Как замапить порты на микротике с двумя провайдерами

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

На MikroTik RB951G-2HnD заведено два провайдера

Вся локалка кроме одного компа работает через первого провайдера, один комп (с ип 192.168.0.90) работает через второго провайдера
Сервер для которого мапю порт 192.168.0.117 работает на первом провайдере, доступ к нему(по внешнему адресу) у всех компов локальной сети которые получают инет от первого провайдера есть, кроме компа 192.168.0.90 в чем и вся проблема


В IP/Route для маршрута от второго провайдера присвоена метка MTS

настройки Нат такие
chain=dstnat action=dst-nat to-addresses=192.168.0.117 to-ports=80
protocol=tcp dst-address=1.1.1.1 dst-port=97

chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24
dst-address=192.168.0.117 out-interface=bridge1 dst-port=80

chain=srcnat action=masquerade routing-mark=MTS

chain=srcnat action=masquerade to-addresses=1.1.1.1
out-interface=ether1

chain=srcnat action=accept to-addresses=2.2.2.2 routing-mark=MTS

Мангл
chain=prerouting action=mark-routing new-routing-mark=MTS passthrough=yes
src-address=192.168.0.90

Как замапить порт для компа 192.168.0.90 чтобы на нем можно было по внешнему адресу(первого провайдера) получить доступ к серваку 192.168.0.117 ??


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:



Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd
Внимательно прочитал, даже переименовал интерфесы и метки чтобы было как в теме по вашей ссылки, но ничего не получилось, инета нет вообще ни от одного провайдера, к мапингу портов даже не приступал

Думаю проблема в том что там нет примеров настройки Firewall/NAT (свои варианты настроек NAT я удалил из конфига думаю они точно не правильные)
попытался приспособить то что у меня было не получилось

вот весь мой конфиг, который попытался переделать под тот что был в теме по вашей ссылке

Код: Выделить всё

 export 
# feb/20/2016 10:21:12 by RouterOS 6.32.2
# software id = 7FSZ-JFYB
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ISP1
set [ find default-name=ether2 ] name=ISP2
set [ find default-name=ether4 ] name=LAN

/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=2h name=dhcp1
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (ISP2) is not slave
add action=drop chain=output out-interface=ISP2 packet-type=multicast
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output disabled=yes limit=1,5 out-interface=LAN \
    packet-mark="" packet-type=multicast
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=LAN
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=10.7.1.10/24 interface=ISP2 network=10.47.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=\
    ISP1
add add-default-route=no disabled=no interface=ISP2

/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=LAN

/ip firewall mangle
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=\
    ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=\
    ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\
    ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=\
    ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=\
    ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for \
    new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=\
    ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for \
    new-routing-mark=ISP2_rout src-address-list=LAN


/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes

/ip route
add distance=1 gateway=1.1.1.1 routing-mark=ISP1_rout
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ISP1 upstream=yes
add interface=bridge1
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Novosibirsk
/system leds
set 0 interface=wlan1
/system routerboard settings
set cpu-frequency=750MHz
[admin@MikroTik] > 


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так правила НАТ добавте


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd
Подскажите какие именно, перепробовал кучу вариантов.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

В смысле кучу?

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1_WAN1
add action=masquerade chain=srcnat out-interface=ether2_WAN2


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd

Инет появился только при таком конфиге в Routes

Код: Выделить всё

/ip route
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1.1


То есть когда не указываю routing-mark для первого провайдера, и не очень понятно как роутер определяет через какого провайдера в первую очередь конектиться может Distance надо указать 1 для первого и 2 для второго прова?

Попытался замапить порты, но результат тот же что и был комп 192.168.0.117 недоступен по внешнему адресу с компа 192.168.0.90 который работает с интерентом от второго провайдера

настройка нат и мангл такие

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=ISP2_rout src-address=192.168.0.90
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for new-routing-mark=ISP2_rout src-address-list=LAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=97 log-prefix=ZZZZZ protocol=tcp to-addresses=192.168.0.117 to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.0.117 dst-port=80 log-prefix=pppp out-interface=bridge1 protocol=tcp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ISP1 to-addresses=1.1.1.1
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.1


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так вы подумайте маленько, конфиг свой посмотрите внимательно. Нарисуйте схему чего куда у вас и главное как ходит

Даю подсказку, в первом конфиге вам добавить 4 строчки, 2 из них я вам сказал....

А дальше можете прикручивать пробросы и т.п.


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd
У меня не хватает знаний чтобы думать, подскажите плз эти две строчки, уже неделю маюсь после того как кабель для второго провайдера провели.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

/ip route
add distance=1 gateway=1.1.1.1 routing-mark=ISP1_rout
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1 distance=1
add distance=1 gateway=10.7.0.1 distance=2


Есть интересная задача и бюджет? http://mikrotik.site
Ответить