@SiriusGale

Почему не работает port forwarding?

Всем привет, такая ситуация.
Есть локальная сеть 172.16.0.0/12. К ней подключен микротик с IP 172.19.172.5, на нём настроена своя сеть 192.168.0.0/24
Внутри нее есть Synology, на вебку которой я захожу по 192.168.0.4:5000. Нужно настроить доступ к этой Synology из сети 172.16.0.0/12 через проброс портов.

Правило NAT настроено по стандартному мануалу:

chain=dstnat action=netmap to-addresses=192.168.0.4 to-ports=5000 protocol=tcp in-interface=ether1 dst-port=5000 log=yes log-prefix="nas"

Все правила Firewall отключены. Имеется правило NAT для маскарада:

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1

При попытке обратиться из локальной сети 172.16.0.0/12 на 172.19.172.5:5000 в логах вылезает следующее:

nas dstnat: in:ether1 out:(unknown 0), src-mac 1:1:1:1:1:1, proto TCP (SYN), 172.19.118.3:55164->172.19.172.5:5000, len 52

Сам микротик из локальной сети доступен (пингуется с устройства).
В чём моя ошибка и беда?

Очень долго гуглил, но те советы, что нашёл - не помогли.
  • Вопрос задан
  • 169 просмотров
Решения вопроса 1
@SiriusGale Автор вопроса
Нашёл и устранил 31 декабря, но не было времени отписаться. Если вдруг кому-то интересно, то вот)
На Synology присутствует 2 Ethernet интерфеса, на LAN1 была настроена 192.168.0.0/24 подсеть, на LAN2 временно была настроена 172.16.0.0/12 подсеть. В этом, собственно, и была беда.

После отключения LAN2 перенаправление начало работать корректно. Полагаю, само перенаправление работало и так, но ответные пакеты от NAS'а уходили не туда, а именно по LAN2.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
akelsey
@akelsey
Могу ошибаться, но в правиле нужно убрать
to-addresses=192.168.0.4
т.к. в сети 172.16.0.0/12 вряд ли кто знает что-то об этой сети, они же подключаться должны к 172.16.172.5:5000.
netmap тут тоже излишний, поменял бы на dst-nat.

PS
Еще сначала я подумал 172.19.172.5 опечатка, но ниже в тексте снова 19 или это дважды опечатка?
Ответ написан
@nApoBo3
Снимите дамп трафика. Вполне вероятно, что у вас нет маршрута на устройстве в заданную сеть, или оно блочит своим экраном все запросы не из своей сети, например WD NAS по умолчанию ведет себя именно так.
В логе у вас все на первый взгляд нормально, это SYN пакет, т.е. попытка установки tcp сессии не проходит.
Ответ написан
@MaxLK
сети, виртуализация, СХД...
а зачем так сложно? при чем тут NAT и маскарадинг и зачем натить всю сеть? достаточно прописать маршрут для каждого из двух адресов на ИМХО
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы