Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Question

[fella]

Возникла проблема с настройкой нескольких подключений от провайдеров на miokrotik. Нет доступности к ресурсам за NAT. Где ошибка в mangle? Вроде задана и маркеры на входящие пакеты и соответствующие маршруты для них.

Сам mikrotik с обоих внешних IP доступен. А вот проброс порта до веб-сервера внутри сети не дает ответа
конфиг:

# mar/20/2017 07:10:20 by RouterOS 6.38.5
/interface bridge
add name=localnet
/interface ethernet
set [ find default-name=ether3 ] comment="ISP1"
set [ find default-name=ether4 ] comment="ISP2"
/interface list
add name=WAN
/interface bridge port
add bridge=localnet interface=ether5
add bridge=localnet interface=ether6
add bridge=localnet interface=ether7
add bridge=localnet interface=ether8
/interface list member
add interface=ether3 list=WAN
add interface=ether4 list=WAN
/ip address
add address=192.168.2.253/24 interface=localnet network=192.168.2.0
add address=1.1.1.1/30 interface=ether4 network=1.1.1.0
add address=1.2.2.1/30 interface=ether3 network=1.2.2.0
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=forward
add action=accept chain=output
add action=accept chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether3 \
    new-connection-mark=ISP1-conn passthrough=yes
add action=mark-connection chain=input in-interface=ether4 \
    new-connection-mark=ISP2-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1-conn \
    new-routing-mark=ISP1-route passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP1-f \
    in-interface-list=!WAN new-routing-mark=ISP1-route passthrough=no
add action=mark-connection chain=prerouting in-interface=ether3 \
    new-connection-mark=ISP1-f passthrough=no
add action=mark-connection chain=prerouting in-interface=ether4 \
    new-connection-mark=ISP2-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2-f \
    in-interface-list=!WAN new-routing-mark=ISP2-route passthrough=no
add action=mark-connection chain=forward in-interface=ether3 \
    new-connection-mark=ISP1-f passthrough=no
add action=mark-connection chain=forward in-interface=ether4 \
    new-connection-mark=ISP2-f passthrough=no
add action=mark-routing chain=output connection-mark=ISP2-conn \
    new-routing-mark=ISP2-route passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=jump chain=dstnat dst-address=1.1.1.1 jump-target=\
    port-forward
add action=jump chain=dstnat dst-address=1.2.2.1 jump-target=\
    port-forward
add action=dst-nat chain=port-forward dst-port=10080 protocol=tcp \
    to-addresses=192.168.2.2 to-ports=80
/ip route
add distance=1 gateway=1.1.1.2 routing-mark=ISP1-route
add distance=1 gateway=1.2.2.2 routing-mark=ISP2-route
add distance=1 gateway=1.1.1.2
add distance=2 gateway=1.2.2.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes

Answer 1

[Виктор Бельский]

Попробуйте в цепочке forward поставить passthrough=yes и вместо prerouting, для метки ISP1-f, использовать output.

Comments

[fella]

попробовал - не изменилось поведение

[Виктор Бельский]

Вот такой конфиг сейчас у меня нормально форвардит соединеия
/ip firewall mangle
add action=mark-connection chain=input in-interface=WAN_1 \
new-connection-mark=cin_ISP_1 passthrough=yes
add action=mark-connection chain=input in-interface=WAN_2 \
new-connection-mark=cin_ISP_2 passthrough=yes
add action=mark-connection chain=forward in-interface=WAN_1 \
new-connection-mark=cin_ISP_1 passthrough=yes
add action=mark-connection chain=forward in-interface=WAN_2 \
new-connection-mark=cin_ISP_2 passthrough=yes
add action=mark-routing chain=output connection-mark=cin_ISP_1 \
new-routing-mark=rout_ISP_1 passthrough=no
add action=mark-routing chain=output connection-mark=cin_ISP_2 \
new-routing-mark=rout_ISP_2 passthrough=no
/ip firewall nat
add action=dst-nat chain=dstnat comment="MAP to Mail" dst-port=25 \
in-interface-list=if_WAN_all protocol=tcp to-addresses=192.168.1.100 \
to-ports=25
add action=masquerade chain=srcnat out-interface-list=if_WAN_all

[fella]

Виктор Бельский: вписал аналогичные правила - и все равно не имею доступа по dstnat к внутренним хостам за роутером...может еще какие-то особенности?

