Russian Users MikroTik | Форум пользователей MikroTik

Добрый вечер!
Нужно сделать проброс порта до локальной машины. Вроде делаю все по инструкции, но различные сайты с онлайн проверкой говорят, что порт закрыт.
ether1 - это интерфейс, куда заходит провод от провайдера. Что не так делаю ?

В файрволе правило есть разрешающее форвард из интернета до адреса 192.168.0.2?

или просто по признаку dst-nat?

enzain писал(а):В файрволе правило есть разрешающее форвард из интернета до адреса 192.168.0.2?

или просто по признаку dst-nat?

Не было ничего подобного.
Сделал, но видимо не правильно, ибо не помогло.

Вообще было, у вас дефолт конфигурация. Последнее правило - как раз должно исключать дстнат (даже судя комменту)

В правиле ната еще dst адрес укажите, ваш белый типа
И INPUT нужен а не forward - сразу не понял в чем там затык :)

enzain писал(а):Вообще было, у вас дефолт конфигурация. Последнее правило - как раз должно исключать дстнат (даже судя комменту)

В правиле ната еще dst адрес укажите, ваш белый типа
И INPUT нужен а не forward - сразу не понял в чем там затык :)

У меня динамический внешний ип, в этом случае мануал говорит, что надо в In. interface надо указать порт, куда у меня кабель провайдера приходит. Указан.
Input пробовал, тоже без результата :(

Babayka писал(а):У меня динамический внешний ип, в этом случае мануал говорит, что надо в In. interface надо указать порт, куда у меня кабель провайдера приходит. Указан.
Input пробовал, тоже без результата :(

/ip firewall nat add action=dst-nat chain=dstnat comment="Transmission at 65534" dst-port=65534 in-interface=ether1 protocol=tcp to-addresses=10.254.0.253

У меня такое работает, + в файрволе разрешен дстнат.

Если не работает у вас - могу только посоветовать сбросить конфу дефолтную и настроить руками с нуля

А правило в файрволе покажите пожалуйста.

Если Вам надо разрешить для проброса портов, то Вам нужна цепочка Forward.

Из того, что я вижу сходу, то Вам надо удалить параметр dst-address и указать in-interface=внешний-интерфейс. Если это какой-то виртуальный интерфейс (например PPPoE), то должен быть указан именно он.

Если не поможет, то выложите сюда выдачу команды /ip firewall export

# feb/08/2018 22:23:00 by RouterOS 6.41
# software id = 45JH-XAK2
#
# model = 951G-2HnD
# serial number = 642E075333C9
/ip firewall filter
add action=accept chain=input connection-type="" disabled=yes dst-port=12345 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward protocol=icmp src-address-list=""
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-port=12345 in-interface=ether1 \
protocol=tcp to-addresses=192.168.0.2