Проброс портов в Mikrotik через VPN. Чегой-та не работает.

0

1

Собсна, вот. Микротик воткнут в локалку с единственным прибором (Moxa NPort, если что), ip-адреса у обоих прописаны руками (192.168.192.100 - Mikrotik, 192.168.192.50 - Moxa). На микротике поднят VPN-клиент для коннекта с удалённым офисом. Сеть между микротиком и офисом есть, всё коннектится и пингуется. Пинги с микротика до прибора во внутренней сети есть. Пытаюсь пробросить порт из VPN-сети в сеть за микротиком:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.192.50 to-ports=80 protocol=tcp in-interface=ovpn-out1 dst-port=80

И оно чего-то не работает... С этим микротиком даже не понять толком, то ли порт не пробрасывается, то ли сама Moxa отвечать не хочет. Возникает вопрос, а чего этой заразе не хватает, чтоб заработать?

Ссылка

←	Проброс папки из сервера на Leap в виртаульную Ubuntu (Qemu/kvm)

Определить AD Logon Server

→

даже не понять толком, то ли порт не пробрасывается правило норм

Проверяй что в /ip firewall filter и знает-ли moxa как вернуть пакет обратно

anonymous
(27.01.20 14:47:23 MSK)

Ответ на: комментарий от anonymous 27.01.20 14:47:23 MSK

е-б-у-ч-и-й маркдаун

anonymous
(27.01.20 14:48:14 MSK)

Ссылка

Ответ на: комментарий от anonymous 27.01.20 14:47:23 MSK

Да вроде всё разрешено:

/ip firewall filter
add action=accept chain=forward connection-nat-state="" connection-state=established,related log=yes log-prefix=forward
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid

robert_d
(27.01.20 15:03:48 MSK) автор топика

Ответ на: комментарий от robert_d 27.01.20 15:03:48 MSK

Да вроде всё разрешено:

если у тебя роутер голым ip смотрит в интернет, то напиши хоть минимальный fw.

У moxa в настройках default route есть? указан?

anonymous
(27.01.20 15:20:12 MSK)

С этим микротиком даже не понять толком

Ложь. Минимальный, но достаточный набор для диагностики сети:

Tools => Ping
Tools => Packet Sniffer
Tools => Torch
Tools => Traceroute
System => Logging

Turbid ★★★★★
(27.01.20 15:22:32 MSK)

Ответ на: комментарий от anonymous 27.01.20 15:20:12 MSK

Нету там default route. А fw опосля настрою. Щас оченно не хочется неправильным телодвижением перекрыть всё и потом в жопу мира переться восстанавливать.

robert_d
(27.01.20 15:52:15 MSK) автор топика

Ответ на: комментарий от Turbid 27.01.20 15:22:32 MSK

Packet Sniffer показывает хождение пакетов от 10.8.2.3 (удалённый комп) до 192.168.192.50:80 (Moxa), но обратно ничего нет.

robert_d
(27.01.20 15:55:07 MSK) автор топика

Ответ на: комментарий от robert_d 27.01.20 15:55:07 MSK

то ли порт не пробрасывается

счетчик на правиле увеличивается?

Turbid ★★★★★
(27.01.20 16:03:56 MSK)

Ответ на: комментарий от robert_d 27.01.20 15:52:15 MSK

Нету там default route.

тогда:

/ip firewall nat add chain=srcnat dst-address=192.168.192.50 protocol=tcp dst-port=80 action=masquerade

А fw опосля настрою.

Кнопка Safe mode (Ctrl+X в ssh) если отваливаешься от роутера то он отменяет все действия что были проделаны с момента нажатия этой кнопки. Пишешь все разрешающие правила, потом SafeMode, потом дропы.

anonymous
(27.01.20 16:18:48 MSK)

Ответ на: комментарий от anonymous 27.01.20 16:18:48 MSK

это в дополнение к твоему правилу

anonymous
(27.01.20 16:19:19 MSK)

Ссылка

Ответ на: комментарий от Turbid 27.01.20 16:03:56 MSK

Нет. 00 так и стоит.

robert_d
(27.01.20 16:24:35 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 27.01.20 16:18:48 MSK

action=masquerade Ну, как бы да. Я забыл, что обратно тож надо пропускать. В общем, заработало. Надо теперь на внешнем интерфейсе все порты закрыть нафиг и забыть про это вот всё.

robert_d
(27.01.20 16:37:19 MSK) автор топика