Проброс порта на Mikrotik теперь не работает Почему?

Question

[Al Tinho]

Схема стандартная:
в 1й порт тика приходит провайдер
во 2м локалка
Хочу пробросить наружу ip 192.168.0.250 с портом 5060
создаю правило dst-nat protocol tcp dst-port 5060 in interface - eth1
на вкладке Action netmap to address 192.168.0.250 to ports - 5060
порт закрыт
Правила в фаерволе все выключал результат тот же
До этого точно также пробрасывал 80 порт все было норм

Comments

[Александр Романов]

5060 - это, как правило, udp порт а не tcp

Answer 1

[oldbro]

DNAT на внутренний хост из мира делается так:

ip firewall nat add action=dst-nat chain=dstnat dst-port=5060 in-interface=eth1 to-addresses=192.168.0.250 to-ports=5060

Comments

[Al Tinho]

Пробовал и dst nat и net map все равно закрыт, в статистике при запросе 1 пакет приходит и все

[oldbro]

Александр Терехов: ip route export и
ip firewall export дайте посмотреть.
P.S. У хоста 192.168.0.250 есть интернет?

[Al Tinho]

oldbro: /ip firewall filter
add chain=input dst-port=5060 protocol=tcp
add chain=input comment="icmp allow" protocol=icmp
add chain=forward protocol=icmp
add chain=input comment="allow atablished" connection-state=established
add chain=forward connection-state=established connection-type=""
add chain=input comment="allow related" connection-state=related
add chain=forward
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input comment="allow udp" protocol=tcp
add chain=input protocol=udp
add chain=forward protocol=tcp
add chain=forward protocol=udp
add chain=forward comment="Acces to Internet " in-interface=LAN src-address=\
192.168.0.0/24
add chain=input comment="Access to Mikrotik LAN" src-address=192.168.0.0/24
add action=drop chain=input
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=5060 in-interface=ether1 protocol=tcp \
to-addresses=192.168.0.250 to-ports=5060

/ip route
add distance=1 gateway=шлюз провайдера

[oldbro]

Александр Терехов: Ну, так как, ваши правила в filter равнозначны их отсутствию, то dnat должен работать.
Это правило add chain=forward разрешает весь форвард и после него ниже писать что-то смысла нет. Рекомендую удалить, вообще, все правила в filter. Удалить маскарадинг, и сделать вместо него вот так

/ip firewall nat
add action=src-nat chain=srcnat comment="SNAT_to_Intetrnet" out-interface=ether1 src-address=192.168.0.0/24 to-addresses=адрес_шлюза_провайдера

.
Проверить dnat извне до 192.168.0.250. Если сработает, то написать все правила в filter c нуля по схеме от частного к общему. Причем сначала (в самом верху) форварды "established" и "related", потом инпуты, в конце которых add action=drop chain=input, потом форварды и в самом конце add action=drop chain=forward

[Al Tinho]

oldbro: для чего удалять маскарадинг?

[Al Tinho]

/ip firewall nat
add action=src-nat chain=srcnat comment="SNAT_to_Intetrnet" out-i Это ведь по смыслу тоже самое

[oldbro]

Александр Терехов: C целью снижения нагрузки на процессор. Да, оно не связано с Вашей проблемой, но так правильнее. Но дело Ваше, конечно. От ключили все правила в filter? Работает?

[Al Tinho]

oldbro: спасибо, отключу
я писал ещё в самом вопросе что правила выключал все равно не работает

[oldbro]

Александр Терехов: Пока Вы не добъетесь того, что DNAT работает, правила фильтра должны быть выключены. А после чего перенастроены, как я вам порекомендовал.

[oldbro]

P.S. И естественно, проверить не блокируются ли входящие пакеты в файрволе (если он там есть) самого хоста 192.168.0.250

[Al Tinho]

oldbro: z фаервол самого хоста отключен, а проверяю открытость порта онлайн службой

[oldbro]

Александр Терехов: ну так что? разобрались?

[Al Tinho]

oldbro: разобрался

Answer 2

[alegzz]

а 5060 udp порт пробовали открывать?

Answer 3

[Alexander]

Потому что нат у провайдера. Подключайте белый ip.