Как настроить mikrotik как relay запросов из internet в internet?

Question

[Николай]

Приветствую!
В связи с недавними широкомасштабными блокировками возникло желание сделать на базе mikrotik, прозрачный relay одного игрового сервиса (игрушка eco).
Сейчас оно у меня работает на базе www.komodia.com/komodia-relay
Но хотелось бы выкинуть сервер из цепочки и заворачивать непосредственно на микротике.
Схема как должно работать.
Протокол UDP
Порт 3000
IP mikrotik 1.1.1.1
IP сервиса 2.2.2.2
Клиент отправляет запрос на микротик 1.1.1.1, микротик получает его и отправляет сервису 2.2.2.2 от своего адреса. Полученный от сервиса ответ, возвращается клиенту от адреса микротика.

С микротиками немного работал, но как заворачивать наружу - не разобрался.

Нашёл единственный похожий вопрос на англоязычном форуме mikrotik, там предлагают использовать

/ip firewall mangle add action=mark-connection chain=prerouting connection-state=new dst-address=1.1.1.1 dst-port=3000 new-connection-mark=natthis passthrough=yes protocol=udp
/ip firewall nat add action=dst-nat chain=dstnat connection-mark=natthis protocol=udp to-addresses=2.2.2.2 to-ports=3000
/ip firewall nat add action=masquerade chain=srcnat connection-mark=natthis

Но в той ветке до "заработало" так и не дошли, я тоже разобраться не смог.
Очень бы хотелось помощи!

Answer 1

[Wexter]

/ip firewall filter add chain=forward dst-address=2.2.2.2 action=accept
/ip firewall nat add chain=srcnat dst-address=2.2.2.2 action=masquerade
/ip firewall nat add chain=dstnat dst-address=1.1.1.1 protocol=udp dst-port=3000 action=dst-nat to-addresses=2.2.2.2 to-ports=3000

Comments

[Николай]

Не завелось, в цепочку srcnat пакеты не попадают

[Николай]

Если ставить первыми в списке то пакеты вроде как проходят, но клиент всё равно не работает, непонятно что ему не нравится.

[Wexter]

Николай, так может клиенту не только этот порт нужен. Снифайте трафик и смотрите куда ломится

[Николай]

Wexter, только этот и только udp, у меня сейчас работает через комодию натравленную на этот порт<->этот же порт официального сервера + проброс этого порта с микротика на машину с комодией.

[Николай]

(я собственно и хочу убрать из цепочки домашнюю машину с комодией и делать всё средствами микротика, но не осиливаю.)

[Wexter]

Николай, могу только посоветовать дропнуть все правила в файрволе/нате и добавить мои, возможно по какой-то причине правила конфликтуют

[Николай]

Wexter, с маскарадингом на интерфейсе провайдера может конфликтовать?

[Николай]

Просто по идее если их ставить первыми (тогда они и обработаются первыми), они бы работали если конфликт.
но не работает.

[Wexter]

Николай, выложите полный конфиг файрвола/ната/мангла

[Николай]

Wexter, https://www.dropbox.com/s/jkaala4c73z05tc/work.rsc?dl=1 (так работает, это комодия на 1.18)
https://www.dropbox.com/s/l32rsgsdq6ahdq0/new.rsc?dl=1 так не работает.

[Wexter]

Николай, там где работает замените to-addresses и to-ports на адрес/порт сервера и добавьте masquerade на трафик в сторону адреса сервера в начало

[Николай]

Wexter, не работает =/
Визуально при нате в сторону внешнего сервера через соединение идёт меньше пакетов чем при нате через комодию :(

[Николай]

Wexter, у меня реально нет идей, я мозгом понимаю что задача по идее простая, но долблюсь в неё четвертый день и хз почему не работает.

[Wexter]

Николай, добавьте статический маршрут на сервер через vpn туннель без маркировок маршрута

[Николай]

Wexter, спасибо! Заработало!
Огромное спасибо :)
Что бы работало и с маркировкой (на случай если ип сервиса сменится например) я добавил маркировку того что пришло на 3000 порт.