NAT за NAT'ом.

[aka_ruf]

Доброго времени суток, уважаемые.
В микротиках я новичок. Возник вопрос по пробросу портов в системе NAT за NAT'ом.

В наличии:

1. Головной (к провайдеру) роутер d-link 300nru. Конфиг - pppoe + nat + wi-fi. Сеть 192.168.0.0 адрес 192.168.0.1

2. Организован мост на SXT Lite5 (почти как в посте "Мост на SXT Lite" http://forummikrotik.ru/viewtopic.php?f=15&t=5972#p32518) - в ближнем к d-link'у микротике бридж (ether1 и wlan2) с адресом 192.168.0.248 и режим station bridge на nv2 на wlan2. Отсутствие NAT, маскарад; после прочтения темы добавлен маршрут с шлюзом 192.168.0.1. Конфиг

 

# apr/06/2016 14:37:00 by RouterOS 6.34.2
# software id = WH5W-VN2W
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n disabled=no frequency=5220 \
frequency-mode=superchannel hw-retries=15 mode=station-bridge \
nv2-preshared-key=****** nv2-security=enabled radio-name=Tik \
wds-default-bridge=bridge1 wds-mode=static
/interface wireless nstreme
set wlan2 enable-nstreme=yes
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=****** wpa2-pre-shared-key=******
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/queue type
set 1 pfifo-limit=500
set 2 kind=pfifo pfifo-limit=500
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan2
/ip address
add address=192.168.0.248/24 interface=bridge1 network=192.168.0.0
/ip dns
set allow-remote-requests=yes
/ip route
add distance=1 gateway=192.168.0.1
/ip upnp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan2
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled

.
В дальнем от d-link'а микротике режим bridge на wlan2 и разделение подсетей - 192.168.0.249 на wlan2, 192.168.1.254 на ether1; NAT, маскарад, маршрут с шлюзом 192.168.0.1. Конфиг

 

# apr/06/2016 14:48:00 by RouterOS 6.34.2
# software id = G8UW-V914
#
/interface bridge
add disabled=yes name=bridge1
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n disabled=no frequency=5220 \
frequency-mode=superchannel hw-retries=15 mode=bridge nv2-preshared-key=\
****** nv2-security=enabled radio-name=Tak tx-power=10 tx-power-mode=\
all-rates-fixed wds-mode=static wireless-protocol=nv2
/interface wireless nstreme
set wlan2 disable-csma=yes enable-nstreme=yes framer-policy=dynamic-size
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=****** wpa2-pre-shared-key=******
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity="" \
wpa-pre-shared-key=****** wpa2-pre-shared-key=******
/interface wireless
set [ find default-name=wlan1 ] frequency=auto name=MD security-profile=\
profile1 ssid=MD
/ip pool
add name=dhcp_pool1 ranges=192.168.1.150,192.168.1.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether1 lease-time=3d name=\
dhcp1
/queue type
set 1 pfifo-limit=500
set 2 kind=pfifo pfifo-limit=500
/ip address
add address=192.168.0.249/24 interface=wlan2 network=192.168.0.0
add address=192.168.1.254/24 interface=ether1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.0.1,8.8.8.8 gateway=192.168.1.254 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.1,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=8080 \
in-interface=wlan2 protocol=tcp src-port=8080 to-addresses=192.168.1.250 \
to-ports=8080
add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=8080 \
in-interface=wlan2 protocol=udp src-port=8080 to-addresses=192.168.1.250 \
to-ports=8080
add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=34567 \
in-interface=wlan2 protocol=tcp src-port=34567 to-addresses=192.168.1.250 \
to-ports=34567
add action=dst-nat chain=dstnat dst-a
in-interface=wlan2 protocol=udp src-port=34567 to-addresses=192.168.1.250 \
to-ports=34567
/ip route
add distance=1 gateway=192.168.0.1
/ip upnp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=MD
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled

.

3. Интернет в подсети 192.168.1.0 есть. Когда поднялся вопрос видеонаблюдения, были проброшены порты 34567 и 8080 tcp+udp на d-link'е с интерфейса pppoe на 192.168.0.249. На дальнем от d-link'а микротике также проброшены эти порты (по паре правил на tcp и udp) с интерфейса wlan2 на регистратор в сети 192.168.1.0.

На данный момент снаружи на web-морду регистратора не могу попасть. D-link пробрасывает исправно (проверял изменяя проброс порта 8080 на нём на 80-ый микротика 192.168.0.249 - попадал на веб-морду микротика), прошу подсказать, что я неправильно настроил (ранее пробрасывал порты не далее одной подсети, в маршрутизации почти полный ноль).

P. S. Если бы была возможность, заменил бы головной роутер на микротик и разделил бы подсети по интерфейсам - имхо в данном случае более правильное решение, но увы.

[vqd]

А зачем вы вторую точку в качестве роутера то настроили?

Настраивайте сквозной мост, определяйтесь с пограничным роутером в сети (пусть тот же длинк) и тогда у вас пробросы будут прекрасно работать.
Вы мост воспринимайте как кусок кабеля от одной железке к другой

[aka_ruf]

Вторая точка роутером для разделения подсетей (чтобы обезопасить первую подсеть от пользователей нулевой), так как d-link 300nru в стоке почти ничего не умеет, а перепрошивать на *wrt не вариант. Изначально и планировал прозрачный мост *вздыхает*, пока начальство не издало стона "а безопасность как же?!". Вероятно стоит перефразировать вопрос - возможно ли на имеющемся оборудовании решить задачу проброса портов между подсетями (либо можно ли на имеющемся оборудовании разделить доступ в случае прозрачного моста и одной подсети)? Как уже упоминал в постскриптуме, замена головного роутера на что-то удобоваримое - крайняя мера в данном случае.

[vqd]

Увидеть б схему вашу, вообще у микротика довольно мощный инструмент для того что бы трафик ограничить и это можно сделать даже в режиме бриджа

[aka_ruf]

[vqd]

ну вот на уровне бриджа и порежде соединения из сети в сеть Понимаю что не идеальное решение но все лучше чем куча НАТ

[aka_ruf]

Стесняюсь спросить - резать фильтром на бридже по группам адресов/портам? Например, пакеты с локальных адресов диапазона домашней сети (кроме головного роутера) дропать?

[vqd]

включаете трекинг и ставите галку bridge settings set use-ip-firewall=ye
А дальше как душе угодно, хоть адрес листами, хоть отдельными правилами.

Можите воспользоватся встроенным фильтром в бридж, правда он менее гибкий

[aka_ruf]

Спасибо, покурю ещё мануалы и буду пробовать.

[vqd]

ну и в пробросах у вас ошибка

add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=8080 \
in-interface=wlan2 protocol=tcp src-port=8080 to-addresses=192.168.1.250 \
to-ports=8080

Если хотите что бы корректно отрабатывало то можно так

add action=dst-nat chain=dstnat dst-port=8080 in-interface=wlan2 protocol=tcp to-addresses=192.168.1.250 to-ports=8080