проброс порта на mikrotik через другой mikrotik

[voihort]

Здравствуйте!
Есть локалка в которой живут два микротика. Один из них шлюз, а второй используется как wi-fi точка.
Как на первом пробросить порт для winbox из внешки на второй?

[podarok66]

Ну уж про проброс портов информации в сети море. У вас-то в чем затык с таким простым действом?

[voihort]

вот такие настройки на шлюзе:
https://drive.google.com/file/d/0B_R6tOQ-oDUdcV9UUGFSRDhCYXc/view?usp=sharing
https://drive.google.com/file/d/0B_R6tOQ-oDUdal81eUtiei1ObVU/view?usp=sharing

Пакеты приходят. Перенаправляются в локалку, а на второй микротик не приходят.

[KARaS'b]

Читайте шапку, ваши скрины не дают четкого понимания о конфигурации, тем более что нужны данные по обеим железкам.

[voihort]

 это шлюз

# sep/18/2016 22:54:27 by RouterOS 6.36.3
# software id = D7TV-LN5Y
#
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] name=eth1-wan
set [ find default-name=ether5 ] name=eth5-lan
set [ find default-name=ether2 ] master-port=eth5-lan name=eth2
set [ find default-name=ether3 ] master-port=eth5-lan name=eth3-nasklad
set [ find default-name=ether4 ] master-port=eth5-lan name=eth4-buh
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=wpa2-prot supplicant-identity="" wpa-pre-shared-key=\
*** wpa2-pre-shared-key=***
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2437 mode=ap-bridge security-profile=wpa2-prot ssid=NaturePro wireless-protocol=802.11 wps-mode=\
disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/ip pool
add name=dhcp-2 ranges=192.168.1.200-192.168.1.224
/ip dhcp-server
add address-pool=dhcp-2 disabled=no interface=br1-lan lease-time=8h name=dhcp-pc
/interface bridge port
add bridge=br1-lan interface=eth5-lan
add bridge=br1-lan interface=wlan1
/ip address
add address=10.10.10.15/30 interface=eth1-wan network=10.10.10.14
add address=192.168.1.1/24 interface=br1-lan network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input in-interface=eth1-wan
add action=accept chain=output out-interface=eth1-wan
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment=WAN out-interface=eth1-wan
add action=netmap chain=dstnat comment=RDP_1C dst-port=3389 in-interface=eth1-wan protocol=tcp src-address-list="" to-addresses=192.168.1.254 to-ports=3389
add action=netmap chain=dstnat comment="forward Winbox" dst-port=8292 in-interface=eth1-wan protocol=tcp to-addresses=192.168.1.252 to-ports=8291
add action=dst-nat chain=dstnat comment=RDP_1C disabled=yes dst-address=0.0.0.0 dst-port=8292 in-interface=eth1-wan log=yes protocol=tcp to-addresses=192.168.1.252 \
to-ports=8292
/ip route
add check-gateway=ping comment=WAN distance=1 gateway=8.8.8.8
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Bishkek
/system leds
set 5 interface=wlan1
/system ntp client
set enabled=yes primary-ntp=216.229.0.179 secondary-ntp=40.118.103.7
/system routerboard settings
set init-delay=0s protected-routerboot=disabled

 это второй, на который нужен доступ

# sep/20/2016 17:10:43 by RouterOS 6.36.3
# software id = M0DL-CKPG
#
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=wpa2-prot supplicant-identity="" \
wpa-pre-shared-key=*** wpa2-pre-shared-key=***
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
security-profile=wpa2-prot ssid=NaturePro-BO wireless-protocol=802.11
/interface wireless nstreme
set wlan1 enable-polling=no
/interface bridge port
add bridge=br1-lan interface=ether1
add bridge=br1-lan interface=wlan1
/ip address
add address=192.168.1.252/24 interface=br1-lan network=192.168.1.0
/ip firewall filter
add action=accept chain=input in-interface=br1-lan
add action=accept chain=output out-interface=br1-lan
add action=accept chain=forward disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Bishkek
/system clock manual
set time-zone=+06:00
/system leds
set 5 interface=wlan1
/system routerboard settings
set init-delay=0s protected-routerboot=disabled

[voihort]

Ну уж про проброс портов информации в сети море. У вас-то в чем затык с таким простым действом?

надо пробросить порт для winbox (8292) со шлюза (железка - RB951Ui-2HnD) на acess-point (железка - RB951Ui-2HnD).
проблема в том, что шлюз перенаправляет пакеты приходящие на 8292-порт в локалку и... до второго микротика они не доходят. между ними физически находится только hub/switch TP-Link на 8 портов (TL-SF1008D).

настройки обоих микротиков в посте выше.

[KARaS'b]

как минимум на точке нет дефолтного маршрута, соответственно ваша точка тупо не знает куда ей отвечать, когда к ней обращается кто-то не из ее сети.

[voihort]

как минимум на точке нет дефолтного маршрута, соответственно ваша точка тупо не знает куда ей отвечать, когда к ней обращается кто-то не из ее сети.

Это где? в ip/routes? на конечном микротике?

можете привести пример, того, что там должно быть?

[KARaS'b]

Да и да. В вашем случае что-то вроде add distance=1 gateway=192.168.1.1
Ну или через винбокс открыть ip routes, нажать плюсик и только в поле gateway дописать внутренний адрес вашего шлюза.

[voihort]

Да и да. В вашем случае что-то вроде add distance=1 gateway=192.168.1.1
Ну или через винбокс открыть ip routes, нажать плюсик и только в поле gateway дописать внутренний адрес вашего шлюза.

Заработало!
Премного благодарен!
Пойду покурю... мануалы.