Russian Users MikroTik | Форум пользователей MikroTik

Изначальные данные:
1)Провайдер Onlime с функцией интерактивного ТВ. До подключения этой функции стоял сервер на linux с 2 портами(local и internet) и на нем крутились все необходимые сервисы. После изучения вопросы и понятия, как multicast(необходимый для ТВ) может нагружать сеть(и Wi-FI), сервак и т.п. + было желание заменить сервер на Rasberry с 1 сетевой картой, а все функции по роутеру переложить на Mikrotik.
После несколько дней настройки и понимания, как нужно сделать ситуация следующая:
1)На входе RouterBOARD 750G r2(5 портов)
1,2 порт - заведены в Bridge 1, на нем настроен внешний ип-адрес.
1-порт воткнут интернет
2-порт воткнута ТВ приставка(она получила тоже адрес от провайдера и работает , как положено)
3,4,5 порт - заведены в Bridge 2,на нем настроен внутренний ип-адрес, поднят DHCP.
Добавлено единственное правило Маскарада srcnat на bridge1. Сейчас все в порядке, выдаются внутренние адреса для техники, интернет есть.
Был подключен сервер в 4 порт, получил внутренний ип. Теперь необходимо на него пробросить все сервисы, для начала хотя бы(ssh,www и т.п.) из интернета. Для этого переназначил порты сервисов Mikrotik, чтобы не было конфликтов.
Перепробывал стандартные методы в интернете(Когда 1 bridge), 1 Wan, и все остальные в локалку.. Пакеты видно идут, но связи из интернета нет.. Толи обратно не уходят, толи других правил не хватает(


P.S. Есть идея повесить сервак, как и приставку ТВ. Тогда я думаю проблем не будет, так как у нее вообще будет скорее всего внешний динамический ИП от провайдера. Но хотелось бы, чтобы он был именно в локальной сети с полным доступ в локалке и ограниченным из интернета, а в данном случае тогда придется прописывать(пробрасывать) порты в локалку и более жестко прописывать правила доступа в Фаерволле.

1. Отключить все правила фаерволла. Хотя бы временно.
2. Убедиться, что провайдер выдаёт вам белый адрес.
3. Убедиться, что на сервере, к которому вы подключается, шлюзом указан микротик.
4. Проверку подключения проверять не с компьютера в локальной сети, а именно из внешней сети, например, с мобильного телефона. Чтобы подключаться из локальной сети на внешний адрес нужно дополнительно настраивать на микротике харпин нат. Но сначала нужно добиться чтобы все работало из внешней сети.
5. Уточнить у провайдера. Не блокирует ли он доступ по стандартным портам? Возможно придётся перейти на нестандартные порты.

Раз конфига и подробностей нет, то ответ такой:
1. пробрасываешь нужный протокол и порт с порта 1 (или бриджа 1) на бридж 2 ip сервера
2. разрешаешь форвард нужного протокола и порта с порта 1 (или бриджа 1) на бридж 2 ip сервера

algerka писал(а):Раз конфига и подробностей нет, то ответ такой:
1. пробрасываешь нужный протокол и порт с порта 1 (или бриджа 1) на бридж 2 ip сервера

Если я не ошибаюсь, в пробросе (dsn-nat) можно задать только входящий интерфейс, указать исходящий (в данном примере бридж 2) нельзя.
Да и исходящий и не нужен, роутер знает где искать айпи локальный.

gmx писал(а):1. Отключить все правила фаерволла. Хотя бы временно.
2. Убедиться, что провайдер выдаёт вам белый адрес.
3. Убедиться, что на сервере, к которому вы подключается, шлюзом указан микротик.
4. Проверку подключения проверять не с компьютера в локальной сети, а именно из внешней сети, например, с мобильного телефона. Чтобы подключаться из локальной сети на внешний адрес нужно дополнительно настраивать на микротике харпин нат. Но сначала нужно добиться чтобы все работало из внешней сети.
5. Уточнить у провайдера. Не блокирует ли он доступ по стандартным портам? Возможно придётся перейти на нестандартные порты.

1)Сейчас сижу на микротике через ddns с работы, проблем нет.
2)Сервер получает настройки по dhcp(как и все остальные клиенты внутри локальной сети), с него пингуется внешний мир(вчера ставил некоторые сервисы на нем)
3)Проверяю, естественно с телефона.
4)Провайдер не блокирует, так как, повторюсь, ранее вместо микротика, стоял сервер напрямую и все сервисы были доступны. Сейчас же в цепочку лишь добавился Микротик с хитрой настройкой 2 Bridge

Да забудьте (почти) Вы про первый (или будем его называть бридж-WAN).
Его задача коммутация внешнего трафика для доп-устройств.
Лучше покажите как (команду, или скрин) Вы делаете этот проброс?
А то всё расписали и сам проброс не показали...

Для размышления.. Как видите пакеты в NAT'e идут.. Но что по 80, что по 443 браузер ничего не открывает. (Хотя должна открываться базовая страница nginx). Или хотя бы 55 порт, это ssh.

amnesiastar писал(а):Для размышления.. Как видите пакеты в NAT'e идут.. Но что по 80, что по 443 браузер ничего не открывает. (Хотя должна открываться базовая страница nginx). Или хотя бы 55 порт, это ssh.

1) Покажите закладки этого dst-nat правила (2-е вкладки: первую(генерал) и вкладку акшион)
2) Правило dst-nat поставьте для начала первым, после него маскарадинг
3) с вашей линукс машины пинги идут нормально?

1)Правило поставил
2)В данный момент попасть на сервак не могу, так как в этом и проблема с пробросом портов=). Но вчера из локальной сети, когда не было правил, кроме маскарада. Я его и обновлял, и пинговал внешние и внутренние ресурсы и т.п.

amnesiastar писал(а):1)Правило поставил
2)В данный момент попасть на сервак не могу, так как в этом и проблема с пробросом портов=). Но вчера из локальной сети, когда не было правил, кроме маскарада. Я его и обновлял, и пинговал внешние и внутренние ресурсы и т.п.

Вот теперь, на вкладке Генерал, в поле In-interface (укажите Ваш внешний бридж, не локальный...а внешний, могли бы их назвать и по-разному)
и попробуйте, и сделайте уже правило не только 80 и 443, ну и сразу 22 порта и тестируйте...