Настройка mikrotik — 3 провайдера, 3 пользователя в одной локальной сети; как направить пользователей правильно?

Question

[its_noyfb]

Есть микротик.
Есть три входящие линии (PPPoE1, PPPoE2 и PPPoE3).
Пользователи 192.168.88.1-192.168.88.203 ходят через 1.
Пользователь 192.168.88.204 ходят через 2.
Пользователь 192.168.88.205 ходят через 3.
Надо, чтоб на 204 и 205 можно было подключаться по портам 22, 80, 443.

Начитался в интернете всякого, настроил проброс портов, направил 204 и 205 в нужные направления, но подключиться к ним на нужные порты нельзя.

Comments

[nak-alexey]

1-е, это надеюсь что у Вас ip маршрутизируются :) 2-е сделайте export конфигурации NAT и приложите к комментарию. Будет от чего плясать.

[its_noyfb]

nak-alexey,

spoiler

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Bitrix_24
chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=22 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=222 log=no log-prefix=""

1 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=22 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=222 log=no log-prefix=""

2 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=80 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=80 log=no log-prefix=""

3 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=90 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=80 log=no log-prefix=""

4 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=443 protocol=tcp
dst-address=213.231.1.12 in-interface=Bitrix_24 dst-port=443 log=no log-prefix=""

5 chain=dstnat action=netmap to-addresses=192.168.88.204 to-ports=443 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.12 dst-port=443 log=no log-prefix=""

6 ;;; Real_Estate
chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=22 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=222 log=yes
log-prefix="NET ON 205:222"

7 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=22 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=222 log=yes
log-prefix="NET IN ON 205/222"

8 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=80 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=80 log=no log-prefix=""

9 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=80 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=80 log=no log-prefix=""

10 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=443 protocol=tcp
dst-address=213.231.1.16 in-interface=Real_Estate dst-port=443 log=no log-prefix=""

11 chain=dstnat action=netmap to-addresses=192.168.88.205 to-ports=443 protocol=tcp
src-address=192.168.88.0/24 dst-address=213.231.1.16 dst-port=443 log=no log-prefix=""

12 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""

[its_noyfb]

nak-alexey,

правила 0-11 - проброс портов
правило 12 - маскарад для всех WAN

[its_noyfb]

nak-alexey,

это MANGLE

spoiler

[admin@MikroTik] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough

3 ;;; , , 204 205 " "
chain=input action=mark-connection new-connection-mark=ISP1-input passthrough=no
dst-address=213.231.1.12 in-interface=Bitrix_24 log=no log-prefix=""

4 chain=output action=mark-routing new-routing-mark=ISP1 passthrough=no
connection-mark=ISP1-input log=no log-prefix=""

5 chain=prerouting action=mark-routing new-routing-mark=204 passthrough=no
src-address=192.168.88.204 dst-address-list=!local log=no log-prefix=""

6 chain=input action=mark-connection new-connection-mark=ISP2-input passthrough=no
dst-address=213.231.1.16 in-interface=Real_Estate log=no log-prefix=""

7 chain=output action=mark-routing new-routing-mark=ISP2 passthrough=no
connection-mark=ISP2-input log=no log-prefix=""

8 chain=prerouting action=mark-routing new-routing-mark=205 passthrough=no
src-address=192.168.88.205 dst-address-list=!local log=no log-prefix=""

правила 0-2 не могу удалить, это болванки

[nak-alexey]

its_noyfb, для теста попробуйте убрать все текущие праила для пробора портов и сделать минимум: add action=netmap chain=dstnat dst-port=22 protocol=tcp to-addresses=\
192.168.88.204 to-ports=22

[its_noyfb]

nak-alexey, вы сейчас скажете, что я дурак, но из мира можно подключиться...

я пробовал попасть на порт из локальной сети на внешний адресс...

а для этого надо прописывать ряд правил, которых у меня нет...

[nak-alexey]

its_noyfb, Если я правильно понял речь об этом? mikrotik-ukraine.blogspot.com/2016/11/hairpin-nat-...

[its_noyfb]

nak-alexey, нет

как оказалось, я задал правила верно

не мог подключиться к серверу потомму, что находясь с ним в одной локальной сети, выходил с одно ип, шёл на другой ип, а сервак мне отвечал в локалке

если очень образно

надо в НАТ дописать правила для этого)

Answer 1

[Ziptar]

По поводу первого - policy base routing. В mangle лезть в таком простом случае не требуется.
По поводу второго - смотрите в первую очередь правила фаервола, и учитывайте, что на dst-nat применяется до фильтра, то есть правила фильтра должны применяться на цепочке forward. Это при условии, разумеется, что правила nat настроены верно.

Answer 2

[wolodyawggu]

Можно попробовать реализацию по группам, 3 группы каждой группе по wan. У меня практически так же изначально было реализовано но по 2 группам и по 2 ванам. Но потом решил реализовывать через dhcp. Указываю какой ip лезет в какой wan.

Answer 3

[inova]

Нужно смотреть в сторону маркировки трафика, mangle.