Здравствуйте, настраивая новый роутер столкнулся с проблемой - не работает проброс портов: /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=domru-ppppoe log=yes log-prefix=dst_natlog protocol=tcp to-addresses=192.168.0.183 add action=masquerade chain=srcnat out-interface=domru-ppppoe add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether2 Так же есть настроенный Mangle: /ip firewall mangle add action=mark-connection chain=input in-interface=domru-ppppoe new-connection-mark=domru-conmark passthrough=yes add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=no add action=mark-connection chain=forward in-interface=domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f passthrough=yes add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=domru-pppoe \ passthrough=no src-address-list=platniy add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no \ src-address-list=rtk Адрес 192.168.0.183 относится к адрес листу "platniy", пробовал адрес убирать из списка и направлять его по стандартной таблице MAIN однако безуспешно!
Да, конечно. Так же разместил на форуме микротика тему https://forum.mikrotik.com/viewtopic.php?f=13&t=122812
Локальная сеть 192.168.0.0/24. Имеется микротик с белым адресом, который он получает по pppoe: ip address print 0 172.21.139.2/16 172.21.0.0 ether1 1 192.168.0.254/24 192.168.0.0 LAN-bridge 2 10.72.74.66/27 10.72.74.64 ether2 3 D 89.250.146.160/32 10.92.127.254 domru-ppppoe Так же на интерфейсе ether1 настроен второй адрес, для городской сети. На интерфейсе ether2 настроен интернет от Ростелеком. Настроил Mangle: /ip firewall mangle add action=mark-connection chain=input in-interface=domru-ppppoe log-prefix=inpt_mark_domru \ new-connection-mark=domru-conmark passthrough=yes add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes add action=mark-routing chain=prerouting connection-mark=domru-conmark dst-address-list=!workspace \ log-prefix=pr_rout new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=\ no add action=mark-connection chain=forward connection-nat-state=dstnat dst-address=192.168.0.183 in-interface=\ domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes add action=mark-connection chain=forward comment="FWD traffic Mark" in-interface=domru-ppppoe log-prefix=\ fwd_con new-connection-mark=domru-connmark-f passthrough=yes add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f \ passthrough=yes add action=mark-routing chain=prerouting connection-mark=domru-connmark-f dst-address-list=!workspace \ log-prefix=rt_mark new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no src-address-list=rtk Настроил NAT: /ip firewall nat add action=dst-nat chain=dstnat dst-address=89.250.146.160 dst-port=80 in-interface=domru-ppppoe log-prefix=\ dst_natlog protocol=tcp to-addresses=192.168.0.183 add action=masquerade chain=srcnat out-interface=domru-ppppoe add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether2 При попытке обратится к внешнему адресу, замечаю, что счетчик пакетов увеличивается. Однако веб страница не работает. Обратил внимание вот еще на что: в локальной сети есть 2 адреса: 192.168.0.183 и 192.168.0.188, оба относятся к адрес листу "platniy", однако при попытке трассировки с адреса 89.250.146.160 получаем следующее: tool traceroute src-address=89.250.146.160 address=192.168.0.183 max-hops=10 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 100% 2 timeout 2 100% 2 timeout 3 100% 2 timeout 4 100% 2 timeout 5 100% 2 timeout 6 100% 2 timeout 7 100% 2 timeout 8 100% 2 timeout 9 100% 2 timeout 10 100% 1 timeout tool traceroute src-address=89.250.146.160 address=192.168.0.188 max-hops=10 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 192.168.0.188 0% 4 0.5ms 1 0.5 2.4 0.8 Как можно заметить если мы пробуем трассировку до 192.168.0.183 то путь уходит в непонятную петлю. Но при этом трассировка до 192.168.0.188 идет напрямую и сразу. Брандмауэры и фаерволлы выключены.
Добрый день, больше всего меня заинтересовало, почему Микротик не пингует хосты в локальной сети со своего белого адреса. Как показывает трассировка, путь к конечному хосту уходит куда то (в интернет). Однако, почему то хост 192.168.0.188 пингуется, это единственный хост из всей подсети, который может пропинговать роутер со своего белого адреса. Без манглов тоже не работает, как понимаю, проблема в том, о чем я написал выше.
Лениво распутывать ваш мангл. Если говорить про проборов портов на мультиван, то на каждый WAN надо 3 правила в Mangle /ip firewall mangle #Маркируем соединение на входе add chain=prerouting in-interface=WAN1 action=mark-connection new-connection-mark=WAN1 #Маркируем Output add chain=output connection-mark=WAN1 action=mark-routing new-routing-mark=WAN1-Route #Маркируем маршруты из LAN. Тут важно явно обозначить что или интрефейс=LAN или src-address, иначе пакеты из WAN будут улетать назад в WAN add chain=prerouting in-interface=LAN connection-mark=WAN1 action=mark-routing new-routing-mark=WAN1-Route Ну и маршрут с маркировкой.
Илья, решил проблему, только с использованием Hairpin. Сейчас попробую решить проблему с вашим способом, спасибо!