг ..., dhcp - собственно все
добавлено два правила:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001

первое срабатывает, во второе нет попаданий .. меняю местами , опять работает первое .. :(
многого хочу или баг, или .. чего -то не понимаю.
если в правилах поставить разные dst-port - то все работает.
цель простая - в зависимости от листа уводить на разные внутренние порты одного сервиса.

Может кто сталкивался. ?


vladislav.granovskiy
Сообщения: 25
Зарегистрирован: 25 июл 2018, 21:12

а вы сами сможете зайти в одну дверь, а выйти в двух?
и у микротика правила работают с верху в низ (по порядку).


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

anad писал(а): 09 июн 2019, 19:28
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001
Раз уж Вам необходима проверка на определенный адрес-лист то может правильно будет src-address-list=al1 ?


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

anad писал(а): 09 июн 2019, 19:28 /ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001

цель простая - в зависимости от листа уводить на разные внутренние порты одного сервиса.
где они, "листы"?


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Kato писал(а): 10 июн 2019, 07:48 где они, "листы"?
там именно листы, это когда убивал имя листов и IP отличился. (
попробую еще раз волшебный netinstall и конфиг с нуля, но оно в при перестановке срабатывало первым


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

добрался таки до теста вот конфиг
  конфиг
nterface bridge
/interface list
add name=WAN
add name=LAN
/ip pool
add name=dhcp ranges=192.168.88.20-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge disabled=yes interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=10.10.10.10 list=a1
add address=10.10.20.10 list=a2
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat protocol=tcp src-address-list=a1 \
to-addresses=192.168.88.10 to-ports=80
add action=dst-nat chain=dstnat protocol=tcp src-address-list=a2 \
to-addresses=192.168.88.10to-ports=80
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
в таком конфиге dst-nat от 10.10.10.10 к 192.168.88.10 срабатывает, а вот от 10.10.20.10 к 192.168.88.10 нет, счеичики обращений ко второму листу не шевелятся.
если поменять листы dst-nat местами - то опять работает только первый. ( то есть они меняются)
Если заменить src-address-list на конкретный IP все работает..
Устройство HAP ac2
проверено на 6.43.10 и 6.44.2


Ответить