dstnat с 2 Wan (LTE и Static Lan)

Тема в разделе "Маршрутизация", создана пользователем Syps, 8 май 2019.

  1. Syps

    Syps Участник

    не работает Dstnat

    # model = RB952Ui-5ac2nD

    Добавил ЛТЕ
    /interface lte
    set [ find ] mac-address=00:00:00:00:00:** name=lte1
    после включения ЛТЕ получил адрес от модема по DHCP с ДОБАВЛЕНИЕ МАРШРУТА ПО УМОЛЧАНИЮ
    0.0.0.0/0


    Добавил бридж
    /interface bridge
    add name="bridge Local"

    добавил туда порты
    /interface bridge port
    add bridge="bridge Local" hw=no interface=ether2
    add bridge="bridge Local" hw=no interface=ether3

    назначил адреса
    /ip address
    add address=192.168.54.1/24 interface="bridge Local" network=192.168.54.0
    add address=10.110.111.2/24 interface=eoip-id111 network=10.110.111.0
    add address=91.224.***.**/27 interface=ether1 network=91.224.***.**

    днс
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8

    Создал адрес лист в FW
    /ip firewall address-list
    add address=109.173.**.** list=Allow
    add address=192.168.88.0/24 list=Local
    add address=10.10.10.0/24 list=Local
    add address=10.10.10.0/24 list=Allow
    add address=192.168.1.0/24 list=Local
    add address=10.110.110.0/24 list=Local
    add address=192.168.54.0/24 list=Local
    add address=10.110.111.0/24 list=Local
    add address=192.168.31.0/24 list=Local
    add address=10.10.11.0/24 list=Local
    add address=192.168.2.0/24 list=Local

    создал EOIP
    /interface eoip
    add mac-address=00:00:00:00:00:** name=eoip-id111 remote-address=\
    ************ tunnel-id=111

    создал правила в FW
    /ip firewall filter
    add action=accept chain=input dst-address=91.224.**.** dst-port=1701,4500,500 \
    protocol=udp
    add action=accept chain=input dst-address=91.224.**.** dst-port=1701,4500,500 \
    protocol=tcp
    add action=accept chain=input src-address-list=Allow
    add action=accept chain=forward src-address-list=Allow
    add action=accept chain=forward connection-state=established,related
    add action=accept chain=input connection-state=established,related
    add action=accept chain=forward dst-address-list=Local src-address-list=Local
    add action=accept chain=forward src-address-list=Local
    add action=accept chain=input dst-address-list=Local src-address-list=Local
    add action=accept chain=input src-address-list=Local
    add action=drop chain=forward
    add action=drop chain=input

    создал маркировки для движения пакетов с двух Wan-ов
    /ip firewall mangle
    add action=mark-connection chain=input in-interface=lte1 new-connection-mark=\
    1_c passthrough=yes
    add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=\
    1_f passthrough=yes
    add action=mark-routing chain=output connection-mark=1_c new-routing-mark=1_r \
    passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=1_f new-routing-mark=\
    1_pr passthrough=yes src-address-list=Local
    add action=mark-connection chain=input in-interface=ether1 new-connection-mark=\
    2_c passthrough=yes
    add action=mark-connection chain=forward in-interface=ether1 \
    new-connection-mark=2_f passthrough=yes
    add action=mark-routing chain=output connection-mark=2_c new-routing-mark=2_r \
    passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=2_f new-routing-mark=\
    2_pr passthrough=yes src-address-list=Local

    Создал NAt правила для маскарада для инета и для dstnat
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether1 src-address-list=Local
    add action=masquerade chain=srcnat out-interface=lte1 src-address-list=Local
    add action=masquerade chain=srcnat dst-address-list=Local src-address-list=\
    Local
    add action=dst-nat chain=dstnat dst-address=91.224.**.** dst-port=**** log=yes \
    protocol=tcp to-addresses=192.168.54.3 to-ports=3389

