Проброс портов через EoIP туннель

Тема в разделе "Маршрутизация", создана пользователем botcau, 22 апр 2019.

  1. botcau

    botcau Новый участник

    Здравствуйте! Помогите пожалуйста решить задачу.
    Между двумя микротиками поднят EoIP туннель, в одну сеть 192.168.111.0/24. Микротик А - 192.168.111.2, микротик Б - 192.168.111.1. Все прекрасно работает.
    Появилась необходимость пробросить порт с микротика А на устройство(192.168.111.50) за микротиком Б, пишу правило на микротике А:

    /ip firewall nat
    add action=netmap chain=dstnat dst-port=31234 in-interface=ISP protocol=tcp to-addresses=192.168.111.50 to-ports=31234

    Т.к. шлюзы на микротиках А и Б разные, поисками по форумам прихожу к пониманию что пакеты с микротика А на 192.168.111.50 приходят, но микротик Б пытается передать ответные пакеты через свой маршрут. Поисками по форумам нашел рабочее решение которое немного мне не подходит:

    На микротике А:
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-port=31234 in-interface=ISP new-routing-mark=testmark passthrough=no protocol=tcp

    На микротике Б:
    /ip route
    add distance=1 gateway=192.168.111.2 routing-mark=testmark

    /ip route rule
    add dst-address=192.168.111.0/24 src-address=192.168.111.50/32 table=main
    add src-address=192.168.111.50/32 table=testmark
    add action=drop src-address=192.168.111.50/32

    При таких настройках проброс порта работает корректно, но перестает работать RDP при обращении из локальной сети 192.168.111.0/24 на устройство 192.168.111.50

    Помогите люди добрые, я в маркировке пакетов и маршрутизации трафика так себе. Как правильно настроить, если можно то примеры с кодом.
     
    Последнее редактирование: 22 апр 2019
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Тут вместо Netmap пишем dstnat
    А это зачем? У них сети в одном сегменте и она Connected. Лишнее.

    На Роутере B у вас должно быть что-то типа

    /ip route
    add distance=1 gateway=192.168.111.2 routing-mark=testmark

    /ip firewall mangle
    add chain=prerouting src-address=192.168.111.50 protocol=tcp src-port=31234 action=mark-routing
    new-routing-mark=testmark
    То есть только ответы с сервера, с этого порта закидываем на роутер A.