Страница 1 из 4
Как замапить порты на микротике с двумя провайдерами
Добавлено: 19 фев 2016, 16:16
winser
На MikroTik RB951G-2HnD заведено два провайдера
Вся локалка кроме одного компа работает через первого провайдера, один комп (с ип 192.168.0.90) работает через второго провайдера
Сервер для которого мапю порт 192.168.0.117 работает на первом провайдере, доступ к нему(по внешнему адресу) у всех компов локальной сети которые получают инет от первого провайдера есть, кроме компа 192.168.0.90 в чем и вся проблема
В IP/Route для маршрута от второго провайдера присвоена метка MTS
настройки Нат такие
chain=dstnat action=dst-nat to-addresses=192.168.0.117 to-ports=80
protocol=tcp dst-address=1.1.1.1 dst-port=97
chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24
dst-address=192.168.0.117 out-interface=bridge1 dst-port=80
chain=srcnat action=masquerade routing-mark=MTS
chain=srcnat action=masquerade to-addresses=1.1.1.1
out-interface=ether1
chain=srcnat action=accept to-addresses=2.2.2.2 routing-mark=MTS
Мангл
chain=prerouting action=mark-routing new-routing-mark=MTS passthrough=yes
src-address=192.168.0.90
Как замапить порт для компа 192.168.0.90 чтобы на нем можно было по внешнему адресу(первого провайдера) получить доступ к серваку 192.168.0.117 ??
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 19 фев 2016, 18:53
vqd
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 07:37
winser
vqd Внимательно прочитал, даже переименовал интерфесы и метки чтобы было как в теме по вашей ссылки, но ничего не получилось, инета нет вообще ни от одного провайдера, к мапингу портов даже не приступал
Думаю проблема в том что там нет примеров настройки Firewall/NAT (свои варианты настроек NAT я удалил из конфига думаю они точно не правильные)
попытался приспособить то что у меня было не получилось
вот весь мой конфиг, который попытался переделать под тот что был в теме по вашей ссылке
Код: Выделить всё
export
# feb/20/2016 10:21:12 by RouterOS 6.32.2
# software id = 7FSZ-JFYB
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ISP1
set [ find default-name=ether2 ] name=ISP2
set [ find default-name=ether4 ] name=LAN
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=2h name=dhcp1
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (ISP2) is not slave
add action=drop chain=output out-interface=ISP2 packet-type=multicast
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output disabled=yes limit=1,5 out-interface=LAN \
packet-mark="" packet-type=multicast
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=LAN
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=10.7.1.10/24 interface=ISP2 network=10.47.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=\
ISP1
add add-default-route=no disabled=no interface=ISP2
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=LAN
/ip firewall mangle
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=\
ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=\
ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\
ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=\
ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=\
ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for \
new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=\
ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for \
new-routing-mark=ISP2_rout src-address-list=LAN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip route
add distance=1 gateway=1.1.1.1 routing-mark=ISP1_rout
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ISP1 upstream=yes
add interface=bridge1
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Novosibirsk
/system leds
set 0 interface=wlan1
/system routerboard settings
set cpu-frequency=750MHz
[admin@MikroTik] >
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 07:42
vqd
Ну так правила НАТ добавте
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 10:05
winser
vqd
Подскажите какие именно, перепробовал кучу вариантов.
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 10:07
vqd
В смысле кучу?
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1_WAN1
add action=masquerade chain=srcnat out-interface=ether2_WAN2
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 11:34
winser
vqd Инет появился только при таком конфиге в Routes
Код: Выделить всё
/ip route
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1.1
То есть когда не указываю routing-mark для первого провайдера, и не очень понятно как роутер определяет через какого провайдера в первую очередь конектиться может Distance надо указать 1 для первого и 2 для второго прова?
Попытался замапить порты, но результат тот же что и был комп 192.168.0.117 недоступен по внешнему адресу с компа 192.168.0.90 который работает с интерентом от второго провайдера
настройка нат и мангл такие
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=ISP2_rout src-address=192.168.0.90
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=ISP1_in
add action=mark-routing chain=output connection-mark=ISP1_in new-routing-mark=ISP1_rout
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=ISP2_in
add action=mark-routing chain=output connection-mark=ISP2_in new-routing-mark=ISP2_rout
add action=mark-connection chain=forward in-interface=ISP1 new-connection-mark=ISP1_for
add action=mark-routing chain=prerouting connection-mark=ISP1_for new-routing-mark=ISP1_rout src-address-list=LAN
add action=mark-connection chain=forward in-interface=ISP2 new-connection-mark=ISP2_for
add action=mark-routing chain=prerouting connection-mark=ISP2_for new-routing-mark=ISP2_rout src-address-list=LAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=97 log-prefix=ZZZZZ protocol=tcp to-addresses=192.168.0.117 to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.0.117 dst-port=80 log-prefix=pppp out-interface=bridge1 protocol=tcp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ISP1 to-addresses=1.1.1.1
add action=masquerade chain=srcnat out-interface=ISP2 routing-mark=ISP2_rout to-addresses=1.1.1.1
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 11:38
vqd
Ну так вы подумайте маленько, конфиг свой посмотрите внимательно. Нарисуйте схему чего куда у вас и главное как ходит
Даю подсказку, в первом конфиге вам добавить 4 строчки, 2 из них я вам сказал....
А дальше можете прикручивать пробросы и т.п.
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 11:49
winser
vqd
У меня не хватает знаний чтобы думать, подскажите плз эти две строчки, уже неделю маюсь после того как кабель для второго провайдера провели.
Re: Как замапить порты на микротике с двумя провайдерами
Добавлено: 20 фев 2016, 12:02
vqd
/ip route
add distance=1 gateway=1.1.1.1 routing-mark=ISP1_rout
add distance=1 gateway=10.7.0.1 routing-mark=ISP2_rout
add distance=1 gateway=1.1.1.1 distance=1
add distance=1 gateway=10.7.0.1 distance=2