Как настроить firewall на mikrotik?

Question

[Степан]

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=netmap chain=dstnat comment=cam1 dst-port=82 protocol=tcp to-addresses=192.168.1.11 to-ports=88
add action=netmap chain=dstnat comment=Cam2 dst-port=83 protocol=tcp to-addresses=192.168.1.12 to-ports=88
add action=netmap chain=dstnat comment=Fibaro dst-port=85 protocol=tcp to-addresses=192.168.1.5 to-ports=80
add action=netmap chain=dstnat comment=dvrmobile dst-port=34599 protocol=tcp to-addresses=192.168.1.175 to-ports=34599
add action=netmap chain=dstnat comment=dvrmobile dst-port=34599 protocol=udp to-addresses=192.168.1.175 to-ports=34599
add action=netmap chain=dstnat comment=dvrmobile dst-port=34567 protocol=tcp to-addresses=192.168.1.175 to-ports=34567
add action=netmap chain=dstnat comment=dvrmobile dst-port=34567 protocol=udp to-addresses=192.168.1.175 to-ports=34567
add action=netmap chain=dstnat comment=dvrmobile dst-port=82 protocol=udp to-addresses=192.168.1.11 to-ports=88
add action=netmap chain=dstnat comment=dvrmobile dst-port=83 protocol=udp to-addresses=192.168.1.12 to-ports=88
add action=netmap chain=dstnat comment=ipcamera dst-port=90 protocol=tcp to-addresses=192.168.1.10 to-ports=82
add action=netmap chain=dstnat comment=cam1 dst-port=80 protocol=udp to-addresses=192.168.1.5 to-ports=80
add action=netmap chain=dstnat comment=dvr dst-port=81 protocol=tcp to-addresses=192.168.1.175 to-ports=81
add action=netmap chain=dstnat comment=dvr dst-port=554 protocol=tcp to-addresses=192.168.1.175 to-ports=554
add action=netmap chain=dstnat comment=dvr dst-port=554 protocol=udp to-addresses=192.168.1.175 to-ports=554
add action=netmap chain=dstnat comment=openwrt dst-port=86 protocol=tcp to-addresses=192.168.1.6 to-ports=80

1. Как сделать что бы находясь в локальной сети к устройствам можно было коннектится как из внешней?
То есть мы выбросили 85й порт на ружу, нужно что бы внешний_ип:85 форвардил на наше устройство.
2. Странная ситуация когда я помещаю любой девайс на 80й порт.
При попытке открыть любой сайт, открывается админка устройства на 80м порту.. То есть форвардится весь исходящий трафик 80го порта.
3. Поднял VPN сервер. Соединение пробрасываю в локалку, но локальные устройства не вижу..
Помогите пересобрать конфиг.. Заранее благодарен.

Answer 1

[Клёвый Админ]

1. скорее всего работаь будет косо, чтобы работало так как ты хочешь есть два вариант:
а) делать DNS хук, и для локальной сети отдавать адрес сразу сервера (если можно), например mail.youdomain.ru внутри сети должен резольвица на внутренний адрес.
б) делать DMZ и выставлять сервер наружу через микротик по-правильному.

2. Наружу конечно микротик лучше не светить, потому в настройках IP - Services выставить только локальный пул адресов wiki.mikrotik.com/wiki/Manual:IP/Services

3. Дело, вероятнее всего в маршрутах, нужно по-профилировать трафик через инструмент torch где теряется пакет (на входе в тик, на правилах, или на возврате от клиента). В общем если что - пиши, помогу.