Настройка NAT

Тема в разделе "Маршрутизация", создана пользователем Олег1990, 27 дек 2016.

  1. Олег1990

    Олег1990 Участник

    Здравствуйте! Создал правила проброса портов на вкладке IP -> Firewall -> NAT. Но почему-то передача битов и пакетов стоит на нуле. В чем может быть проблема? Микротик1.jpg
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Если правильно вижу вы src и dst адреса неправильно поставили.
    src-address = адрес отправителя. В большинстве случаев он неизвестен.
    dst-address= ваш внешний адрес. Если он один, его можно не указывать. Достаточно in-interface.
     
  3. Олег1990

    Олег1990 Участник

  4. Kato

    Kato Участник

    еще раз перечитайте.
    по вашему скрину, явно не по этой
     
  5. Олег1990

    Олег1990 Участник

    Вопрос: в сети есть 2 web-сервера. Как прописать проброс портов, чтобы с внешнего ip-адреса роутера заходить можно было и на 1 и на 2-ой? Так как они работают на одних и тех же портах
     
  6. Олег1990

    Олег1990 Участник

    Как перенести правило проброса из PFsense (см скриншот) в Микротик? nat.jpg Каким образом будет прописано данное правило на Микротике?
     
  7. Олег1990

    Олег1990 Участник

    переделал правило (см скриншот). Но работать все равно не хочет
     

    Вложения:

    • miknat.jpg
      miknat.jpg
      Размер файла:
      184,2 КБ
      Просмотров:
      12
    • miknat1.jpg
      miknat1.jpg
      Размер файла:
      138,4 КБ
      Просмотров:
      11
  8. Dmitry_S

    Dmitry_S Участник

    а вы как проверяете?
     
  9. Олег1990

    Олег1990 Участник

    во-первых, в полях bytes и packets значения на нуле, во-вторых, когда я пытаюсь зайти на web-сервер с внешнего ip-адреса (например, с чужого интернета), (т.е. внешний_ip-адрес_роутера:80), то ничего не происходит.
     
  10. Dmitry_S

    Dmitry_S Участник

    Во-первых, обращаться с чужого компьютера нужно на внешний_ip-адрес_роутера:8033
    Во-вторых, проверьте, что бы на чужом роутере этот порт был открыт на выход
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Это говорит о том, что пакет не приходит на маршрутизатор или обрабатывается вышестоящим правилом.
     
  12. Олег1990

    Олег1990 Участник

    все заработало. На чужом интернете (подключаюсь на ноутбуке, который берет интернет от Wi-Fi-точки на телефоне) ввел внешний ip роутера с портом 8033 зашел на web-сервер.

    Теперь еще одна проблема. Как связать ip-телефонию на базе астериск и mikrotik. Какие правила я должен прописать в NAT?
     
  13. lucoil

    lucoil Новый участник

    Чтобы не плодить темы спрошу тут , есть микротик за ним два сервера которые принимают некие данные, программа и порты на этих серверах одинаковая т.е. сделано что то типа зеркала, ip адреса внутренние разные,внешний один, возможно ли сделать проброс с одного внешнего адреса на два внутренних с одинаковыми портами?
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Если внешние порты будут разными - возможно.
    Так же возможно, если внешний порт один и тот же, но адреса отправителей фиксированные и вы их знаете.
     
  15. Олег1990

    Олег1990 Участник

    что-то опять не работает проброс портов upload_2017-1-11_16-31-27.png
     
  16. Олег1990

    Олег1990 Участник

    может у кого было такое? Не подскажите? Опять не могу зайти с чужого интернета на web-server по порту 8033. Хотя на роутер через внешний ip захожу нормально.
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Как вариант в "чужом Интернет" заблокированы порты.
     
  18. Олег1990

    Олег1990 Участник

    а можно ли на микротике проверить как-нибудь открыт ли порт 80 или нет?
     
  19. Олег1990

    Олег1990 Участник

    С другого интернета теперь вообще в роутер не могу зайти по внешнему адресу. Внутри сети из локалки через внешний ip-адрес заходит.
     
  20. Олег1990

    Олег1990 Участник

    Вывод ip firewall export
    Код:
     /ip firewall> /ip firewall export
    # jan/16/2017 11:51:54 by RouterOS 6.34.2
    # software id = PCJS-UAB5
    #
    /ip firewall address-list
    add address=192.168.1.8 list=staffcop2
    /ip firewall filter
    add chain=input comment="defconf: accept ICMP" protocol=icmp
    add chain=forward protocol=icmp
    add chain=input comment="defconf: accept establieshed,related" connection-state=established,relate
    add chain=forward comment="defconf: accept established,related" connection-state=established,relat
    add chain=forward in-interface=ether2-master protocol=tcp src-address=192.168.1.0/24
    add chain=input dst-port=53 in-interface=ether2-master protocol=udp src-address=192.168.1.0/24
    add chain=forward in-interface=ether2-master src-address=192.168.1.0/24
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
        established,related
    add action=drop chain=input comment="Drop flood port 53" dst-port=53 in-interface=pppoe-out1 \
        protocol=udp
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" \
        connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
    add action=dst-nat chain=dstnat dst-port=8033 in-interface=pppoe-out1 protocol=tcp to-addresses=\
        192.168.1.8 to-ports=80
    add action=dst-nat chain=dstnat dst-port=8033 in-interface=pppoe-out1 protocol=udp to-addresses=\
        192.168.1.8 to-ports=80
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set sip disabled=yes
    set pptp disabled=yes