Ну конкретнее у меня подключение к провайдеру по протоколу l2tp . Когда я в правиле add action=masquerade chain=srcnat Указываю Out-interface тоесть именно подключение по л2тп
у меня из вне люди начинают пробрасываться нормально. Но когда я подключаюсь по локальной сети он меня не пускает...
Примерная схема...
http://savepic.org/5130213.png
При пробросе портов меняет ип клинета на ип роутера!
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
куда подключаетесь по локальной сети? Ничего не понял
Есть интересная задача и бюджет? http://mikrotik.site
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
CYMPAK, прочтите мой пост, первый в этой теме. Если сделаете как там написано, у Вас всё будет открываться и IP на сервере будут внешние.
vqd, У TS проблема, с которой я сам столкнулся.
У него есть HTTP сервер в сети и рабочие компы. Так вот если прописать одно правило маскарада, то HTTP сервер будет виден из инета, а с локальный машин - нет. дело в том, что DNS возвращает по домену внешний IP и роутер н знает куда этот пакет слать.
Я нашёл тока два решения: или создавать локальные записи в DNS микротика, и прописывать все домены там и указывать внутренние IP, или делать второй маскарад на локальный интерфейс, который работает на все IP кроме IP http сервера.
Ну вообщем как-то так
10.0.0.19 - адрес HTTP
vqd, У TS проблема, с которой я сам столкнулся.
У него есть HTTP сервер в сети и рабочие компы. Так вот если прописать одно правило маскарада, то HTTP сервер будет виден из инета, а с локальный машин - нет. дело в том, что DNS возвращает по домену внешний IP и роутер н знает куда этот пакет слать.
Я нашёл тока два решения: или создавать локальные записи в DNS микротика, и прописывать все домены там и указывать внутренние IP, или делать второй маскарад на локальный интерфейс, который работает на все IP кроме IP http сервера.
Ну вообщем как-то так
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN-PPPoE
add action=masquerade chain=srcnat out-interface=LAN-BRIDGE src-address=10.0.0.2-10.0.0.18
add action=masquerade chain=srcnat out-interface=LAN-BRIDGE src-address=10.0.0.20-10.0.0.254
10.0.0.19 - адрес HTTP
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 25
- Зарегистрирован: 15 мар 2014, 00:42
Чет я не пойму в правило не включать ип моего сервера...
-
- Сообщения: 25
- Зарегистрирован: 15 мар 2014, 00:42
Все поставил как вы написали толку ноль. Не пробрасывает
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
CYMPAK, скажите IP сервера и IP роутера...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 25
- Зарегистрирован: 15 мар 2014, 00:42
ИП РОУТЕРА 192.168.1.1
ИП СЕРВЕРА 192.168.1.111
ИП СЕРВЕРА 192.168.1.111
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
У Вас должно быть 3 правила маскарада. Удалите все имеющиеся правила, добавьте эти и переместите их в самый вверх, в точно таком-же порядке, как написал я. Только названия интерфейсов замените на свои.
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN-PPPoE
add action=masquerade chain=srcnat out-interface=LAN-BRIDGE src-address=192.168.1.2-192.168.1.110
add action=masquerade chain=srcnat out-interface=LAN-BRIDGE src-address=192.168.1.112-192.168.1.254
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 25
- Зарегистрирован: 15 мар 2014, 00:42
А СЛЕДОМ ПРАВИЛА ПРОБРОСА ПОРТОВ ?
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
CYMPAK, разумеется. Но никак не наоборот.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.