Автор Тема: Нет доступа из внутренней на порт внешнего адреса Mikrotik.  (Прочитано 946 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно. Из внутренней сети сидящей за NAT этот адрес пингуется, трассируется но при этом соединения на порт не выходит.


Updated: 24 September 2021, 16:21:42

вдумался почитал, узнал про hairpin, пошел настраивать.


Updated: 24 September 2021, 17:02:29

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=37.233.**.** dst-port=13000 protocol=tcp to-addresses=192.168.1.248 to-ports=13000

/ip firewall filter
add action=accept chain=forward  dst-port=13000 in-interface=WAN protocol=tcp

Не забываем затащить его выше правила запрещающего WAN-LAN если таковое у Вас есть

Это типовые действия по просовыванию порта 13000 с адреса 37.233.**.** на 192.168.1.248

Теперь надо сделать подмену с подсовыванием нужной цепочки

/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=192.168.0.0/23 to-addresses=192.168.1.253


Сделал и что а не помогло ЧЯНТД?
« Последнее редактирование: 24 сентября 2021, 17:02:29 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
да ты о###л. Если порт на клиентской машине не отвечает, значит сервис, работающий на этом порте, отвалился. Чё тут непонятно?

Комментарий модератора Запрещается: 3.1 Использовать грубые, нецензурные выражения и оскорбления в любой форме - хамские по тону и содержанию сообщения, подписи и описания в карме пользователей.
« Последнее редактирование: 24 сентября 2021, 21:31:25 от Retif »
Авторский сайт http://rodionov.info

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
 :dont_know: какой порт на клиентской машине, ты блин ваще про что, у меня под сотню клиентов бродящих то во внутренней сети то снаружи, но всем надо попасть на сервис покинутый на порт внешнего адреса. У микрота слегка заморочка есть на эту тему, связанная с организацией его nat и фаервола, когда ты кидаешь пакет  с внутреннего адреса сидящего за dnat на внешний но своей же внешней подсети, ты до него доходит, и сервис тебе отвечает, но дальше ответный пакет лети куда? А летит он в тот адрес откуда пришел а пришел он с внешнего адреса который у тебя использован в шлюзе, а там смотрят, а куда, понятия не имею, так вот создаётся правило по которому этот пакет нужно заполнить на внутренней адрес получателю.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Поправил вроде всё работает но убедиться хочу завтра на практике
/ip firewall nat
add action=dst-nat chain=dstnat comment="13000 from wan to 1.248" dst-port=\
    13000 in-interface=WAN protocol=tcp to-addresses=192.168.1.248 to-ports=\
    13000
add action=dst-nat chain=dstnat comment="local net to ext ip**" dst-address=\
    37.233.**.** dst-port=13000 protocol=tcp src-address=192.168.0.0/23 \
    to-addresses=192.168.1.248
add action=masquerade chain=srcnat comment="LAN source address spoofing " \
    dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=\
    192.168.0.0/23
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.