Не могу сделать Hairpin NAT для SIP сервера. Mikrotik. как????

Question

[JackBauer]

Внутри 192.168.1.0/24, снаружи прямой IP.
Снаружи спокойно захожу на свой сервер SIP .1.2
Изнутри, используя WANIP, ну никак. Уже много вариантов перепробовал.
.1.2 железка grandstream.

Вот мой NAT:

0 chain=srcnat action=masquerade to-addresses=192.168.1.2
to-ports=0-65535 protocol=udp src-address=192.168.1.0/24
dst-address=192.168.1.2 dst-port=5060-5061 log=no
1 chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=5060-5061
protocol=udp src-address=192.168.1.0/24 dst-address=WANIP
dst-port=5060-5061 log=no
2 chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=5060-5061
protocol=udp dst-address-type="" dst-port=5060-5061 log=no
3 chain=srcnat action=masquerade protocol=udp src-address=192.168.1.0/24
dst-address=192.168.1.2 dst-port=10000-20000 log=no
4 chain=dstnat action=dst-nat to-addresses=192.168.1.2
to-ports=10000-20000 protocol=udp src-address=192.168.1.0/24
dst-address=WANIP dst-port=10000-20000 log=no
5 chain=dstnat action=dst-nat to-addresses=192.168.1.2
to-ports=10000-20000 protocol=udp dst-port=10000-20000 log=no
6 chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=8089
protocol=tcp in-interface=ether1-gateway dst-port=8089 log=no
7 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway log=no
log-prefix=""

Взято тут Mikrotik: портмаппинг на внешнем интерфейсе и клиент из локальной сети не может подключиться, используя белый адрес роутера. Существует ли решение?
простое правило из микротик вики конечно пробовал. с него начал.

Comments

[JackBauer]

Вот мои фильтры.
Правило 5 - продукт паники.

0 D ;;; special dummy rule to show fasttrack counters
chain=forward
1 ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""
2 ;;; default configuration
chain=input action=accept connection-state=established,related
log=no log-prefix=""
3 chain=input action=accept protocol=udp in-interface=ether1-gateway
port=1701,500,4500 log=no
4 chain=input action=accept protocol=ipsec-esp
in-interface=ether1-gateway log=no
5 ;;; default configuration
chain=input action=drop protocol=!udp in-interface=ether1-gateway
log=no log-prefix=""
6 ;;; default configuration
chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""
7 ;;; default configuration
chain=forward action=accept connection-state=established,related
log=no log-prefix=""
8 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no
log-prefix=""
9 ;;; default configuration
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1-gateway log=no

Answer 1

[Дмитрий]

Статья из вики работает. Проверяйте адреса, и очередность правил. Так же можно для проверки отключить ВСЕ правила фаервола, чтобы быть уверенным, что он тут не при чем.
P.S. и не забудьте, что в первом правиле у вас 192.168.2.1

Comments

[JackBauer]

Уже исправил. Ну не работает пример из вики. Народ тоже жалуется. Все фильтры гасил.

[JackBauer]

По правилу 1 ноль пакетов как не бьюсь.

Answer 2

[JackBauer]

Подставил дикий костыль... Статическая запись днс для символьного имени(вешнего ипа)->.1.2 + прописал в клиентах символьное имя вместо ипа.
Во рту неприятный привкус, но заработало.

Comments

[akelsey]

Hairpin NAT это дикий костыль, а SplitDNS вполне вменяемое решение.