Почему не работает port forwarding?

Question

[SiriusGale]

Всем привет, такая ситуация.
Есть локальная сеть 172.16.0.0/12. К ней подключен микротик с IP 172.19.172.5, на нём настроена своя сеть 192.168.0.0/24
Внутри нее есть Synology, на вебку которой я захожу по 192.168.0.4:5000. Нужно настроить доступ к этой Synology из сети 172.16.0.0/12 через проброс портов.

Правило NAT настроено по стандартному мануалу:

chain=dstnat action=netmap to-addresses=192.168.0.4 to-ports=5000 protocol=tcp in-interface=ether1 dst-port=5000 log=yes log-prefix="nas"

Все правила Firewall отключены. Имеется правило NAT для маскарада:

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1

При попытке обратиться из локальной сети 172.16.0.0/12 на 172.19.172.5:5000 в логах вылезает следующее:

nas dstnat: in:ether1 out:(unknown 0), src-mac 1:1:1:1:1:1, proto TCP (SYN), 172.19.118.3:55164->172.19.172.5:5000, len 52

Сам микротик из локальной сети доступен (пингуется с устройства).
В чём моя ошибка и беда?

Очень долго гуглил, но те советы, что нашёл - не помогли.

Answer 1

[SiriusGale]

Нашёл и устранил 31 декабря, но не было времени отписаться. Если вдруг кому-то интересно, то вот)
На Synology присутствует 2 Ethernet интерфеса, на LAN1 была настроена 192.168.0.0/24 подсеть, на LAN2 временно была настроена 172.16.0.0/12 подсеть. В этом, собственно, и была беда.

После отключения LAN2 перенаправление начало работать корректно. Полагаю, само перенаправление работало и так, но ответные пакеты от NAS'а уходили не туда, а именно по LAN2.

Answer 2

[akelsey]

Могу ошибаться, но в правиле нужно убрать
to-addresses=192.168.0.4
т.к. в сети 172.16.0.0/12 вряд ли кто знает что-то об этой сети, они же подключаться должны к 172.16.172.5:5000.
netmap тут тоже излишний, поменял бы на dst-nat.

PS
Еще сначала я подумал 172.19.172.5 опечатка, но ниже в тексте снова 19 или это дважды опечатка?

Comments

[SiriusGale]

to-addresses=192.168.0.4 - это ведь адрес, на который должен перенаправлять уже сам микротик. Если убрать, он не узнает, куда форвардить. Может ты имеешь ввиду "dst-address"? Он как раз пустой

А в чем преблема с 172.19.172.5? Этот IP входит в диапазон 172.16.0.0/12

[akelsey]

SiriusGale, да я попутал с dst-addres, прошу прощения, выходит настроено верно, остается только проверить - настроен ли на NAS микротик шлюзом по умолчанию.
PS
и нет ли на NAS ограничения доступа с определенных сетей только. Входит ли 172.16.0.0/16 в этот диапазон

[SiriusGale]

akelsey, микротик выходит в свою локалку с ip 192.168.0.1, и этот же адрес прописан статикой на nas'е.

На нем не заданы никакие ограничения. Кроме указания сетевых настроек, никакие правила не применялись.

[akelsey]

SiriusGale,
просто согласно логам:

nas dstnat: in:ether1 out:(unknown 0), src-mac 1:1:1:1:1:1, proto TCP (SYN), 172.19.118.3:55164->172.19.172.5:5000, len 52

SYN приходит, а ответа нет. Сеть 172.16.0.0/16 с NAS маршрутизируется в целом? Какой-то инструментарий с NAS есть проверить доступность любого (http/smtp) сервиса в сети 172.16.0.0/16? (ping,telnet).

Answer 3

[nApoBo3]

Снимите дамп трафика. Вполне вероятно, что у вас нет маршрута на устройстве в заданную сеть, или оно блочит своим экраном все запросы не из своей сети, например WD NAS по умолчанию ведет себя именно так.
В логе у вас все на первый взгляд нормально, это SYN пакет, т.е. попытка установки tcp сессии не проходит.

Answer 4

[Максим Корнеев]

а зачем так сложно? при чем тут NAT и маскарадинг и зачем натить всю сеть? достаточно прописать маршрут для каждого из двух адресов на ИМХО