Только не смейтесь с меня громко...
Мой ребус:
-mikrotik hex S 6.45.8
-три входящие линии (PPPoE1, PPPoE2 и PPPoE3)
-локальные пользователи 192.168.88.1-192.168.88.203
-пользователь 192.168.88.204
-пользователь 192.168.88.205
-пользователи 1-203 должны пользоваться интернетом PPPoE1
-пользователь 204 должен пользоваться интернетом PPPoE2
-пользователь 205 должен пользоваться интернетом PPPoE3
-на пользователей 204 и 205 надо подключаться из мира по 22, 80 и 443
Я намудрил:
-в MANGLE добавил след правила
[admin@MikroTik] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough
1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough
3 ;;; , , 204 205 " "
chain=input action=mark-connection new-connection-mark=ISP1-input passthrough=no
dst-address=213.231.1.12 in-interface=Bitrix_24 log=no log-prefix=""
4 chain=output action=mark-routing new-routing-mark=ISP1 passthrough=no
connection-mark=ISP1-input log=no log-prefix=""
5 chain=prerouting action=mark-routing new-routing-mark=204 passthrough=no
src-address=192.168.88.204 dst-address-list=!local log=no log-prefix=""
6 chain=input action=mark-connection new-connection-mark=ISP2-input passthrough=no
dst-address=213.231.1.16 in-interface=Real_Estate log=no log-prefix=""
7 chain=output action=mark-routing new-routing-mark=ISP2 passthrough=no
connection-mark=ISP2-input log=no log-prefix=""
8 chain=prerouting action=mark-routing new-routing-mark=205 passthrough=no
src-address=192.168.88.205 dst-address-list=!local log=no log-prefix=""
-в ROUTES добавил два маршрута
-в NAT пробросил нужные порты
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Bitrix_24
chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=22 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=222 log=no log-prefix=""
1 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=22 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=222 log=no log-prefix=""
2 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=80 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=80 log=no log-prefix=""
3 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=90 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=80 log=no log-prefix=""
4 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=443 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=443 log=no log-prefix=""
5 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=443 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=443 log=no log-prefix=""
6 ;;; Real_Estate
chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=22 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=222 log=yes
log-prefix="NET ON 205:222"
7 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=22 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=222 log=yes
log-prefix="NET IN ON 205/222"
8 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=80 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=80 log=no log-prefix=""
9 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=80 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=80 log=no log-prefix=""
10 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=443 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=443 log=no log-prefix=""
11 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=443 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=443 log=no log-prefix=""
12 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
В итоге правила в MANGLE мешают попасть на нужные порты, но с этими правилами 204 и 205 уходят, куда надо.
Я предполагаю, что надо пользователям 204 и 205 надо объяснить, что ходить в интернет нужно не "в один конец", а "туда и обратно".
Помогите решить ребус, пжлста...
Намудрил с настройкой MANGLE
-
its_noyfb
- Сообщения: 2
- Зарегистрирован: 09 мар 2020, 15:56
-
Chupaka
- Сообщения: 3910
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Намудрил с настройкой MANGLE
Что значит "мешают попасть на нужные порты"? Как вы проверяете и что идёт не так, как вы ожидаете?
-
its_noyfb
- Сообщения: 2
- Зарегистрирован: 09 мар 2020, 15:56
Re: Намудрил с настройкой MANGLE
я разобрался... из мира можно попасть на порты...
я, находясь в локальной сети (192.168.88.189), выходил из 213.231.1.103, шёл на 213.231.1.12:222, чтоб попасть на 192.168.88.204:22 и у меня не получалось
а всё потому, что для этого надо прописывать правила в НАТ
просто из мира попасть куда надо получается
мне очень стыдно за свою глупость...
я, находясь в локальной сети (192.168.88.189), выходил из 213.231.1.103, шёл на 213.231.1.12:222, чтоб попасть на 192.168.88.204:22 и у меня не получалось
а всё потому, что для этого надо прописывать правила в НАТ
просто из мира попасть куда надо получается
мне очень стыдно за свою глупость...
-
Chupaka
- Сообщения: 3910
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Намудрил с настройкой MANGLE
Ну, это не то, чтобы глупость, но небольшой костыль, называется Hairpin NAT: https://wiki.mikrotik.com/wiki/Hairpin_NAT