Изъезженная тема, Но: реально не могу открыть порт

Видимо что-то где-то ошибся в наборе адреса.
Для прохождения пингов и пакетов достаточно этого, пинги сервера идут, syn пакеты уходят, получаю ответ rst ack

Далее все проделал, но картина вообще не понятна. src masquerade счетчик вообще не реагирует, только если запрашиваю не сущ ip, и dst-nat тоже молчит.
Не особо картина изменилась после того как локально кабелями расключил. Если не ошибаюсь та же ситуация у меня и была когда схема была через wifi.
Ситуация такова, все обращения в пределах 192.168.1.0/24 трафик ходит по LAN интерфейсу, оно так и правильно должно быть. Все обращения ! 192.168.1.0/24 идут через WAN интерфейс. Мне не надо чтоб вся моя сеть могла обращаться на мой внешний ip из вне. Нужно для одного клиента, например 192.168.1.150 чтобы мог обратится к внешнему ip через WAN из вне.

 

правило для Masquarade измените на явное правило не для всей сети а для конкретного адреса дописав его в раздел src-address

src-address=192.168.1.150
доводим до состояния
/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.1.150 out-interface=WAN

в этом случае (при отсутствии иных правил в разделе src-nat) мы получим ограничение работы правила только для одного адреса из локальной сети (192.168.1.150) - криво но пригодно к эксплуатации (а если адресов 10 - 40 - 100 делать 100 правил под каждого уже не удобно нужно иначе делать но для одного адреса сойдет)
Если сервер не с адресом 192.168.1.150 то он не сможет отвечать на запросы извне тоже (и на те, что придут ему по dst-nat каналу) ...
для примера я использовал адрес .1.100 для сервера который должен отвечать на запросы порта 5029 ... (я так описал тестовый стенд в начале, если в вашей сети он другой - я могу об этом только догадываться т.к. даже карандашного наброска желаемой схемы с адресацией не прислали)

По поводу счетчиков
правило src-nat Masquarade должно реагировать на все пакеты из внутренней сети на 192.168.25.1 (клиент за WAN)

Правило dst-nat должно реагировать при пакетах ТОЛЬКО на TCP 5029 пришедшие на 192.168.25.2 порт 5029 (WAN адрес Вашего роутера) их можно отправить из банального браузера зайдя по прямой ссылке http://192.168.25.2:5029 - это не будут пакеты предназначенные для ВАШЕГО сервиса и сформированы они буду иначе но - они пройдут через счетчик пакетов и изменят его статистику
И Важно что это нужно делать с того компьютера который подключен к порту WAN и имеет адрес 192.168.25.1

По поводу wifi
Таки ДА все должно так-же работать и через него если все настроено правильно но когда нет полной уверенности что все настроено правильно нужно сокращать количество сущностей, влияющих на результат теста и по мере расширения успеха подключать новые блоки добиваясь предсказуемой работы

Видя как эквилибристы стоя на сборке из 6-8 обрезков труб жонглируют предметами в цирке - не стоит считать что став на 4 Вы тоже сможете повторить их результат ...
Я думаю что стоит начать с 1 обрезка трубы и добившись устойчивого результата добавлять следующий ...
Так же и с WiFi ... если не работает так как вы ожидаете Базовая часть то вести речь о расширении - на мой взгляд несвоевременно

 

Привет всем!
Я на этом форуме впервые, и очень рад тому что он живой. Что люди читают проблему, не видя реальной картины пытаются тебе помочь, пишут в ответ целые "мемуары". Хочу поблагодарить всех единомышленников. Честно говоря я очень увлекся и отдалился от своей темы "базовая" настройка для дома на 5 клиентов Я не специалист в сетевых технологиях, но какие-то понятия приобрел благодаря своему интересу к определенным задачам. Несколько лет назад взял в аренду VPS в немецком дата центре, и практически сам ее настроил без чей либо помощи. Пришлось много прочитать и понять про принципы работы TCP IP, для того чтобы сделать настройку MSS и ускорить свой OpenVPN и многое другое. По ходу изучения работы netfilter для работы с iptables я стал параноиком По ходу базовой настройки фильтра, я углубился во многие тонкости некоторых протоколов и служб. Узнал как минуя netfilter можно пересылать информацию с хоста. Не было времени сделать свой Firewall с роутером на базе типа "малинка". Потому как понял что все эти мыльницы для дома, это полная фуйня и набебалово! Очень жалею сейчас, что так поздно приобрел Mikrotik. С моей точки зрения Mikrotik много чего сделал в плане сетевых решений в своих устройствах, та же Linux но уже настроенная со всеми фишкми. Моя цель не просто настроить гаджет, а используя решения очень грамотных специалистов создавших Mikrotik, настроить сеть и исследование в плане безопасности. Но одного хотения мало, надо читать документацию. А у нас как? Пистанул правило, работает, не работает, там покрутил, здесь посмотрел. Это не дело. Если гуглить, толком ничего нет, всюду пишут как настроить базу Mikrotik для запуска в работу, и есть несколько сетевых решений для нескольких задач. Вот еще вопрос к знающим. Устройство Firewall в Mikrotik очень схоже с ядром Linux. Есть ли различия? Или можно полностью использовать документацию для Linux ? Про небольшие отклонения в синтаксисе написания я речь не веду. Самое главное перед глазами иметь наглядную картину куда и что попадает, как и что выполняется...... Мне на самом деле очень интересно изучение и докопаться до истины, найти ошибки свои и чужие!!!