Почемутв Микротике не работает проброс портов?

Question

[karibskii_koks]

Здравствуйте друзья!
Локальная сеть 192.168.0.0/24.
Имеется микротик с белым адресом, который он получает по pppoe:

ip address print                                                        
 0   172.21.139.2/16    172.21.0.0      ether1                                                                 
 1   192.168.0.254/24   192.168.0.0     LAN-bridge                                                             
 2   10.72.74.66/27     10.72.74.64     ether2                                                                 
 3 D 89.250.146.160/32  10.92.127.254   domru-ppppoe

Так же на интерфейсе ether1 настроен второй адрес, для городской сети.
На интерфейсе ether2 настроен интернет от Ростелеком.

Настроил Mangle:

/ip firewall mangle
add action=mark-connection chain=input in-interface=domru-ppppoe log-prefix=inpt_mark_domru \
    new-connection-mark=domru-conmark passthrough=yes
add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes
add action=mark-routing chain=prerouting connection-mark=domru-conmark dst-address-list=!workspace \
    log-prefix=pr_rout new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy
add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=\
    no
add action=mark-connection chain=forward connection-nat-state=dstnat dst-address=192.168.0.183 in-interface=\
    domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes
add action=mark-connection chain=forward comment="FWD traffic Mark" in-interface=domru-ppppoe log-prefix=\
    fwd_con new-connection-mark=domru-connmark-f passthrough=yes
add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f \
    passthrough=yes
add action=mark-routing chain=prerouting connection-mark=domru-connmark-f dst-address-list=!workspace \
    log-prefix=rt_mark new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy
add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no 
    src-address-list=rtk

Настроил NAT:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=89.250.146.160 dst-port=80 in-interface=domru-ppppoe log-prefix=\
    dst_natlog protocol=tcp to-addresses=192.168.0.183
add action=masquerade chain=srcnat out-interface=domru-ppppoe
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2

При попытке обратится к внешнему адресу, замечаю, что счетчик пакетов увеличивается.
Однако веб страница не работает.
Обратил внимание вот еще на что:
в локальной сети есть 2 адреса: 192.168.0.183 и 192.168.0.188, оба относятся к адрес листу "platniy", однако при попытке трассировки с адреса 89.250.146.160 получаем следующее:

tool traceroute src-address=89.250.146.160 address=192.168.0.183 max-hops=10
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                   
 1                                  100%    2 timeout                                                          
 2                                  100%    2 timeout                                                          
 3                                  100%    2 timeout                                                          
 4                                  100%    2 timeout                                                          
 5                                  100%    2 timeout                                                          
 6                                  100%    2 timeout                                                          
 7                                  100%    2 timeout                                                          
 8                                  100%    2 timeout                                                          
 9                                  100%    2 timeout                                                          
10                                  100%    1 timeout

tool traceroute src-address=89.250.146.160 address=192.168.0.188 max-hops=10 
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                   
 1 192.168.0.188                      0%    4   0.5ms       1     0.5     2.4     0.8

Как можно заметить если мы пробуем трассировку до 192.168.0.183 то путь уходит в непонятную петлю.
Но при этом трассировка до 192.168.0.188 идет напрямую и сразу.
Брандмауэры и фаерволлы выключены.

Answer 1

[Ziptar]

Не могли бы Вы дать пояснения к правилам mangle? На мой взгляд там царит какой-то хаос.

Comments

[karibskii_koks]

Давайте, по порядку:
/ip firewall mangle
Маркируем входящее соединение, приходящее на интерфейс домру-пппое меткой domru_connmark

add action=mark-connection chain=input in-interface=domru-ppppoe log-prefix=inpt_mark_domru \
    new-connection-mark=domru-conmark passthrough=yes

Маркируем входящее соединение, приходящее на интерфейс ether1 меткой domru_connmark

add action=mark-connection chain=input in-interface=ether1 new-connection-mark=domru-conmark passthrough=yes

Для траффика, который создается компьютерами определенными адрес листом Platniy, помеченного меткой domru_connmark, движемого в любом направлении кроме адрес листа
workspace применять таблицу маршрутизации domru-pppoe

add action=mark-routing chain=prerouting connection-mark=domru-conmark dst-address-list=!workspace \
    log-prefix=pr_rout new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy

Определяем Роутинг марк, для исходящего траффика помеченного domru-connmark

add action=mark-routing chain=output connection-mark=domru-conmark new-routing-mark=domru-pppoe passthrough=no

Тестовое правило с просторов интернета, с него ничего не изменилось:

add action=mark-connection chain=forward connection-nat-state=dstnat dst-address=192.168.0.183 in-interface= domru-ppppoe new-connection-mark=domru-connmark-f passthrough=yes

Маркировка форвард траффика:

add action=mark-connection chain=forward comment="FWD traffic Mark" in-interface=domru-ppppoe log-prefix= fwd_con new-connection-mark=domru-connmark-f passthrough=yes

Маркировка форвард траффика:

add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=domru-connmark-f     passthrough=yes

Для траффика помеченного domru-connmark-f определяем таблицу маршрутизации domru-pppoe

add action=mark-routing chain=prerouting connection-mark=domru-connmark-f dst-address-list=!workspace log-prefix=rt_mark new-routing-mark=domru-pppoe passthrough=no src-address-list=platniy

Пользователей, находящихся в листе РТК направляем через РТК:

add action=mark-routing chain=prerouting dst-address-list=!workspace new-routing-mark=rtk passthrough=no 
    src-address-list=rtk

[Ziptar]

Охх.

Для начала всем правилам, которые должны маркировать только ещё не промаркированные соединения проставьте connection-mark=no-mark. Иначе у Вас соединения перемаркировываются как попало.

[karibskii_koks]

Константин Антонов: сделал