[fella]

Виктор Бельский:
/interface list member
add interface=eth3_ISP2 list=if_WAN
add interface=eth4_ISP1 list=if_WAN
/ip address
add address=192.168.2.253/24 interface=localnet-177 network=192.168.2.0
add address=1.2.2.2/30 interface=eth4_ISP1 network=1.2.2.1
add address=10.0.0.2/24 interface=ether1 network=10.0.0.0
add address=1.1.1.2/30 interface=eth3_ISP2 network=1.1.1.1
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=forward
add action=accept chain=output
add action=accept chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=eth3_ISP2 new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=input in-interface=eth4_ISP1 new-connection-mark=WAN1_conn passthrough=yes
add action=mark-connection chain=forward in-interface=eth3_ISP2 new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=forward in-interface=eth4_ISP1 new-connection-mark=WAN1_conn passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_conn new-routing-mark=WAN1_route passthrough=no src-address=1.2.2.2
add action=mark-routing chain=output connection-mark=WAN2_conn new-routing-mark=WAN2_route passthrough=no src-address=1.1.1.2
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=if_WAN
add action=dst-nat chain=dstnat dst-port=10080 in-interface-list=if_WAN protocol=tcp to-addresses=10.0.1.10 to-ports=80
/ip route
add distance=1 gateway=1.2.2.1 routing-mark=WAN1_route
add distance=1 gateway=1.1.1.1 routing-mark=WAN2_route
add distance=1 gateway=1.2.2.1
add distance=2 gateway=1.1.1.1
add distance=1 dst-address=10.0.1.0/24 gateway=10.0.0.1

[Виктор Бельский]

Уберите src-address из output

[Виктор Бельский]

И еще смотрю вы форвардите на адрес в другой сети, отличной от микротиковской, через шлюз 10.0.0.1, а там nat есть?

[fella]

Виктор Бельский: crc-adr убрал, поведение не меняется. За шлюзом 10.0.0.1(тоже микрот подключенный провайдерским l2vpn) нет nat, простой маршрут в подсеть за ним - в локальной сети микрота ресурсы там доступны

[Виктор Бельский]

Хмм...А пробросьте, ради эксперимента, порт на хост в сети 192.168.2.0/24

[fella]

Виктор Бельский: прокидавал и к 192.168.2.10(хост находится в сети с микротом, за исключением, что у хоста шлюз сейчас другой 192.168.2.254)

[Виктор Бельский]

Если шлюз другой, то не взлетит, т.к. tcp

[Виктор Бельский]

Валентин Net: У него нет дропающих правил и все разрешено

[fella]

Валентин Net: в исходном вопросе я указал, что сейчас в фаерволе все разрешено

[Виктор Бельский]

И еще, что в качестве дефолт гейтвея у 10.0.0.1? Т.к. допустим, мы коннектимся с адреса 5.5.5.5, на 1.1.1.2, микрот перенаправляет пакет на шлюз 10.0.0.1, который отдает его 10.0.1.10, он принимает и шлет ответ на свой гейт по умолчаню (если это не второй интерфейс на 10.0.0.1, то не взлетит), 10.0.0.1 принимает и смотрит, что 5,5,5,5 нет в таблице маршрутизации и отправляет его на дефолтный гейт и если это не 10.0.0.2, то опять не летит.

[fella]

Виктор Бельский: ну так ведь при пересылке пакета от 5.5.5.5 с 1.1.1.2 на шлюз 10.0.0.1 - он уже представляется как пакет от 10.0.0.2? На шлюзе 10.0.0.1 прописан маршрут 10.0.0.0\24 на интерфейсе 10.0.0.1

[Виктор Бельский]

Если бы был маскарадинг, то тогда подставлсялся бы ip адрес 10.0.0.2, но тут срабатывает маршрутизизия и меняется только mac адрес, вы можете посмотреть на второй железке, к ней будут прилетать пакеты от 5.5.5.5.
Добавте правило ip firewall nat add action=masquerade chain=srcnat dst-address=10.0.1.10 src-address=5.5.5.5

[fella]

Виктор Бельский: да, все оказалось в шлюзе по умолчанию. Переключил новый шлюз основным - все ок

Answer 2

[Obsession]

У вас там куча коментов, не стал мешать.
Решается всё проще.
правило вида:

/ip firewall nat add chain=dstnat protocol=нужный_протокол dst-port=внешний_порт action=dst-nat to-addresses=локальный_адрес to-ports=локальный_порт

данное правило у меня благополучно работает на магистральном роутере, и пробрасывает порты для доступа к устройстван в сигменте, который за натом.

Comments

[Виктор Бельский]

Ну, тут есть три проблемы:
1. Такое правило уже есть.
2. Тут два внешних канала.
3. Соединение перенаправляют на хост за еще одним маршрутизаторов.

[Obsession]

я бы скинул экспорт, но там полотенище, если почистить - ничего понятно не будет.
напишите мне мыло admin@obsession.pp.ua попробуем разобраться что вы там настроили, всё равно на работе скучно.