не получается masquerade

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Добрый день. На роутере один порт отдан под локалку, а остальные в бридже и на них поднят PPPoE к которому подключаются посредством радиомоста. Появилась необходимость, чтоб интернет был на самой антенне, но не получается masquerade по анологии с другими правилами, т.е. судя по всему туда пакеты уходят, но обратно не возвращается ничего. Подозреваю, что что-то намудрил с адресацией. Заранее, спасибо

Код: Выделить всё

/interface bridge
add arp=reply-only fast-forward=no name=bridge_provider
/interface ethernet
set [ find default-name=combo1 ] comment="WAN"
set [ find default-name=ether1 ] comment="Local"
set [ find default-name=ether2 ] comment="Prov1" 
set [ find default-name=ether3 ] comment="Prov2"
set [ find default-name=ether4 ] comment="Prov3"
set [ find default-name=ether5 ] comment="Prov4"
set [ find default-name=ether6 ] comment="Prov5"
set [ find default-name=ether7 ] comment="Prov6"
/interface bridge port
add bridge=bridge_prov interface=ether3
add bridge=bridge_prov interface=ether4
add bridge=bridge_prov interface=ether5
add bridge=bridge_prov interface=ether6
add bridge=bridge_prov interface=ether7
add bridge=bridge_prov interface=ether2
/interface bridge settings
set use-ip-firewall=yes
/interface pppoe-server server
add default-profile=speed_10M/10M disabled=no interface=bridge_prov \
    max-mru=1480 max-mtu=1480 one-session-per-host=yes service-name=\
    pppoe_prov
/ip address
add address=172.16.1.1/24 comment=PPPoE interface=bridge_prov network=172.16.1.0
add address=10.1.0.252/24 comment="Cambium Gateway" interface=bridge_prov network=10.1.0.0
add address=192.168.0.253/24 comment=Local interface=ether1 network=192.168.0.0
/ip firewall filter
add action=drop chain=forward connection-state=new \
    dst-address=192.168.0.0/24 src-address=172.16.1.0/24
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    combo1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=combo1
/ip firewall nat
add action=src-nat chain=srcnat comment="NAT loopback" dst-port=0-65535 \
    protocol=tcp src-address=192.168.0.0/24 to-addresses= to-ports=\
    0-65535
add action=masquerade chain=srcnat comment="WAN for PPPoE users" dst-address=\
    !172.16.1.0/24 log-prefix=PPPoEusers out-interface=combo1 src-address=\
    172.16.1.0/24
    
add action=masquerade chain=srcnat comment="WAN for Cambium" log=yes \
    log-prefix=CAMBIUM out-interface=combo1 src-address=10.1.0.0/24
    
add action=masquerade chain=srcnat comment="WAN for local users" log-prefix=\
    LOCALtraffic src-address=192.168.0.0/24


Вернуться к началу
gmx
Модератор
Сообщения: 3305
Зарегистрирован: 01 окт 2012, 14:48

Если отвлечься от правил фаерволла, коих у вас очень много и, если в них что-то неправильно и они могут мешать, тем более, что это правила дефолтной конфигурации, то остался один вопрос: прописан ли основной шлюз на точке???

Маскарадинг именно для точки в самой точке здесь не причем, так как точка имеет IP адрес из подсети вышестоящего роутера, на котором уже должен быть настроен маскарадинг для этой подсети. И этот роутер, скорее всего, и есть шлюз. Это в самом первом приближении и при простейшей схеме сети.

Правила фаерволла, которые вы не понимаете и не добавляли сами лучше удалить.


Вернуться к началу
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Спасибо за ответ.
gmx писал(а): 18 июн 2020, 08:47 прописан ли основной шлюз на точке???
На точке шлюзом прописан адрес 10.1.0.252, т.к. в настройках требуется указать шлюз из той же подсети, что и точка (ip: 10.1.0.182)
gmx писал(а): 18 июн 2020, 08:47 Правила фаерволла, которые вы не понимаете и не добавляли сами лучше удалить.
Спасибо, почищу


Вернуться к началу
gmx
Модератор
Сообщения: 3305
Зарегистрирован: 01 окт 2012, 14:48

Шлюз надо прописать не по принципу "абы какой", а именно тот, который выпустит вашу точку в инет. :-): Возможно, еще и DNS надо прописывать...

А еще проще, на точке включите DHCP клиента, а на DHCP сервере, который выдаст ей адрес, зафиксируйте его на тот, какой вам удобно.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»