Не работает проброс портов

Тема в разделе "Вопросы начинающих", создана пользователем Konev, 20 июн 2017.

  1. Konev

    Konev Участник

    Здравствуйте, настраивая новый роутер столкнулся с проблемой - не работает проброс портов:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=80 in-interface=domru-ppppoe log=yes log-prefix=dst_natlog protocol=tcp to-addresses=192.168.0.183
    add action=masquerade chain=srcnat out-interface=domru-ppppoe
    add action=masquerade chain=srcnat out-interface=ether1
    add action=masquerade chain=srcnat out-interface=ether2
    Так же есть настроенный Mangle:
    /ip firewall mangle
    add action=mark-connection chain=input in-interface=domru-ppppoe new-connection-mark=domru-conmark passthrough=yes
    add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes
    add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=no
    add action=mark-connection chain=forward in-interface=domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes
    add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f
    passthrough=yes
    add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=domru-pppoe \
    passthrough=no src-address-list=platniy
    add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no \
    src-address-list=rtk
    Адрес 192.168.0.183 относится к адрес листу "platniy", пробовал адрес убирать из списка и направлять его по стандартной таблице MAIN однако безуспешно!
     
  2. А порт пробовали явно указывать к адресу 192.168.0.183 ?
     
  3. Konev

    Konev Участник

    Да, конечно.
    Так же разместил на форуме микротика тему
    https://forum.mikrotik.com/viewtopic.php?f=13&t=122812
     
  4. Konev

    Konev Участник

    Локальная сеть 192.168.0.0/24.
    Имеется микротик с белым адресом, который он получает по pppoe:
    ip address print
    0 172.21.139.2/16 172.21.0.0 ether1
    1 192.168.0.254/24 192.168.0.0 LAN-bridge
    2 10.72.74.66/27 10.72.74.64 ether2
    3 D 89.250.146.160/32 10.92.127.254 domru-ppppoe


    Так же на интерфейсе ether1 настроен второй адрес, для городской сети.
    На интерфейсе ether2 настроен интернет от Ростелеком.

    Настроил Mangle:
    /ip firewall mangle
    add action=mark-connection chain=input in-interface=domru-ppppoe log-prefix=inpt_mark_domru \
    new-connection-mark=domru-conmark passthrough=yes
    add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=domru-conmark dst-address-list=!workspace \
    log-prefix=pr_rout new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy
    add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=\
    no
    add action=mark-connection chain=forward connection-nat-state=dstnat dst-address=192.168.0.183 in-interface=\
    domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes
    add action=mark-connection chain=forward comment="FWD traffic Mark" in-interface=domru-ppppoe log-prefix=\
    fwd_con new-connection-mark=domru-connmark-f passthrough=yes
    add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f \
    passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=domru-connmark-f dst-address-list=!workspace \
    log-prefix=rt_mark new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy
    add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no
    src-address-list=rtk


    Настроил NAT:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=89.250.146.160 dst-port=80 in-interface=domru-ppppoe log-prefix=\
    dst_natlog protocol=tcp to-addresses=192.168.0.183
    add action=masquerade chain=srcnat out-interface=domru-ppppoe
    add action=masquerade chain=srcnat out-interface=ether1
    add action=masquerade chain=srcnat out-interface=ether2


    При попытке обратится к внешнему адресу, замечаю, что счетчик пакетов увеличивается.
    Однако веб страница не работает.
    Обратил внимание вот еще на что:
    в локальной сети есть 2 адреса: 192.168.0.183 и 192.168.0.188, оба относятся к адрес листу "platniy", однако при попытке трассировки с адреса 89.250.146.160 получаем следующее:
    tool traceroute src-address=89.250.146.160 address=192.168.0.183 max-hops=10
    # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
    1 100% 2 timeout
    2 100% 2 timeout
    3 100% 2 timeout
    4 100% 2 timeout
    5 100% 2 timeout
    6 100% 2 timeout
    7 100% 2 timeout
    8 100% 2 timeout
    9 100% 2 timeout
    10 100% 1 timeout


    tool traceroute src-address=89.250.146.160 address=192.168.0.188 max-hops=10
    # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
    1 192.168.0.188 0% 4 0.5ms 1 0.5 2.4 0.8



    Как можно заметить если мы пробуем трассировку до 192.168.0.183 то путь уходит в непонятную петлю.
    Но при этом трассировка до 192.168.0.188 идет напрямую и сразу.
    Брандмауэры и фаерволлы выключены.
     
  5. Без манглов пробовали ? Отключите, попробуйте без них.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Ощущение что проблема на конечном хосте.
     
  7. Konev

    Konev Участник

    Добрый день, больше всего меня заинтересовало, почему Микротик не пингует хосты в локальной сети со своего белого адреса.
    Как показывает трассировка, путь к конечному хосту уходит куда то (в интернет).
    Однако, почему то хост 192.168.0.188 пингуется, это единственный хост из всей подсети, который может пропинговать роутер со своего белого адреса.
    Без манглов тоже не работает, как понимаю, проблема в том, о чем я написал выше.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Лениво распутывать ваш мангл. Если говорить про проборов портов на мультиван, то на каждый WAN надо 3 правила в Mangle
    /ip firewall mangle
    #Маркируем соединение на входе

    add chain=prerouting in-interface=WAN1 action=mark-connection new-connection-mark=WAN1

    #Маркируем Output

    add chain=output connection-mark=WAN1 action=mark-routing new-routing-mark=WAN1-Route

    #Маркируем маршруты из LAN. Тут важно явно обозначить что или интрефейс=LAN или src-address, иначе пакеты из WAN будут улетать назад в WAN

    add chain=prerouting in-interface=LAN connection-mark=WAN1 action=mark-routing new-routing-mark=WAN1-Route

    Ну и маршрут с маркировкой.
     
  9. Konev

    Konev Участник

    Илья, решил проблему, только с использованием Hairpin.
    Сейчас попробую решить проблему с вашим способом, спасибо!