    Добавил маршруты
    /ip route
    add distance=1 gateway=192.168.8.1 routing-mark=1_r
    add distance=1 gateway=192.168.8.1 routing-mark=1_pr
    add distance=2 gateway=91.224.**.** routing-mark=2_r
    add distance=2 gateway=91.224.**.** routing-mark=2_pr
    add distance=2 gateway=91.224.**.**
    add distance=1 dst-address=109.173.20.47/32 gateway=91.224.125.65
    add distance=1 dst-address=192.168.2.0/24 gateway=10.110.111.1
    add disabled=yes distance=1 dst-address=192.168.88.0/24 gateway=10.110.111.1


    _______________________________________________________

    В сети есть машина с адресом 192.168.54.3 на которой включен РДП на 3389
    Так вот через туннель я отлично её вижу, а через dstnat нет

    где я мог ошибиться?
     
  2. Syps

    Syps Участник

    Log выдаёт
    firewall,info dstnat: in:ether1 out:(unknown 0), src-mac **************, proto TCP
    (SYN), 109.173.**.**:50352->91.224.**.**:5811, len 52

    при подключении с компьютера через RDP на Wan адрес микротика, где создано правило DSTNAT
     
    Последнее редактирование: 8 май 2019
  3. Syps

    Syps Участник

    p.s.
    если правельно поняли, по адресам на eth1 приходит Wan

    Трассеровка с 54.3 до 109.173.**.** проходит верным маршрутом.
    Я отключил все правила в фаерволе, отключил LTE, отключил маскарады все кроме eth1
    Отключил все манглы
    оставил только

    Адрес на Eth1

    маршрут по умолчанию

    0.0.0.0/0 на шлюз провайдера

    dns

    nat - маскарад с исходящим интерфейсом

    и

    dstnat
    chain=dstnat action=dst-nat to-addresses=192.168.54.3 to-ports=3389 protocol=tcp
    dst-address=91.224.**.** in-interface=ether1 dst-port=3389 log=yes log-prefix=""
     
  4. Syps

    Syps Участник

    не работает ошибка та же

    firewall,info dstnat: in:ether1 out:(unknown 0), src-mac **************, proto TCP
    (SYN), 109.173.**.**:50352->91.224.**.**:5811, len 52
     
  5. Syps

    Syps Участник

    Но если всё включить, то на стороне 109.173.**.** за EOIP туннелем 54.3 виден и подключается..
     
  6. Syps

    Syps Участник

    Я посмотрел Реализация MultiWAN. Вопросы, проблемы и решения by Илья Князев (SPW.RU, Россия)

    Сделал так же -

    /ip firewall mangle
    add action=mark-connection chain=input in-interface=lte1 new-connection-mark=1_c \
    passthrough=yes
    add action=mark-routing chain=output connection-mark=1_c new-routing-mark=1_r passthrough=\
    yes
    add action=mark-connection chain=input in-interface=ether1 new-connection-mark=2_c \
    passthrough=yes
    add action=mark-routing chain=output connection-mark=2_c new-routing-mark=2_r passthrough=\
    yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1 \
    new-connection-mark=con_Wan1 passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=lte1 \
    new-connection-mark=con_Wan2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=con_Wan1 in-interface-list=\
    !lst_wan new-routing-mark=wan1
    add action=mark-routing chain=prerouting connection-mark=con_Wan2 in-interface-list=\
    !lst_wan new-routing-mark=wan2
    add action=mark-routing chain=output connection-mark=con_Wan1 new-routing-mark=wan1
    add action=mark-routing chain=output connection-mark=con_Wan2 new-routing-mark=wan2


    /ip route
    add distance=1 gateway=192.168.8.1 routing-mark=1_r
    add distance=2 gateway=91.224.***.** routing-mark=2_r
    add distance=2 gateway=91.224.***.** routing-mark=wan1
    add distance=1 gateway=192.168.8.1 routing-mark=wan2
    add distance=2 gateway=91.224.***.**
    add distance=1 dst-address=192.168.2.0/24 gateway=10.110.111.1

    в логе та же ошибка

    версия прошивки 6.44.2


    Дома стоит тик с прошивкой 6.43.8

    dstnat стоит и работает.....
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Винда обычно блокирует обращения из других сетей.