Снова проброс портов

RIP, OSFP, BGP, MPLS/VPLS
bootal
Сообщения: 2
Зарегистрирован: 10 апр 2019, 13:16

Снова проброс портов

Сообщение bootal »

Добрый день уважаемые форумчане.
Столкнулся с такой проблемой:
Есть hap lite. На нем проброшено куча портов и все они работают.
Возникла необходимость пробросить порт от камеры снаружи до регистратора за NAT.
Но к сожалению правило не работает, во вкладке firewall счетчик пакетов тикает, в NAT не тикает.
По логу эти пакеты попадают под proto tcp (syn) , сейчас как назло их в логах нету.
  • chain=forward action=accept protocol=tcp dst-port=5073 log=yes log-prefix=""

    chain=dstnat action=dst-nat to-addresses=192.168.10.73 to-ports=5073 connection-limit=100,32 protocol=tcp dst-address=82.144.202.120 in-interface=ether1 dst-port=5073 limit=1,5:packet dst-limit=1,5,dst-address/1m40s log=yes log-prefix="
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Добрый. В какой из вкладок firewall у вас тикает?

Попробуйте в NAT убрать всё лишнее из правила (типа limit'ов) и перепроверить.

Другое правило (выше по списку) не может перехватывать эти пакеты?
bootal
Сообщения: 2
Зарегистрирован: 10 апр 2019, 13:16

Re: Снова проброс портов

Сообщение bootal »

Chupaka писал(а): 10 апр 2019, 14:27 Добрый. В какой из вкладок firewall у вас тикает?

Попробуйте в NAT убрать всё лишнее из правила (типа limit'ов) и перепроверить.

Другое правило (выше по списку) не может перехватывать эти пакеты?
Тикает во вкладке Filter rules
Лимиты то я уже потом добавил без них тоже самое было
Специально перенес в верх списка так что не должно

Вот что пишет в логе по этим пакетам

Код: Выделить всё

15:27:12 firewall,info dstnat: in:ether1 out:(unknown 0), src-mac c4:64:13:fa:2f:d9, proto TCP (SYN), 195.34.74.171:41199->82.144.202.120:5073, len 52 
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Ну, значит, работает. Если правило записывает в лог - значит, счётчик на нём должен увеличиваться. Если он у вас не увеличивается - это мистика какая-то...
Sanya
Сообщения: 5
Зарегистрирован: 15 май 2019, 16:53

Re: Снова проброс портов

Сообщение Sanya »

Попробуйте, как минимум изменить правило на:
chain=dstnat action=netmap to-addresses=192.168.10.73 to-ports=5073 connection-limit=100,32 protocol=tcp dst-address=82.144.202.120 in-interface=ether1 dst-port=5073 limit=1,5:packet dst-limit=1,5,dst-address/1m40s log=yes log-prefix="
Sanya
Сообщения: 5
Зарегистрирован: 15 май 2019, 16:53

Re: Снова проброс портов

Сообщение Sanya »

Или вот так. По-моему, нигде не ошибся.

/ip firewall filter
add action=accept chain=forward dst-address=192.168.10.73 dst-port=5073 protocol=tcp
add action=netmap chain=dstnat dst-port=5073 in-interface=ether1 protocol=tcp to-addresses=192.168.10.73 to-ports=5073
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Sanya писал(а): 15 май 2019, 16:55 Попробуйте, как минимум изменить правило на:
chain=dstnat action=netmap
Шило на мыло же =) Для отдельных адресов (не подсетей) оно работает идентично.
Sanya
Сообщения: 5
Зарегистрирован: 15 май 2019, 16:53

Re: Снова проброс портов

Сообщение Sanya »

Да нет, по-моему.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Раскроете мысль?
Sanya
Сообщения: 5
Зарегистрирован: 15 май 2019, 16:53

Re: Снова проброс портов

Сообщение Sanya »

А что раскрывать то?
chain=dstnat action=netmap - так работает.
chain=dstnat action=dst-nat - так нет.
(по состоянию на некоторое время назад. но, думаю, что и сейчас ситуация не изменилась)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Видимо, это какое-то сильное колдунство... У меня всегда dst-nat работал, а netmap я не использую за ненадобностью. Видел пару раз, как люди жаловались, что dst-nat не работает — но всегда дело было в корявом конфиге.
Sanya
Сообщения: 5
Зарегистрирован: 15 май 2019, 16:53

Re: Снова проброс портов

Сообщение Sanya »

У меня нет большого опыта с микротиками, но в парочке мест доступ к камерам был именно с помощью netmap. А dst-nat, увы не работал.
mils77
Сообщения: 1
Зарегистрирован: 15 июн 2020, 11:41

Re: Снова проброс портов

Сообщение mils77 »

Подскажите пожалуйста.
Есть mikrotik который является шлюзом 192.168.88.1
Решил создать vlan для камер 192.168.89.1
Как пробросить порты вовне на несколько устройств из 192.168.89.1?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Снова проброс портов

Сообщение Chupaka »

Наверное, вовнутрь извне, а не вовне... Собственно, как всегда, правилом DST-NAT: https://wiki.mikrotik.com/wiki/Talk:For ... nternal_IP