Как замапить порты на микротике с двумя провайдерами

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd
А пример проброса 1 порта можно ?
После того как добавил запись в route ничего не изменилось, текущая запись в NAT пробрасывает порт только для компов подключенных к первому провайдеру.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

конфиг покажите


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd


Вот весь конфиг без удалений

Код: Выделить всё

  export
# feb/20/2016 14:30:24 by RouterOS 6.32.2
# software id = 7FSZ-JFYB
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] mac-address=00:1C:F0:FF:EE:95 name=ISP1
set [ find default-name=ether2 ] name=ISP2
set [ find default-name=ether4 ] name=LAN
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-Ce disabled=no distance=indoors hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=disabled \
    tx-power=18 tx-power-mode=all-rates-fixed wds-default-bridge=bridge1 wds-mode=dynamic wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
    pass wpa2-pre-shared-key=pass
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=2h name=dhcp1
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (ISP2) is not slave
add action=drop chain=output out-interface=ISP2 packet-type=multicast
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output disabled=yes limit=1,5 out-interface=LAN packet-mark="" packet-type=multicast
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=LAN
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=2.2.1.10/24 interface=ISP2 network=2.2.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ISP1
add add-default-route=no disabled=no interface=ISP2
/ip dhcp-server lease
add address=192.168.0.67 always-broadcast=yes client-id=1:4c:bb:58:23:3:5b mac-address=4C:BB:58:23:03:5B
add address=192.168.0.35 client-id=1:38:2d:d1:35:9a:2c mac-address=38:2D:D1:35:9A:2C server=dhcp1
add address=192.168.0.72 client-id=1:30:85:a9:3b:49:41 mac-address=30:85:A9:3B:49:41 server=dhcp1
add address=192.168.0.46 always-broadcast=yes client-id=1:b0:10:41:ec:8e:91 mac-address=B0:10:41:EC:8E:91 server=dhcp1
add address=192.168.0.53 always-broadcast=yes client-id=1:8c:dc:d4:7e:d5:bb mac-address=8C:DC:D4:7E:D5:BB server=dhcp1
add address=192.168.0.95 client-id=1:0:c:29:56:e0:c0 mac-address=00:0C:29:56:E0:C0 server=dhcp1
add address=192.168.0.47 client-id=1:0:d9:d1:7a:ba:e mac-address=00:D9:D1:7A:BA:0E server=dhcp1
add address=192.168.0.118 always-broadcast=yes client-id=1:0:c:29:83:d:19 mac-address=00:0C:29:83:0D:19 server=dhcp1
add address=192.168.0.90 client-id=1:60:a4:4c:d0:3a:54 mac-address=60:A4:4C:D0:3A:54 server=dhcp1
add address=192.168.0.106 client-id=1:0:1b:24:73:1c:a8 mac-address=00:1B:24:73:1C:A8 server=dhcp1
add address=192.168.0.107 client-id=1:a8:f9:4b:21:c2:8b mac-address=A8:F9:4B:21:C2:8B server=dhcp1
add address=192.168.0.104 client-id=1:0:1e:8c:7d:90:8 mac-address=00:1E:8C:7D:90:08 server=dhcp1
add address=192.168.0.115 client-id=1:0:c:29:ec:41:c1 mac-address=00:0C:29:EC:41:C1 server=dhcp1
add address=192.168.0.117 mac-address=00:0C:29:8D:4E:D5 server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=LAN
/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=established
add chain=input in-interface=!ISP1 src-address=192.168.0.0/24
add chain=input in-interface=!ISP2 src-address=192.168.0.0/24
add chain=forward dst-address=1.1.1.65 dst-port=97 log-prefix=DDDD protocol=tcp
add chain=input dst-address=1.1.1.65 dst-port=97 log-prefix=SSSS protocol=tcp
add chain=input dst-address=192.168.0.117 dst-port=97 log-prefix=AAAAA protocol=tcp
add action=drop chain=input dst-address=1.1.1.65 dst-port=53 protocol=udp
add action=drop chain=input dst-address=1.1.1.65 dst-port=53 protocol=tcp
add action=drop chain=input dst-address=2.2.2.2 dst-port=53 protocol=tcp
add action=drop chain=input dst-address=2.2.2.2 dst-port=53 protocol=udp
add chain=input protocol=igmp
add chain=input protocol=udp
add action=drop chain=input comment="drop everything else"
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=ISP2_rout src-address=192.168.0.90
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for new-routing-mark=ISP2_rout src-address-list=LAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.65 dst-port=97 log-prefix=ZZZZZ protocol=tcp to-addresses=192.168.0.117 to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.0.117 dst-port=80 log-prefix=pppp out-interface=bridge1 protocol=tcp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ISP1 to-addresses=1.1.1.65
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.65
add action=dst-nat chain=dstnat disabled=yes dst-address=1.1.1.65 dst-port=88 log=yes log-prefix=QQQQQ protocol=tcp to-addresses=192.168.0.103 to-p
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.0.103 dst-port=443 log=yes log-prefix=xxx out-interface=bridge1 protocol=tcp src-add
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip route
add distance=1 gateway=2.2.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ISP1 upstream=yes
add interface=bridge1
