не работает Dstnat # model = RB952Ui-5ac2nD Добавил ЛТЕ /interface lte set [ find ] mac-address=00:00:00:00:00:** name=lte1 после включения ЛТЕ получил адрес от модема по DHCP с ДОБАВЛЕНИЕ МАРШРУТА ПО УМОЛЧАНИЮ 0.0.0.0/0 Добавил бридж /interface bridge add name="bridge Local" добавил туда порты /interface bridge port add bridge="bridge Local" hw=no interface=ether2 add bridge="bridge Local" hw=no interface=ether3 назначил адреса /ip address add address=192.168.54.1/24 interface="bridge Local" network=192.168.54.0 add address=10.110.111.2/24 interface=eoip-id111 network=10.110.111.0 add address=91.224.***.**/27 interface=ether1 network=91.224.***.** днс /ip dns set allow-remote-requests=yes servers=8.8.8.8 Создал адрес лист в FW /ip firewall address-list add address=109.173.**.** list=Allow add address=192.168.88.0/24 list=Local add address=10.10.10.0/24 list=Local add address=10.10.10.0/24 list=Allow add address=192.168.1.0/24 list=Local add address=10.110.110.0/24 list=Local add address=192.168.54.0/24 list=Local add address=10.110.111.0/24 list=Local add address=192.168.31.0/24 list=Local add address=10.10.11.0/24 list=Local add address=192.168.2.0/24 list=Local создал EOIP /interface eoip add mac-address=00:00:00:00:00:** name=eoip-id111 remote-address=\ ************ tunnel-id=111 создал правила в FW /ip firewall filter add action=accept chain=input dst-address=91.224.**.** dst-port=1701,4500,500 \ protocol=udp add action=accept chain=input dst-address=91.224.**.** dst-port=1701,4500,500 \ protocol=tcp add action=accept chain=input src-address-list=Allow add action=accept chain=forward src-address-list=Allow add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related add action=accept chain=forward dst-address-list=Local src-address-list=Local add action=accept chain=forward src-address-list=Local add action=accept chain=input dst-address-list=Local src-address-list=Local add action=accept chain=input src-address-list=Local add action=drop chain=forward add action=drop chain=input создал маркировки для движения пакетов с двух Wan-ов /ip firewall mangle add action=mark-connection chain=input in-interface=lte1 new-connection-mark=\ 1_c passthrough=yes add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=\ 1_f passthrough=yes add action=mark-routing chain=output connection-mark=1_c new-routing-mark=1_r \ passthrough=yes add action=mark-routing chain=prerouting connection-mark=1_f new-routing-mark=\ 1_pr passthrough=yes src-address-list=Local add action=mark-connection chain=input in-interface=ether1 new-connection-mark=\ 2_c passthrough=yes add action=mark-connection chain=forward in-interface=ether1 \ new-connection-mark=2_f passthrough=yes add action=mark-routing chain=output connection-mark=2_c new-routing-mark=2_r \ passthrough=yes add action=mark-routing chain=prerouting connection-mark=2_f new-routing-mark=\ 2_pr passthrough=yes src-address-list=Local Создал NAt правила для маскарада для инета и для dstnat /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address-list=Local add action=masquerade chain=srcnat out-interface=lte1 src-address-list=Local add action=masquerade chain=srcnat dst-address-list=Local src-address-list=\ Local add action=dst-nat chain=dstnat dst-address=91.224.**.** dst-port=**** log=yes \ protocol=tcp to-addresses=192.168.54.3 to-ports=3389 Добавил маршруты /ip route add distance=1 gateway=192.168.8.1 routing-mark=1_r add distance=1 gateway=192.168.8.1 routing-mark=1_pr add distance=2 gateway=91.224.**.** routing-mark=2_r add distance=2 gateway=91.224.**.** routing-mark=2_pr add distance=2 gateway=91.224.**.** add distance=1 dst-address=109.173.20.47/32 gateway=91.224.125.65 add distance=1 dst-address=192.168.2.0/24 gateway=10.110.111.1 add disabled=yes distance=1 dst-address=192.168.88.0/24 gateway=10.110.111.1 _______________________________________________________ В сети есть машина с адресом 192.168.54.3 на которой включен РДП на 3389 Так вот через туннель я отлично её вижу, а через dstnat нет где я мог ошибиться?
Log выдаёт firewall,info dstnat: in:ether1 outunknown 0), src-mac **************, proto TCP (SYN), 109.173.**.**:50352->91.224.**.**:5811, len 52 при подключении с компьютера через RDP на Wan адрес микротика, где создано правило DSTNAT
p.s. если правельно поняли, по адресам на eth1 приходит Wan Трассеровка с 54.3 до 109.173.**.** проходит верным маршрутом. Я отключил все правила в фаерволе, отключил LTE, отключил маскарады все кроме eth1 Отключил все манглы оставил только Адрес на Eth1 маршрут по умолчанию 0.0.0.0/0 на шлюз провайдера dns nat - маскарад с исходящим интерфейсом и dstnat chain=dstnat action=dst-nat to-addresses=192.168.54.3 to-ports=3389 protocol=tcp dst-address=91.224.**.** in-interface=ether1 dst-port=3389 log=yes log-prefix=""
не работает ошибка та же firewall,info dstnat: in:ether1 outunknown 0), src-mac **************, proto TCP (SYN), 109.173.**.**:50352->91.224.**.**:5811, len 52
Я посмотрел Реализация MultiWAN. Вопросы, проблемы и решения by Илья Князев (SPW.RU, Россия) Сделал так же - /ip firewall mangle add action=mark-connection chain=input in-interface=lte1 new-connection-mark=1_c \ passthrough=yes add action=mark-routing chain=output connection-mark=1_c new-routing-mark=1_r passthrough=\ yes add action=mark-connection chain=input in-interface=ether1 new-connection-mark=2_c \ passthrough=yes add action=mark-routing chain=output connection-mark=2_c new-routing-mark=2_r passthrough=\ yes add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1 \ new-connection-mark=con_Wan1 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=lte1 \ new-connection-mark=con_Wan2 passthrough=yes add action=mark-routing chain=prerouting connection-mark=con_Wan1 in-interface-list=\ !lst_wan new-routing-mark=wan1 add action=mark-routing chain=prerouting connection-mark=con_Wan2 in-interface-list=\ !lst_wan new-routing-mark=wan2 add action=mark-routing chain=output connection-mark=con_Wan1 new-routing-mark=wan1 add action=mark-routing chain=output connection-mark=con_Wan2 new-routing-mark=wan2 /ip route add distance=1 gateway=192.168.8.1 routing-mark=1_r add distance=2 gateway=91.224.***.** routing-mark=2_r add distance=2 gateway=91.224.***.** routing-mark=wan1 add distance=1 gateway=192.168.8.1 routing-mark=wan2 add distance=2 gateway=91.224.***.** add distance=1 dst-address=192.168.2.0/24 gateway=10.110.111.1 в логе та же ошибка версия прошивки 6.44.2 Дома стоит тик с прошивкой 6.43.8 dstnat стоит и работает.....