Не работает проброс 80 порта

[Jehn]

Всем привет.
Имеем роутер hap ac2, айпи 10.1.1.1, и сервак 10.1.1.19
Создаю правило как советует каждый мануал в инете

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=80 in-interface="pppoe-out1 (Dom.ru)" protocol=tcp   to-addresses=10.1.1.19 to-ports=80

не работает. При обращении на этот порт или телнету вижу в окне в винбоксе, что правило срабатывает - пакеты идут.
Меняю порт 80 на любой другой - всё работает.
Правила фильтрации пробовал все отключать, сервисный порт для веб-морды роутера менял и выключал, ничего не помогает.
Также пробовал через правило

Код: Выделить всё

add action=accept chain=input  dst-port=80 protocol=tcp

открывать доступ снаружи для веб-морды, тоже не работает. При этом винбокс и icmp прекрасно работают снаружи с подобным правилом.
В остальном стандартный конфиг на роутере. Больше ничего не менял. Помогите, плз!

[xvo]

Если попробовать пробросить какой-нибудь высокий порт на 80 внутри?

[Jehn]

Если попробовать пробросить какой-нибудь высокий порт на 80 внутри?

Внутри локалки вообще не могу пробросить. По разным мануалам пробовал, даже нет пакетов на этих правилах.
Подскажите какой командой прокинуть?
Я именно пытался пробросить чтобы, например, с пк 10.1.1.10 при обращении на белый_ip:любой порт прокидывало все туда же на 10.1.1.19
Но внутри локалки естественно по внутренним айпишникам все работает

[xvo]

При обращении изнутри локалки одного dstnat правила мало, ищите по hairpin nat либо здесь на форуме, либо глобально.

[Jehn]

При обращении изнутри локалки одного dstnat правила мало, ищите по hairpin nat либо здесь на форуме, либо глобально.

Настраивал через мануал вот так:

Код: Выделить всё

add action=src-nat chain=srcnat dst-address=10.1.1.19 dst-port=80 protocol=tcp src-address=10.1.1.0/24 to-addresses=10.1.1.1

Не работает.
Да и какое отношение внутрянка имеет к моей проблеме?

[xvo]

Да и какое отношение внутрянка имеет к моей проблеме?

Ну так это же вы сказали, что изнутри пробуете.
Для доступа снаружи (или любой другой подсети, кроме "родной" для сервера, куда идет проброс) это все не надо, достаточно dstnat правила.

Я вам написал что попробовать - сделать проброс с высокого порта на 80 - вполне может быть, что провайдер блочит именно 80ый порт.

[Jehn]

Да и какое отношение внутрянка имеет к моей проблеме?

Ну так это же вы сказали, что изнутри пробуете.
Для доступа снаружи (или любой другой подсети, кроме "родной" для сервера, куда идет проброс) это все не надо, достаточно dstnat правила.

Я вам написал что попробовать - сделать проброс с высокого порта на 80 - вполне может быть, что провайдер блочит именно 80ый порт.

Сорян. Не уточнил, но думал и так понятно, что я снаружи пытаюсь пробиться.
Меня смущается, что я не могу даже на любой другой порт попасть, например, как уже писал, если вешаю админку роутера на любой порт кроме 80, то снаружи тоже нет доступа, хотя по винбоксу, icmp всё ок. Может провайдер блочить http\https?

[xvo]

Ну так судя по тому, что вы описываете - не просто может, а скорее всего так оно и есть.

[Jehn]

Ну так судя по тому, что вы описываете - не просто может, а скорее всего так оно и есть.

Сомневаюсь, что они могут блокировать именно тип трафика.
Бедь если прокидывать любой другой порт на веб-сервак, то все работает ок. Почему при этом я не могу выставить наружу админку микротика - для меня загадка.

[xvo]

DPI сейчас не редкость.

Единственное, что ещё часто подрубает http/https, но может не влиять (или как бы не влиять) на остальное - неправильно выставленный MTU, но тогда бы у вас в первую очередь изнутри наружу оно не работало.