Как в MikroTik правильно перенаправить TCP порт по локалке с разными шлюзами?

Question

[Григорий Щетинцев]

Всем доброго дня!

Столкнулся с небольшой проблемой. Видимо не хватает знаний по перенаправлению портов в RouterOS

Базовая информация:
Два роутера на RouterOS (6.39.1), на одном статический IP (31.21.45.22), на другом динамика.
Между ними поднять туннель OpenVPN и поверх поднят EoIP туннель.
EoIP туннель входит в сетевой мост LAN-Bridge и для него задана подсеть 192.168.88.0/24

У каждого роутера свой DHCP, соответственно у клиентов разные шлюзы.
Пулы адресов разграничены.
Роутер-1:
IP - 192.168.88.1
Pool - 192.168.88.5-192.168.88.29
Роутер-2:
IP - 192.168.88.2
Pool - 192.168.88.30-192.168.88.59

В фильтрах Bridge интерфейсов двух роутеров заблокировано хождение DHCP пакетов между роутерами (forward UDP 67-68 drop)
Netbios работает отлично, Dude сервер работает отлично, Plex работает отлично.
В общем между роутерами на разных провайдерах все пакеты ходят отлично.

Проблема:
Насколько известно перенаправление в MikroTik осуществляется простым правилом
Для примера доступ по WinBox на другой роутер в сети.

/ip firewall nat add chain=dst-nat in-interface=WAN protocol=tcp
dst-port=8292 action=netmap to-address=192.168.88.2 to-ports=8291

Так вот, это правило не работает.
Смотрел Torch на разных интерфейсах обоих роутеров ничего внятного не получил,
Пакет успешно транислируется и на втором роутере входящий IP не локальный 192.168.88.1 а внешний из интернета, т.е. трансляция идет напрямую, как будто мы стучимся напрямую на WAN интерфейс второго роутера. Соответственно Роутер-2 отвечает в свой WAN интерфейс вместо отправки пакета обратно в локалку.


Вопрос:
Как правильно построить перенаправление в такой конструкции подсети и заставить пакеты уходить на нужный адрес или интерфейс? Например доступ ко второму роутеру по WinBox через роутер со статикой.

PS.
Если LAN-Bridge установить в маскарадинг, то перенаправление работает, но тогда торрент(и не только) начинает использовать туннель как внешний интерфейс и нагружает туннельный канал.

Answer 1

[Григорий Щетинцев]

Сделал сам маркировкой через Mangle

Добавляем правила в Mangle на Роутер-1:

/ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=winbox-conn passthrough=yes 
connection-state=new protocol=tcp in-interface=WAN dst-port=8292 log=no
add chain=prerouting action=mark-packet new-packet-mark=winbox-pack passthrough=yes 
connection-mark=winbox-conn log=no

Добавляем перенаправление и маскарадинг:

/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=192.168.88.2 to-ports=8291 protocol=tcp 
dst-address=31.21.45.22 in-interface=WAN packet-mark=winbox-pack dst-port=8292 log=no
add chain=srcnat action=masquerade out-interface=LAN-Bridge packet-mark=winbox-pack log=no

Все верно, Роутер-2 настраивать дополнительно не нужно.

Пользователь l0ser140:
Заменил netmap на dst-nat

Answer 2

[l0ser140]

Используйте dst-nat. Netmap для другого предназначен.

Comments

[Григорий Щетинцев]

C dst-nat также не работает. Не сомневайтесь, я пробовал различные варианты.

Из wiki:
dst-nat - заменяет адрес назначения и / или порт IP-пакета, на значения, указанные параметрами to-addresses и to-ports
netmap - создает статическое отображение 1: 1 одного набора IP-адресов в другой. Часто используется для распределения общедоступных IP-адресов хостам в частных сетях

Но почему-то многие пишут, что лучше использовать netmap ибо это усовершенствованная версия dst-nat