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Novosibirsk
/system leds
set 0 interface=wlan1
/system routerboard settings
set cpu-frequency=750MHz
[admin@MikroTik] > export
# feb/20/2016 15:14:36 by RouterOS 6.32.2
# software id = 7FSZ-JFYB
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] mac-address=00:1C:F0:FF:EE:95 name=ISP1
set [ find default-name=ether2 ] name=ISP2
set [ find default-name=ether4 ] name=LAN
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-Ce disabled=no distance=indoors hw-protection-mode=rts-cts mode=ap-bridge \
    multicast-helper=disabled tx-power=18 tx-power-mode=all-rates-fixed wds-default-bridge=bridge1 wds-mode=dynamic wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=\
    tkip,aes-ccm wpa-pre-shared-key=pass wpa2-pre-shared-key=pass
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=2h name=dhcp1
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (ISP2) is not slave
add action=drop chain=output out-interface=ISP2 packet-type=multicast
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output disabled=yes limit=1,5 out-interface=LAN packet-mark="" packet-type=multicast
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=LAN
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=2.2.1.10/24 interface=ISP2 network=2.2.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ISP1
add add-default-route=no disabled=no interface=ISP2
/ip dhcp-server lease
add address=192.168.0.67 always-broadcast=yes client-id=1:4c:bb:58:23:3:5b mac-address=4C:BB:58:23:03:5B
add address=192.168.0.35 client-id=1:38:2d:d1:35:9a:2c mac-address=38:2D:D1:35:9A:2C server=dhcp1
add address=192.168.0.72 client-id=1:30:85:a9:3b:49:41 mac-address=30:85:A9:3B:49:41 server=dhcp1
add address=192.168.0.46 always-broadcast=yes client-id=1:b0:10:41:ec:8e:91 mac-address=B0:10:41:EC:8E:91 server=dhcp1
add address=192.168.0.53 always-broadcast=yes client-id=1:8c:dc:d4:7e:d5:bb mac-address=8C:DC:D4:7E:D5:BB server=dhcp1
add address=192.168.0.95 client-id=1:0:c:29:56:e0:c0 mac-address=00:0C:29:56:E0:C0 server=dhcp1
add address=192.168.0.47 client-id=1:0:d9:d1:7a:ba:e mac-address=00:D9:D1:7A:BA:0E server=dhcp1
add address=192.168.0.118 always-broadcast=yes client-id=1:0:c:29:83:d:19 mac-address=00:0C:29:83:0D:19 server=dhcp1
add address=192.168.0.90 client-id=1:60:a4:4c:d0:3a:54 mac-address=60:A4:4C:D0:3A:54 server=dhcp1
add address=192.168.0.106 client-id=1:0:1b:24:73:1c:a8 mac-address=00:1B:24:73:1C:A8 server=dhcp1
add address=192.168.0.107 client-id=1:a8:f9:4b:21:c2:8b mac-address=A8:F9:4B:21:C2:8B server=dhcp1
add address=192.168.0.104 client-id=1:0:1e:8c:7d:90:8 mac-address=00:1E:8C:7D:90:08 server=dhcp1
add address=192.168.0.115 client-id=1:0:c:29:ec:41:c1 mac-address=00:0C:29:EC:41:C1 server=dhcp1
add address=192.168.0.117 mac-address=00:0C:29:8D:4E:D5 server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=LAN
/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=established
add chain=input in-interface=!ISP1 src-address=192.168.0.0/24
add chain=input in-interface=!ISP2 src-address=192.168.0.0/24
add chain=forward dst-address=1.1.1.65 dst-port=97 log-prefix=DDDD protocol=tcp
add chain=input dst-address=1.1.1.65 dst-port=97 log-prefix=SSSS protocol=tcp
add chain=input dst-address=192.168.0.117 dst-port=97 log-prefix=AAAAA protocol=tcp
add action=drop chain=input dst-address=1.1.1.65 dst-port=53 protocol=udp
add action=drop chain=input dst-address=1.1.1.65 dst-port=53 protocol=tcp
add action=drop chain=input dst-address=2.2.2.2 dst-port=53 protocol=tcp
add action=drop chain=input dst-address=2.2.2.2 dst-port=53 protocol=udp
add chain=input protocol=igmp
add chain=input protocol=udp
add action=drop chain=input comment="drop everything else"
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=ISP2_rout src-address=192.168.0.90
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for new-routing-mark=ISP2_rout src-address-list=LAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.65 dst-port=97 log-prefix=ZZZZZ protocol=tcp to-addresses=192.168.0.117 to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.0.117 dst-port=80 log-prefix=pppp out-interface=bridge1 protocol=tcp src-address=\
    192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ISP1 to-addresses=1.1.1.65
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.65
add action=dst-nat chain=dstnat dst-address=1.1.1.65 dst-port=88 log=yes log-prefix=QQQQQ protocol=tcp to-addresses=192.168.0.103 to-ports=443
add action=masquerade chain=srcnat dst-address=192.168.0.103 dst-port=443 log=yes log-prefix=xxx out-interface=bridge1 protocol=tcp src-address=\
    192.168.0.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip route
add distance=1 gateway=1.1.1.1 routing-mark=ISP1_rout
add distance=1 gateway=2.2.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ISP1 upstream=yes
add interface=bridge1
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Novosibirsk
/system leds
set 0 interface=wlan1
/system routerboard settings
set cpu-frequency=750MHz


