Имеется беспроводной мост на базе двух NanoBeam M5, оба устройства настроены в режиме bridge, ipадреса 192.168.88.235, 192.168.88.236. По мосту ходит Инет. Принимает Инет роутер Mikrotikx86, ip адрес внутренний 192.168.78.1, ip адрес внешний 192.168.88.6 на интерфейсе ether1(на нём висит Инет по PPPoE. Pingдо устройств идёт, но только от самого микротика. На роутере настроено NATmasquerade, Firewall, есть ещё маркировка и балансировка, но она в данных момент отключена, только маркировка работает. Задача состоит в следующем: нужен доступ на WEBуправление NanoBeam M5, из внутренней сети 192.168.78.0/24. Знаю что надо прописать маршрут, но я уже прописывал, всё без толку. Некий динамический маршрут присутствует на микротике. Что интересно ставил обычный роутер Keenetic, прописал маршрут и всё работало, а на тике так не прокатывает. Люди! У кого какие соображения по этому поводу? Динамический маршрут Все маршруты: /ip route add disabled=yes distance=1 gateway="(unknown)" routing-mark=to-isp1 add distance=1 gateway=ether2 routing-mark=to-isp2 add check-gateway=ping distance=1 gateway=109.200.00.23 add disabled=yes distance=1 gateway="(unknown),(unknown)" add distance=1 dst-address=192.168.88.0/24 gateway=ether1
/ip firewall nat add action=masquerade chain=srcnat comment=nat1 out-interface=pppoe-out1 add action=masquerade chain=srcnat out-interface=ether2 to-addresses=0.0.0.0 Но второе правило сейчас не используется.
Внимание! Добавил правило /ip firewall filter add chain=forward protocol=icmp, пошёл пинг до устройств 192.168.88.236 и 192.168.88.235. Что же это получается маршрут добавлен верно? А где то может фаервол доступ блокирует?
Ну отключите правила фаервола на время, по тестируйте. Еще я бы попробовал правило NAt добавить add action=masquerade chain=srcnat out-interface=ether1
Всё, проблема решена уважаемые камрады! Перво наперво на входящем извне интерфейсе ether1, изменил адрес на 192.168.88.1, возможно не зря - в устройствах NanoBeam M5 этот адрес указан в качестве шлюза. Динамический маршрут существовал и ранее и было создано правило в фаервол add chain=forward src-address=192.168.88.0/24. Внимание! Никаких статических маршрутов не добавлял. Затем, что интересно надо было поднять правило лишь выше правила add action=drop chain=forward dst-address=192.168.78.0/24. И всё заработало! Круто! Я в восторге! Всем спасибо уважаемые камрады!
Для тех кому интереано - правила фаервола до изменений: ip firewall filter add chain=input comment="access to winbox" dst-port=8291 in-interface=\ pppoe-out1 protocol=tcp add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \ protocol=tcp add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \ protocol=tcp add chain=forward comment="access to web2" dst-port=80 in-interface=ether1 \ protocol=tcp add chain=input protocol=icmp add chain=forward protocol=icmp add chain=input connection-state=established in-interface=pppoe-out1 add chain=input connection-state=related in-interface=pppoe-out1 add chain=input connection-state=related disabled=yes in-interface=ether2 add chain=input connection-state=established disabled=yes in-interface=ether2 add chain=input dst-port=1723 in-interface=pppoe-out1 protocol=tcp add chain=input in-interface=pppoe-out1 protocol=gre add action=drop chain=input in-interface=pppoe-out1 add action=drop chain=input disabled=yes in-interface=ether2 add chain=forward comment=erhov2 dst-address=192.168.78.13 add chain=forward comment=dvorecki dst-address=192.168.78.35 add action=drop chain=forward dst-address=192.168.78.0/24 add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\ customer add chain=customer connection-state=established add chain=customer connection-state=related add action=drop chain=customer add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\ customer add chain=customer connection-state=established add chain=customer connection-state=related add action=drop chain=customer
Для тех кому интересно - правила фаервола после изменений, но только нижняя часть: add chain=forward src-address=192.168.88.0/24 add action=drop chain=forward dst-address=192.168.78.0/24 add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\ customer add chain=customer connection-state=established add chain=customer connection-state=related add action=drop chain=customer add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\ customer add chain=customer connection-state=established add chain=customer connection-state=related add action=drop chain=customer
