Ошибка в правилах Firewall

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
k1b0rg
Сообщения: 0
Зарегистрирован: 05 июл 2017, 19:58

Добрый день, уважаемые форумчане!
Столкнулся с небольшой проблемкой (непониманием)
Имеем два маршрутизатора - Mikrotik (СЕТЬ1, рассматриваемый) и Zyxel (СЕТЬ2)
На Микротике организован L2TP сервер с IPSec, к которому подключается Zyxel, все работает без проблем, маршруты настроены.

Появилась задача, дать доступ к камерам, находящимся в СЕТЬ2 (Zyxel), используя внешний IP СЕТЬ1 (Mikrotik)
Было сделано как описано тут - https://toster.ru/q/416676 (dst-nat + masquerade)
НО, все это работает при выключенных правилах фаервола, как только включаю, запросы до СЕТЬ2 не доходят.

Подскажите, что нужно добавить в правила, чтобы пакеты долетали до СЕТЬ2?

 Текущие правила
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291 in-interface=br1-lan protocol=tcp src-address=192.168.59.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80,51413 in-interface=eth1-wan protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.59.0/24
add action=accept chain=input comment=l2tp in-interface=eth1-wan port=1701,500,4500 protocol=udp
add action=accept chain=input comment=l2tp in-interface=eth1-wan protocol=ipsec-esp
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward in-interface=all-ppp out-interface=br1-lan
add action=accept chain=forward in-interface=br1-lan out-interface=all-ppp
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=eth1-wan src-address=192.168.59.0/24
add action=accept chain=forward connection-state=established,related in-interface=eth1-wan out-interface=br1-lan
add action=drop chain=input log-prefix="[a]"
add action=drop chain=output
add action=drop chain=forward log-prefix=--forvarw
/ip firewall mangle
add action=set-priority chain=forward layer7-protocol=skype new-priority=7 passthrough=yes
add action=mark-connection chain=prerouting connection-state=new dst-port=8080,6683 new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan src-address=192.168.59.0/24
add action=dst-nat chain=dstnat dst-port=51413 in-interface=eth1-wan log=yes log-prefix="[dst-nat]" protocol=tcp to-addresses=192.168.59.145 to-ports=\
8888
add action=redirect chain=dstnat dst-port=8080 protocol=tcp to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.59.145 dst-port=8888 log=yes log-prefix="[mas]" protocol=tcp src-address=!192.168.59.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.188 dst-port=38800 protocol=tcp src-address=!192.168.59.0/24
add action=dst-nat chain=dstnat disabled=yes dst-port=38800 in-interface=eth1-wan log=yes protocol=tcp to-addresses=192.168.1.188 to-ports=3880


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Основной принцип работы фаерволла: не добавляй в него правил - которые не понимаешь.
Если вы сами четко не понимаете для чего вам нужны правила и как они работают - они не нужны.


Ответить