Доброго времени всем, сабж достался по наследству.
Имеем локалку 192.168.1.0/24
порт провайдера 1 eth01 - static
порт провайдера 2 eth06 - DHCP client
NAT
Краткая пред история:
провайдер 1 использовался как постоянный,в связи с нехваткой ширины канала подключили второй и пересели на него,первый выделился под нужды АТС(маркировка трафика и роут в по нужному IP в нужный порт eth01)
клиенты выходят в интернет через eth06 (новый провайдер) и все бы ничего,но вот проброс портов работать отказался...из вне подключиться по проброшенным портам не получается,причем проблема имеет динамический характер, то пускает из вне, то нет....
Не понятная работа проброса портов на RB3011
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
bst-botsman
- Сообщения: 219
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
п.5 и п.6 из шапки темы
а тогда будем смотреть-думать...
просто экстрасенсы в отпуске...
а тогда будем смотреть-думать...
просто экстрасенсы в отпуске...
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
-
aleksey.isupov
- Сообщения: 2
- Зарегистрирован: 10 ноя 2020, 17:54
bst-botsman писал(а): ↑10 ноя 2020, 18:14 п.5 и п.6 из шапки темы
а тогда будем смотреть-думать...
просто экстрасенсы в отпуске...
Код: Выделить всё
# nov/10/2020 22:33:44 by RouterOS 6.45.3
# software id = S2AY-EU6C
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED0A8C442D
/interface bridge
add name=LAN_SW1
/interface ethernet
set [ find default-name=ether7 ] disabled=yes speed=100Mbps
set [ find default-name=ether8 ] disabled=yes speed=100Mbps
set [ find default-name=ether9 ] disabled=yes speed=100Mbps
set [ find default-name=ether10 ] disabled=yes speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
set [ find default-name=ether1 ] comment=Megacom mac-address=28:28:5D:E8:55:0F name=sw1-eth01-wan speed=100Mbps
set [ find default-name=ether2 ] name=sw1-eth02 speed=100Mbps
set [ find default-name=ether3 ] name=sw1-eth03 speed=100Mbps
set [ find default-name=ether4 ] name=sw1-eth04 speed=100Mbps
set [ find default-name=ether5 ] name=sw1-eth05 speed=100Mbps
set [ find default-name=ether6 ] comment=Novotelecom name=sw2-eth06-wan speed=100Mbps
/interface pptp-server
add name=VPN-PPTP user=""
/interface ethernet switch port
set 5 default-vlan-id=0 vlan-mode=fallback
set 6 default-vlan-id=0 vlan-mode=fallback
set 7 default-vlan-id=0 vlan-mode=fallback
set 8 default-vlan-id=0 vlan-mode=fallback
set 9 default-vlan-id=0 vlan-mode=fallback
set 11 default-vlan-id=0 vlan-mode=fallback
/interface list
add name=WAN
add name=LAN
/ip pool
add name=DHCP ranges=192.168.1.2-192.168.1.254
add name=VPN ranges=192.168.255.2-192.168.255.24
/ip dhcp-server
add address-pool=DHCP disabled=no interface=LAN_SW1 lease-time=8h name=DHCP
/ppp profile
add local-address=192.168.255.1 name=PPTP remote-address=VPN use-encryption=yes
/interface bridge port
add bridge=LAN_SW1 interface=sw1-eth02
add bridge=LAN_SW1 interface=sw1-eth03
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=all
/interface detect-internet
set detect-interface-list=all internet-interface-list=all
/interface list member
add interface=sw1-eth01-wan list=WAN
add interface=sw1-eth02 list=LAN
add interface=sw1-eth03 list=LAN
add interface=LAN_SW1 list=LAN
/interface pptp-server server
set authentication=mschap2 default-profile=PPTP enabled=yes
/ip address
add address=192.168.1.1/24 interface=LAN_SW1 network=192.168.1.0
add address=XXX.XXX.XXX.XXX/20 interface=sw1-eth01-wan network=XXX.XXX.XXX.XXX
/ip dhcp-client
add dhcp-options=hostname,clientid interface=sw1-eth01-wan
add dhcp-options=hostname,clientid disabled=no interface=sw2-eth06-wan
/ip dhcp-server lease
add address=192.168.1.52 client-id=1:0:17:c8:55:fd:2 comment="Printers. P3050DN" mac-address=00:17:C8:55:FD:02 server=DHCP
add address=192.168.1.38 client-id=1:c8:d9:d2:b3:b0:61 comment="Printers. M426FDN" mac-address=C8:D9:D2:B3:B0:61 server=DHCP
add address=192.168.1.32 client-id=1:18:31:bf:30:ad:e5 comment="share tsc ttp-2410mt" mac-address=18:31:BF:30:AD:E5 server=DHCP
add address=192.168.1.30 client-id=1:40:61:86:e2:68:cf comment="share HP P1102" mac-address=40:61:86:E2:68:CF server=DHCP
add address=192.168.1.42 comment="Printers.Ricoh 220nw" mac-address=00:12:6F:F4:28:59 server=DHCP
add address=192.168.1.230 comment="Printers. FS4100DN" mac-address=00:17:C8:0D:FB:AB server=DHCP
add address=192.168.1.140 comment="CCTV. DVR" mac-address=00:12:17:64:47:C7 server=DHCP
add address=192.168.1.34 address-lists="" client-id=1:60:45:cb:5e:1f:ac comment="share M2040dn" mac-address=60:45:CB:5E:1F:AC server=DHCP
add address=192.168.1.33 client-id=1:d4:3d:7e:d9:10:40 comment="share HP LJ M1132" mac-address=D4:3D:7E:D9:10:40 server=DHCP
