Не хочет пробрасывать порты MikroTik rb951Ui-2HnD

Здравствуйте! Помогите разобраться с проблемой.
Задача тривиальна — пробросить порты из интернета в локалку.
Исходя из обеих статей (NAT. Часть 1 и NAT. Часть 2), нужно в НАТе прописать:

Chain: dstnat (будет изменен пункт назначения у пакета)
Protocol: tcp
Dst.Port: 1111 (внешний порт, который будет слушать маршрутизатор)
In. interface: pptp (интерфейс, который торчит наружу. Пробовал и ether1)
Action: netmap
ToAddress: 192.168.88.11 (локальный хост)
ToPort: 2222 (порт, которыйслушает хост)

В фильтрах либо ничего нет, либо прописаны правила все разрешено в любом направлении на всех интерфейсах.
Так вот, нифига не работает. Сам интернет пашет, а порты пробрасывать не хочет. Может подскажете в чем может быть закавыка?

Коробочка беленькая такая (MikroTik rb951Ui-2HnD).

 

Благодарю за ответ, но, насколько я понимаю, netmap это расширенный dst-nat.

 

Удалил все таблицы.
Добавил 2 правила в таблицу NAT

ip firewall nat add action=dst-nat chain=dstnat dst-port=1111 in-interface=pptp protocol=tcp to-addresses=192.168.88.11 to-ports=2222
ip firewall nat add action=dst-nat chain=dstnat dst-port=1111 in-interface=ether1 protocol=tcp to-addresses=192.168.88.11 to-ports=2222

результат тот же. Не конектится.

 

1. Маскарад настроен:
ip firewall nat add chain=srcnat out-interface=pptp action=masquerade
ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

2. Говорю же вообще нет никаких правил, по идее все должно быть разрешено.

3. На хосте 192.168.88.11 нет файрволов. Если подключаюсь через дырлинк, то все работает и пробрасывается.

 

Код:

1. /ip firewall export
# jan/02/1970 00:56:05 by RouterOS 6.7
# software id = CEEQ-CQTW
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pptp
add action=dst-nat chain=dstnat dst-port=1111 in-interface=pptp protocol=tcp to-addresses=192.168.88.11 to-ports=2222
add action=dst-nat chain=dstnat dst-port=1111 in-interface=ether1 protocol=tcp to-addresses=192.168.88.11 to-ports=2222

2. /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#  DST-ADDRESS  PREF-SRC  GATEWAY  DISTANCE

0 ADS  0.0.0.0/0  1.1.1.255  1
1 A S  1.1.1.1/32  172.16.23.1  1
2 ADS  1.1.1.16/28  172.16.23.1  1
3 ADC  1.1.1.255/32  1.1.1.209  pptp  0
4 ADS  172.16.0.0/16  172.16.23.1  1
5 ADC  172.16.23.0/24  172.16.23.120  ether1  0
6 ADC  192.168.88.0/24  192.168.88.1  LAN-bridge  0

3. /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#  ADDRESS  NETWORK  INTERFACE
0 D 172.16.23.120/24  172.16.23.0  ether1
1 D 1.1.1.209/32  1.1.1.255  pptp
2  192.168.88.1/24  192.168.88.0  LAN-bridge

ПС: к сожалению не работает вставка кода???

 

т.е. Вы хотите сказать, что снаружи все должно работать, а для проверки работоспособности нужно сделать запрос снаружи?
либо настроить Hairpin NAT?

Если та, то благодарю за ответ!

 

Благодарю!
Сейчас, к сожалению, нет возможности проверить снаружи. А хайрпин надо изучить.
Позже отпишусь о результатах.

 

Я сделал так и заработало, может кому пригодится, а то время было убито немеренно.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=1111 protocol=tcp \ to-addresses=192.168.88.11

 

Проверять с наружи!!!

 

Добрый день! У меня проблема с просмотром ip камеры извне. Я недопонял о 1.1.1.1. Прям так и прописывать? А обращаться извне на локальный ip камеры, 192.168.88.---?

 

Для того, что бы доступ к оборудованию был и из интернета и из локальной по одному и тому же (внешнему) ip адресу:

add action=dst-nat chain=dstnat dst-address=x.x.x.x (внешний адрес) in-interface=eth1 (название вашего интерфейса куда подключен провайдер) protocol=tcp to-addresses=192.168.1.100

add action=masquerade chain=srcnat dst-address=192.168.1.100

 

Простите. Можно я дополню. to-port=80. Для примера. Сервисы разные бывают. ))

 

1.1.1.1 внешний адрес. Обращаться на внешний адрес

 

Так ведь внешний адрес динамический. И почему стал двойной Nat? С TP LINK все работает.

 

А разве нельзя другой порт прописать?