Проброс с кривым NAT

Описание каждой версии, обсуждение особенностей и недостатков
Ответить
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Добрый день друзья. Возникла ситуация - пробросить порт для управления, и никак не могу это сделать.
1) Удаленный офис на ADSL (который в режиме бриджа) - т.е. в глобал смотрит микротик. Микротик рулит сетью 192.168.1.0/24. А с ADSL соединен с помощью DHCP и получает адрес 192.168.0.2/24 (ADSL - 192.168.0.1) Выходит так что на порту WAN микротика висит адрес 192.168.0.2 от модема и еще PPPOE для интернета. Все работает и в локальной сети имеем и интернет и доступ к ADSL
2) Главный офис с белым адресом. Задача чтобы из главного офиса в браузере набирая 85.255.xxx.xxx:59080 - попадать на ADSL-модем на 80 порт.

Разумеется dst-nat (netmap) прописаны, в фаерволе порты разрешены, но так и не получается иметь доступ


пробовали так

chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80
protocol=tcp dst-address=85.255.xxx.xxx dst-port=59080 log=no
log-prefix=""

chain=dstnat action=netmap to-addresses=192.168.0.1 to-ports=80
protocol=tcp src-address=192.168.0.2 dst-port=80 log=no log-prefix=""

chain=srcnat action=src-nat to-addresses=192.168.0.2 src-address=192.168.1.0/24 dst-address=192.168.0.1
log=no log-prefix=""


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Доступ не имеете, потому что ваш модем не имеет шлюза по умолчанию, к нему прилетают пакеты с адресов для которых у него нет маршрута. Либо пишите "дефолтный маршрут", если модем такое позволяет, либо, что проще, просто начните маскарадить все что улетает в сторону модема и тогда вам нужно будет только первое правило из тех, что вы предоставили.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

т.е. сделать правило на маскарадинг подсетки модема?
пробовал, не выходит.
маскарадинг стоит выше правила проброса.
пробовал и сеть маскарадить и порт - все равно не едет
Последний раз редактировалось Skylear 15 окт 2019, 16:07, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Микрот должен маскарадить от себя, т.е. должен подставлять свой 192.168.0.2, что бы модем мог ответить на все обращения.
Проще всего в правиле просто указать аут интерфейс и все, это будет достаточно и микрот дальше сам все сделает.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Skylear писал(а): 15 окт 2019, 15:53 т.е. сделать правило на маскарадинг подсетки модема?
Да просто в вашем третьем правиле уберите условие на src-address.
Чтобы не только в локальном трафике источник заменялся на адрес микротика, а вообще в любом идущем в сторону модема.


Telegram: @thexvo
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

вот так не работает. это полный принт NAT

0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

1 chain=srcnat action=masquerade out-interface=bridge log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=34567 protocol=tcp dst-address=85.255.xxx.xxx dst-port=33777 log=no
log-prefix=""

4 X chain=dstnat action=dst-nat to-addresses=192.168.1.10 protocol=tcp src-address=85.237.yyy.yyy dst-address=85.255.xxx.xxx dst-port=55081
log=no log-prefix=""

5 chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80 protocol=tcp dst-address=85.255.xxx.xxx dst-port=59080 log=no
log-prefix=""

6 X chain=dstnat action=netmap to-addresses=192.168.0.1 to-ports=80 protocol=tcp src-address=192.168.0.2 dst-port=80 log=no log-prefix=""

7 X chain=srcnat action=src-nat to-addresses=192.168.0.2 dst-address=192.168.0.1 log=no log-prefix=""


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Это же то самое правило проброса?

Код: Выделить всё

5 chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80 protocol=tcp dst-address=85.255.xxx.xxx dst-port=59080 log=no log-prefix=""
Если да, то у вас косяк to-addresses=192.168.0.2 должно быть to-addresses=192.168.0.1
З.Ы. Что бы облегчить понимание того, что вы делаете уберите все лишнее на время, или хотя бы отключите. На данный момент все что касается доступа к модему должно сводиться всего к двум правилам, правило проброса и правило маскарада в сеть модема, никаких других правил не нужно. Так же рекомендую пользоваться командой export для пока конфига, вместо print который вы нам показываете. И не забывайте, что проверять доступ к модему нужно снаружи, внутри сети он пока работать не будет.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Заработало. Всем спасибо. Маскарадинг рулит, правило получилось с src-address - 85.237.yyy.yyy - белый адрес главного офиса


Ответить