add address=192.168.1.224 comment=srv-pbx mac-address=00:15:5D:00:0D:00 server=DHCP
add address=192.168.1.11 client-id=1:0:17:c8:2f:ac:6a comment="Printers. M2040DN" mac-address=00:17:C8:2F:AC:6A server=DHCP
add address=192.168.1.49 client-id=1:60:12:8b:db:eb:c1 comment="Printers. LBP712Cx" mac-address=60:12:8B:DB:EB:C1 server=DHCP
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=XXX.XXX.XXX.XXX,77.88.8.8,8.8.8.8
/ip dns static
add address=192.168.1.223 name=srv-app01
/ip firewall address-list
add address=XXX.XXX.XXX.XXX=PBX
add address=XXX.XXX.XXX.XXX=RDP
add address=XXX.XXX.XXX.XXX=RDP
add address=XXX.XXX.XXX.XXX=RDP
add address=XXX.XXX.XXX.XXX=RDP
add address=XXX.XXX.XXX.XXX=RDP
add address=XXX.XXX.XXX.XXX
/ip firewall filter
add action=accept chain=input disabled=yes dst-port=8291 in-interface=sw1-eth01-wan log-prefix=fw protocol=tcp
add action=accept chain=input disabled=yes dst-port=8291 in-interface=sw2-eth06-wan protocol=tcp
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input in-interface=!sw2-eth06-wan protocol=icmp
add action=accept chain=input in-interface=!sw1-eth01-wan protocol=icmp
add action=drop chain=input disabled=yes
add action=drop chain=input dst-port=53 in-interface=sw1-eth01-wan protocol=udp
add action=drop chain=input dst-port=53 in-interface=sw2-eth06-wan protocol=udp
add action=reject chain=input dst-port=22,80,8291 in-interface=sw1-eth01-wan protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input dst-port=22,80,8291 in-interface=sw2-eth06-wan protocol=tcp reject-with=icmp-network-unreachable
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=224 passthrough=no src-address=192.168.1.224
add action=mark-connection chain=forward in-interface=sw1-eth01-wan new-connection-mark=in_wan1_for
add action=mark-routing chain=prerouting connection-mark=in_wan1_for new-routing-mark=in_wan1_for passthrough=yes src-address=192.168.1.0/24
add action=mark-connection chain=forward in-interface=sw2-eth06-wan new-connection-mark=in_wan2_for passthrough=yes
add action=mark-connection chain=prerouting new-connection-mark=in_wan2_for passthrough=yes src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sw2-eth06-wan
add action=masquerade chain=srcnat out-interface=sw1-eth01-wan out-interface-list=WAN
add action=dst-nat chain=dstnat comment=RDP dst-port=3389 in-interface=sw2-eth06-wan log-prefix=rdp protocol=tcp src-address-list=RDP \
to-addresses=192.168.1.200 to-ports=3389
add action=dst-nat chain=dstnat dst-port=3389 in-interface=sw1-eth01-wan log-prefix=rdp protocol=tcp src-address-list=RDP to-addresses=\
192.168.1.200 to-ports=3389
add action=dst-nat chain=dstnat comment="Seafile WEB" dst-port=8000 in-interface=sw2-eth06-wan log-prefix=sf protocol=tcp to-addresses=\
192.168.1.222 to-ports=8000
add action=dst-nat chain=dstnat comment="Seafile Desktop" dst-port=8082 in-interface=sw2-eth06-wan log-prefix=sf protocol=tcp to-addresses=\
192.168.1.222 to-ports=8082
add action=dst-nat chain=dstnat comment="UC Elastix. Web front" dst-port=8765 in-interface=sw2-eth06-wan log-prefix=PBX protocol=tcp \
to-addresses=192.168.1.224 to-ports=443
add action=dst-nat chain=dstnat comment="UC Elastix. SIP" dst-port=5060 in-interface=sw2-eth06-wan log=yes log-prefix=PBX protocol=udp \
src-address-list=PBX to-addresses=192.168.1.224 to-ports=5060
add action=dst-nat chain=dstnat comment="UC Elastix. RTP" dst-port=10000-20000 in-interface=sw2-eth06-wan log=yes log-prefix=PBX protocol=udp \
src-address-list=PBX to-addresses=192.168.1.224 to-ports=10000-20000
add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface=sw2-eth06-wan protocol=udp src-address=XX.XXX.XX.XXX src-port="" \
to-addresses=192.168.1.224 to-ports=10000-20000
/ip route
add distance=1 gateway=sw1-eth01-wan routing-mark=224
add distance=1 gateway=sw2-eth06-wan routing-mark=wan2
add distance=1 gateway=sw1-eth01-wan routing-mark=wan1
add distance=2 gateway=XX.XXX.XXX.XX
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set color-scheme=light default-screen=informative-slideshow enabled=no flip-screen=yes read-only-mode=yes touch-screen=disabled
/lcd pin
set pin-number=0700
/ppp secret
add name=parshin profile=PPTP routes=192.168.255.1 service=pptp
add name=branch profile=PPTP routes=192.168.255.1 service=pptp
add name=ppp-chita profile=PPTP service=pptp
/system clock
set time-zone-name=Asia/Novosibirsk
/system identity
set name=ro-o-RB3011-01
/system leds
set 0 disabled=yes
/tool graphing interface
add interface=sw1-eth01-wan
/tool traffic-monitor
add disabled=yes interface=sw1-eth01-wan name=tmon1 threshold=0 trigger=always
add disabled=yes interface=sw1-eth01-wan name=tmon2 threshold=0 traffic=received trigger=always