Добрый день, пытаюсь освоить RB750Gr3. С Mikrotik опыта практически не имею. Бытовыми роутерами dir625, dir857, tp-link и zyxel разных версий пользуюсь давно. Тут https://spw.ru/educate/articles/natpart2/ вроде все понятно. Интернет есть в LAN, проброс не получается. Через старый роутер доступ рабочего уровня в устройствам в LAN получаю, потому LAN и устройства за роутером работают. 1 вариант - пробовал так https://habrahabr.ru/post/265387/ 2 вариант: сбросил до дефолтной конфигурациии настроил внешний интерфейс, получил интенет на различных устройствах добавил правило add action=dst-nat chain=dstnat dst-port=12458 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.115 to-ports=22 В обоих вариантах видно при обращении извне на соотв. порт пакеты в соотв. правиле nat редко проскакивают, в логе вижу что обращение было интерент есть, доступа извне в назначенное устройство не получаю Спойлер: / export RouterOS 6.37.2 # software id = GQP2-JG2H # /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] mac-address=0x:0x:0x:0x:0x:xx set [ find default-name=ether2 ] name=ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] master-port=ether2-master /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.1.10-192.168.1.50 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 name=defconf /interface bridge port add bridge=bridge1 interface=ether2-master /ip address add address=192.168.1.1/24 comment=defconf interface=ether2-master network=192.168.1.0 add address=123.123.123.40/24 interface=ether1 network=123.123.123.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.248.21,192.168.251.21 /ip dns static add address=192.168.1.1 name=router /ip firewall filter add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \ in-interface=ether1 add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 add action=dst-nat chain=dstnat dst-port=12458 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.115 to-ports=22 /ip route add distance=1 gateway=123.123.123.1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /system identity set name=MikroTik /system ntp client set enabled=yes primary-ntp=46.46.160.235 /system routerboard settings set memory-frequency=1200DDR protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master /tool traffic-monitor add interface=ether2-master name=tmon1 threshold=0 Подскажите куда копать - надо пробросить несколько портов.
Благодарю за оперативность. LAN за RB750Gr3 очень маленькая и простая - простой коммутатор и несколько компьютеров + достаточно давно мостом работающий Mikrotik RB951G-2HnD в качестве wifi точки доступа. Сейчас шлюзом работает DIR857 с работающими пробросами на разные устройства с различными ос. То есть уже имеется действующий доступ на требуемые ресурсы за шлюзом - сервисы за dir работают. Из этого я делаю вывод , что устройства за роутером (шлюзом) работают, а единственное изменение в действующей сети - это замена роутера и проблема в нем. Про ряду причин хочется заменить действующий шлюз на RB750Gr3.
На устройство можно зайти через ssh, я пробую это делать. Фаервол на устройстве есть. Вряд ли он реагирует на то как я подошел к устройству, да и подхожу к нему всегда через LAN. Имхо. Кроме того я могу зайти через DIR на несколько устройств различными протоколами. Во всех этих ситуациях фаерволы видимо не влияют, а они есть на каждом устройстве. Мне удается зайти в следующих случаях: вхожу из внешней сети посредством смарта с выключенным wifi (через сеть мобильного оператора) через DIR857 используя JuiceSSH на мой внешний ip и настроенный порт вхожу в LAN через wifi RB951G-2HnD на этом же смарте используя JuiceSSH на локальный ip и стандартный порт 22. Мне не удается зайти из внешней сети посредством смарта с выключенным wifi используя JuiceSSH на мой внешний ip и настроенный порт через RB750Gr3, когда ставлю его вместо DIR857. Уточню конфигурацию. Имею статический внешний ip. Подключение к провайдеру - статика, lan.
Через DIR иду из ВНЕШНЕЙ сети. Как я понял hairpin nat позволяет обратиться из lan к устройству через внешний ip. Кроме того я и через вайфай захожу, и внутри LAN терминалы PuTTY юзаю, по sftp хожу и на обсуждаемом устройстве в том числе. То есть используется несколько физически РАЗНЫХ устройств (у всех статические ip, кроме смарта), они имхо не используют DIR (DIR физически за коммутатором) и все фаервол пропускает.
И как вы думаете, как оно должно работать, если пакет приходит снаружи, микротик кидает его внутрь сети, девайс отвечает на свой default gateway (на DIR), а тот или не знает куда доставить, или шлет не туда ?
Спасибо за наводку по поводу 192.168.1.115 весьма хитровыкрученно работал. На других устройствах проброс сработал как и должен был. Имхо все довольно просто.