nat на внешний ip

[longnet]

добрый день всем.

Есть необходимость решить одну задачу, голову сломал не могу понять что сделал не так.

В общем в сетке есть одна железяка (контроллер) которая должна слать данные на другой контроллер, но в настройках можно указать только ip и маску, про шлюз разработчики софта не подумали (какой то там сильно заумно древний контроллер, но имеем что имеем).
В голову приходит мысль сделать так: прописываем ip (192.168.88.100/24), и прописываем отсылать данные на 192.168.88.1/24 (mikrtotik), а этот зверь должен отправлять данные наружу на указанный адрес.

add action=dst-nat chain=dstnat dst-port=6000 log=yes protocol=tcp to-addresses=xxx.xxx.xxx.xxx
add action=src-nat chain=srcnat dst-port=6000 log=yes protocol=tcp to-addresses=yy.yy.yyy.yy

xxx.xxx.xxx.xxx - куда шлем данные
yy.yy.yyy.yy - белый адрес микротика

в логах пакеты приходят на микрот, но дальше нет.
input и output разрешен.

что делаю не так ?

[Erik_U]

https://help.mikrotik.com/docs/spaces/R ... 211299/NAT

Трансляция сетевых адресов работает путем изменения информации о сетевых адресах в заголовке IP-пакета. Давайте рассмотрим распространенную настройку, когда сетевой администратор хочет получить доступ к офисному серверу из Интернета.
Мы хотим разрешить подключения из интернета к офисному серверу, локальный IP которого 10.0.0.3. В этом случае нам нужно настроить правило трансляции адреса назначения на маршрутизаторе офисного шлюза:
/ip firewall nat add chain=dstnat action=dst-nat dst-address=172.16.16.1 dst-port=22 to-addresses=10.0.0.3 protocol=tcp
Правило выше переводится так: когда входящее соединение запрашивает TCP-порт 22 с адресом назначения 172.16.16.1, используйте действие dst-nat и отправьте пакеты на устройство с локальным IP-адресом 10.0.0.3 и портом 22.

[bst-botsman]

input и output разрешен.
что делаю не так ?

Как только у Вас сработает правило DST-NAT - пакет попадет не в цепочки INPUT и OUTPUT, а в цепочку FORWARD - проверяйте правила там...