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

:ne_ne_ne:

это как так?

add action=masquerade chain=srcnat out-interface=ISP1 to-addresses=1.1.1.65
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.65


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

Да это я просто эксперементировал
сейчас можно убрать routing-mark=ISP2_rout для
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.65

и все так же работает, а to-addresses=1.1.1.65 вообще нет в графическом интерфейсе видимо какой то глюк

распечатал отдельно нат

Код: Выделить всё

[admin@MikroTik] > ip firewall nat  print       
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=dstnat action=dst-nat to-addresses=192.168.0.117 to-ports=80 protocol=tcp dst-address=1.1.1.1 dst-port=97 log=no log-prefix="ZZZZZ"

 1    chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24 dst-address=192.168.0.117 out-interface=bridge1 dst-port=80 log=no
      log-prefix="pppp"

 2    chain=srcnat action=masquerade to-addresses=1.1.1.1 out-interface=ISP1 log=no log-prefix=""

 3    chain=srcnat action=masquerade to-addresses=1.1.1.1 out-interface=ISP2 log=no log-prefix=""

 4    chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp dst-address=1.1.1.1 dst-port=88 log=yes log-prefix="QQQQQ"

 5    chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24 dst-address=192.168.0.103 out-interface=bridge1 dst-port=443 log=yes
      log-prefix="xxx"


winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

Похоже я просто до masquerade пробовал пробрасывать указывая netmap и адрес назначения не удалился, и он появляется когда делаю команду экспорт, но как понимаю ни на что не влияет, в графическом интерфейсе никакого адреса нет


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Извиняюсь но это уже превратилось не в "помогите мне", а в "сделайте за меня"

Информации в вашей тебе больше чем достаточно для реализации вашей задачи. Дерзайте

PS: Метод тыка на микротике не прокатывает...


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

vqd
Ну так покажите пример проброса порта для второго провайдера, я все конфиги сбросил, сложно написать одну или две строчки ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp dst-address=1.1.1.1
chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp dst-address=2.2.2.2

chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp in-interface=wan1
chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp in-interface=wan2

chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp in-interface=!bridge

столько вариантов хватит?


Есть интересная задача и бюджет? http://mikrotik.site
winser
Сообщения: 7
Зарегистрирован: 17 май 2014, 23:22

как и раньше работает только

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.0.103 to-ports=443 protocol=tcp dst-address=1.1.1.1

то есть порт мапиться только для первого провайдера

На втором провайдере не белый ип это может быть проблемой ?
Сервак для которого маплю порт подключен к первому провайдеру и там белый ип есть.


Ответить