Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

не получается masquerade

https://forummikrotik.ru/viewtopic.php?t=11736

Страница 1 из 1

не получается masquerade

Добавлено: 17 июн 2020, 15:28
BestiAA
Добрый день. На роутере один порт отдан под локалку, а остальные в бридже и на них поднят PPPoE к которому подключаются посредством радиомоста. Появилась необходимость, чтоб интернет был на самой антенне, но не получается masquerade по анологии с другими правилами, т.е. судя по всему туда пакеты уходят, но обратно не возвращается ничего. Подозреваю, что что-то намудрил с адресацией. Заранее, спасибо

Код: Выделить всё

/interface bridge
add arp=reply-only fast-forward=no name=bridge_provider
/interface ethernet
set [ find default-name=combo1 ] comment="WAN"
set [ find default-name=ether1 ] comment="Local"
set [ find default-name=ether2 ] comment="Prov1" 
set [ find default-name=ether3 ] comment="Prov2"
set [ find default-name=ether4 ] comment="Prov3"
set [ find default-name=ether5 ] comment="Prov4"
set [ find default-name=ether6 ] comment="Prov5"
set [ find default-name=ether7 ] comment="Prov6"
/interface bridge port
add bridge=bridge_prov interface=ether3
add bridge=bridge_prov interface=ether4
add bridge=bridge_prov interface=ether5
add bridge=bridge_prov interface=ether6
add bridge=bridge_prov interface=ether7
add bridge=bridge_prov interface=ether2
/interface bridge settings
set use-ip-firewall=yes
/interface pppoe-server server
add default-profile=speed_10M/10M disabled=no interface=bridge_prov \
    max-mru=1480 max-mtu=1480 one-session-per-host=yes service-name=\
    pppoe_prov
/ip address
add address=172.16.1.1/24 comment=PPPoE interface=bridge_prov network=172.16.1.0
add address=10.1.0.252/24 comment="Cambium Gateway" interface=bridge_prov network=10.1.0.0
add address=192.168.0.253/24 comment=Local interface=ether1 network=192.168.0.0
/ip firewall filter
add action=drop chain=forward connection-state=new \
    dst-address=192.168.0.0/24 src-address=172.16.1.0/24
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    combo1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=combo1
/ip firewall nat
add action=src-nat chain=srcnat comment="NAT loopback" dst-port=0-65535 \
    protocol=tcp src-address=192.168.0.0/24 to-addresses= to-ports=\
    0-65535
add action=masquerade chain=srcnat comment="WAN for PPPoE users" dst-address=\
    !172.16.1.0/24 log-prefix=PPPoEusers out-interface=combo1 src-address=\
    172.16.1.0/24
    
add action=masquerade chain=srcnat comment="WAN for Cambium" log=yes \
    log-prefix=CAMBIUM out-interface=combo1 src-address=10.1.0.0/24
    
add action=masquerade chain=srcnat comment="WAN for local users" log-prefix=\
    LOCALtraffic src-address=192.168.0.0/24

Re: не получается masquerade

Добавлено: 18 июн 2020, 08:47
gmx
Если отвлечься от правил фаерволла, коих у вас очень много и, если в них что-то неправильно и они могут мешать, тем более, что это правила дефолтной конфигурации, то остался один вопрос: прописан ли основной шлюз на точке???

Маскарадинг именно для точки в самой точке здесь не причем, так как точка имеет IP адрес из подсети вышестоящего роутера, на котором уже должен быть настроен маскарадинг для этой подсети. И этот роутер, скорее всего, и есть шлюз. Это в самом первом приближении и при простейшей схеме сети.

Правила фаерволла, которые вы не понимаете и не добавляли сами лучше удалить.

Re: не получается masquerade

Добавлено: 18 июн 2020, 11:41
BestiAA
Спасибо за ответ.
gmx писал(а): 18 июн 2020, 08:47 прописан ли основной шлюз на точке???
На точке шлюзом прописан адрес 10.1.0.252, т.к. в настройках требуется указать шлюз из той же подсети, что и точка (ip: 10.1.0.182)
gmx писал(а): 18 июн 2020, 08:47 Правила фаерволла, которые вы не понимаете и не добавляли сами лучше удалить.
Спасибо, почищу

Re: не получается masquerade

Добавлено: 22 июн 2020, 14:06
gmx
Шлюз надо прописать не по принципу "абы какой", а именно тот, который выпустит вашу точку в инет. :-): Возможно, еще и DNS надо прописывать...

А еще проще, на точке включите DHCP клиента, а на DHCP сервере, который выдаст ей адрес, зафиксируйте его на тот, какой вам удобно.
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB