Недоступность внешних сервисов из локальной сети

[EDX]

Здравствуйте.
RB750GL
Есть настройка NAT:

1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=123 protocol=udp dst-address=213.168.***.*** dst-port=123

Внешние пользователи без проблем подключаются.
Но локальные пользователи при подключение на внешний IP не подключаются.
Уже какие только правила не побывал, может какой loopback надо сделать?

[iSupport]

посмотрите файрволл, скорее всего либо что-то не настроили, либо чего-то не хватает

в помощь утилита torch

и ip firewall connections print

[EDX]

вот я и не могу понять что не так, вроде все правила по умолчанию. отключал их разрешал все один результат.
и я искав решение понял что не один такой но решения так и нет.

Понятно лишь одно
что от локального пользователя 192.168.1.11 приходит запрос на внешний IP 213.168.22.123 он передаётся локальному серверу 192.168.1.3 а ответ передаётся на 192.168.1.11 хотя должен на 213.168.22.123.

[iSupport]

посмотрите торчем что и откуда лезет


я подобное делал не раз - работало все четко

правила файерволла такие же

вопорс, у Вас НАТ на прероутинге или на инпуте?

[EDX]

немного не понял что я должен увидеть в торче.

вопорс, у Вас НАТ на прероутинге или на инпуте?

прошу прощение но это где смотреть, в нате такого не нашел.

[EDX]

Запрос на ETH1 локальный интерфейс из локальной сети:

Untitled 1.jpg

(6.79 КБ) 48 скачиваний

Ответ на PPPoE соединение:

Untitled 2.jpg

(6.63 КБ) 48 скачиваний

[EDX]

Untitled 4.jpg

(249.69 КБ) 48 скачиваний

Untitled 5.jpg

(154.32 КБ) 48 скачиваний

[iSupport]

сделайте
ip firewall nat print


меня в основном интересует
dst adress = ??? action = mascarade

[EDX]

это пока все правила

0 ;;; default configuration
chain=srcnat action=masquerade out-interface=Megafon

1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=udp
in-interface=Megafon dst-port=123

попробовал так, ни чего не изменилось

1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=udp
dst-address=213.168.***.*** dst-port=123

[iSupport]

надо завести адресс лист local_net

в него ввести адрес 192.168.3.0/24 - то есть вашу локальную подсеть

и изменить правило маскардинга

chain=srcnat action=masquerade out-interface=Megafon
добавить dst_adress=0.0.0.0/0 dst_adress_list=!local_net

то есть перестать маскарадить локальные адреса

а то похоже сервак сам на себя маскарадится

попробуйте также добавить ваш внешний айпишник в адресс лист local_net