Zdravím,
chci se poradit s jedním problém, s kterým už si hraju několik hodin a už mi docházejí nápady. Mám dva MK - jeden hlavní, na kterém běží DHCP server a routuje z neveřejné internetové adresy (192.168.122.195) do vnitřní sítě. IP LAN toho routeru je 192.168.141.1. Na LAN je druhý MK s adresou 192.168.141.11 a slouží jako AP a přesměrovává provoz včetně DHCP na hlavní router. Vše funguje správně, ale nevím si rady s nastavením přístupu zvenku na ten druhý MK. Na hlavním MK jsem nastavil dst-nat:
1 ;;; P esm rov n WinBox na 141.11
chain=dstnat action=dst-nat to-addresses=192.168.141.11 to-ports=8291
protocol=tcp dst-port=7000
2 ;;; default configuration
chain=srcnat action=masquerade src-address=192.168.141.0/24
Ve Filter Rules:
3 ;;; VPN
chain=input action=accept protocol=tcp src-address=91.xxx.x.xxx
in-interface=ether1-gateway
4 chain=input action=accept src-address=10.255.250.0/24
in-interface=ether1-gateway
5 chain=input action=accept protocol=udp src-address=10.255.254.0/24
dst-port=161
6 chain=input action=accept protocol=tcp src-address=192.168.141.0/24
Na hlavní MK se bez problémů zvenku dostanu. Ale na ten druhý (ten je nastavený pouze tak, aby dělal bridge mezi wifi a ethernetem) přes ten port 7000 již ne. Když se na hlavním routeru podívám do pravidla na překlad adres na ten port 8291 druhého routeru, tak je vidět, že funguje. Když odešlu požadavek z mého počítače, tak se přeloží a přes to pravidlo odejde - ale už se nevrátí. Na druhém routeru nemám v nat nastaveno nic.
Zkoušel jsem přesměrovat i jiné porty, ale nefunguje ani to. Není tam třeba potřeba přidat ještě nějaké další pravidlo?
Díky za radu.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Port forwarding
;;; P esm rov n WinBox na 141.11
chain=dstnat action=dst-nat to-addresses=192.168.141.11 to-ports=8291
protocol=tcp dst-port=7000
doplnil bych tam jeste dst-address= IP toho venkovniho routeru..mozna to tam byt nemusi..ale zkus to tam pridat.
chain=dstnat action=dst-nat to-addresses=192.168.141.11 to-ports=8291
protocol=tcp dst-port=7000
doplnil bych tam jeste dst-address= IP toho venkovniho routeru..mozna to tam byt nemusi..ale zkus to tam pridat.
0 x
Petr S.
1. Pokiaľ používám NAT a chcem presmerovať určité porty dnu, je nutné vždy bola nastavena do Dst. Address moja aktuálna verejná adresa portu(WAN)? Čo ked sa zmení, da sa to spravit tak, aby to fungovalo vždy? - tedy aby som nemusel presne zadať verejnú IP adresu(WAN), lebo ta sa mi môže zmeniť a bez tej zadanej ukážkovej verejnej ip 90.89.88.87 to nefunguje.
ip firewall nat add chain=dstnat dst-address=90.89.88.87 protocol=tcp dst-port=222 \ action=dst-nat to-addresses=192.168.1.2 to-ports=222
2. Jak sa dá presmerovať z verejnej adresy a portu na port 80(hlavni stranka mt-ros), winbox a shh, lebo s tym NATom mi to nejak nefunguje rovnakym sposobom ako vyssie, aj ked zadavam do Dst. Address 90.89.88.87.
ip firewall nat add chain=dstnat dst-address=90.89.88.87 protocol=tcp dst-port=222 \ action=dst-nat to-addresses=192.168.1.2 to-ports=222
2. Jak sa dá presmerovať z verejnej adresy a portu na port 80(hlavni stranka mt-ros), winbox a shh, lebo s tym NATom mi to nejak nefunguje rovnakym sposobom ako vyssie, aj ked zadavam do Dst. Address 90.89.88.87.
0 x
Petr S. píše:Zdravím,
chci se poradit s jedním problém, s kterým už si hraju několik hodin a už mi docházejí nápady. Mám dva MK - jeden hlavní, na kterém běží DHCP server a routuje z neveřejné internetové adresy (192.168.122.195) do vnitřní sítě. IP LAN toho routeru je 192.168.141.1. Na LAN je druhý MK s adresou 192.168.141.11 a slouží jako AP a přesměrovává provoz včetně DHCP na hlavní router. Vše funguje správně, ale nevím si rady s nastavením přístupu zvenku na ten druhý MK. Na hlavním MK jsem nastavil dst-nat:
1 ;;; P esm rov n WinBox na 141.11
chain=dstnat action=dst-nat to-addresses=192.168.141.11 to-ports=8291
protocol=tcp dst-port=7000
2 ;;; default configuration
chain=srcnat action=masquerade src-address=192.168.141.0/24
Ve Filter Rules:
3 ;;; VPN
chain=input action=accept protocol=tcp src-address=91.xxx.x.xxx
in-interface=ether1-gateway
4 chain=input action=accept src-address=10.255.250.0/24
in-interface=ether1-gateway
5 chain=input action=accept protocol=udp src-address=10.255.254.0/24
dst-port=161
6 chain=input action=accept protocol=tcp src-address=192.168.141.0/24
Na hlavní MK se bez problémů zvenku dostanu. Ale na ten druhý (ten je nastavený pouze tak, aby dělal bridge mezi wifi a ethernetem) přes ten port 7000 již ne. Když se na hlavním routeru podívám do pravidla na překlad adres na ten port 8291 druhého routeru, tak je vidět, že funguje. Když odešlu požadavek z mého počítače, tak se přeloží a přes to pravidlo odejde - ale už se nevrátí. Na druhém routeru nemám v nat nastaveno nic.
Zkoušel jsem přesměrovat i jiné porty, ale nefunguje ani to. Není tam třeba potřeba přidat ještě nějaké další pravidlo?
Díky za radu.
Mám podobný problém. Pokud mám ve vnitřní síti jako APčko MK (stejně jako ty), tak mi překlad funguje, jen mám v pravidle 1 místo dst-nat použitý netmap. Pokud je jako vnitřní AP použitý Ovislink, tak překlad taky funguje (samozdřejmě na portu 80). Pokud odpojím Ovislink a na jeho místo dám AP ASUS (se stejnou IP adresou), tak už překlad nefunguje - z venku se na něj prostě nedostanu
( Z vnitřní sítě samozdřejmě dostupný je. A teď babo raď.
0 x
Myslím, že jsem na to přišel, vsadím se, ze na tom vnitřním MK nemáš nastavenou gateway (na 192.168.141.1)! Jestli dst-nat nebo netmap je v tomto případě jedno, obojí funguje. Bohužel můj problém to neřeší, protože u AP ASUS to nastavit nejde, respektive autor fw předpokládal, že jedinou gw tohoto AP bude WAN port.
0 x
tak si dopiš src-nat pravidlo
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků