Veřejná IP, přesměrování portu na mikrotiku

Ahoj,
odešel mi můj dlouholetý linksys a rozdhodl jsem se pořídit si jako náhradu mikrotik RB952Ui.
Mé prvky jsou zpaojeny následnovně: mikrotik providera (který má na sobě veřejnou ip, nemám přástup) - můj mktk (přidělena privátní IP na rozhraní s mktk providera) - počítače + klienti na wifi.
Vše se mi na něm povedlo nastavit, jak jsem potřeboval, jen mě trápí přesměrování veřejné IP, ktreou mám od isp.
Můj prvek sice odstane vždy nějakou privátní ip adresu, nicméně porty jsou na prvku providera přesměrovány. Na původním linksysu stačilo nastavit přesměrování portů na konkrétní IP (např. virtuálu s CentOSem), přidělenou DHCP / nastavenou staticky. Vše fungovalo a "zvenku" jsem se připojil přes ssh, dostal na ftp atd.
Pokud jsem správně pochopil, v mikrotiku by se to mělo dělat přes Firewall - NAT a tam přes NAT rule "dstnat", kde se do Dst. Address vyplní veřejná IP. Bohužel toto nefunguje - vždy se přenes jen pár paketů na rozhraní (jak vidím přes winbox), ale pak mi to hodí timeout. Porty atd. ve virutálu povolené mám, z lokální sítě se na různé služby (ssh, http) normálně dostanu.
Pokud by někdo poradil, bych bych velmi vděčný
Majkl

Předmět	Autor	Datum
dstnat nestačí, musíš zavést ještě srcnat, aby zařízení vědělo, kam má poslat odpověď. mia 13.08.2016 09:37	mia	13.08.2016 09:37
Ne, srcnat ne. To je nesmysl. Zařízení snad má jako výchozí bránu tento router. JR_Ewing 13.08.2016 10:58	JR_Ewing	13.08.2016 10:58
Překládat "veřejnou" adresu je blbost, protože ten mirkotik žádnou veřejnou nemá. Tu má poskytovatel… JR_Ewing 13.08.2016 10:59	JR_Ewing	13.08.2016 10:59
Ano, to jsem si říkal taky. Jenže situace, kdy do dst.adress v dstnat chainu dám tu veřejku, je jedi… Michal-prezdivku-uz- 13.08.2016 12:50	Michal-prezdivku-uz-	13.08.2016 12:50
Pravidlo "drop all from wan" snad zahazuje všechny příchozí pakety z ether1? Mělo by být až na konci… mia 13.08.2016 13:21	mia	13.08.2016 13:21
Díky za tip, mírně pomohlo :). Divný teď je, že se teď na tu veřejku 94.XXX dostanu zevnitř, ale zve… Michal-prezdivku-uz- 13.08.2016 13:53	Michal-prezdivku-uz-	13.08.2016 13:53
Zkus zkontrolovat v MT v IP->Routes, jestli máš statickou routu 0.0.0.0/0 přes rozhraní ether1. Ale… mia 13.08.2016 15:24	mia	13.08.2016 15:24
Tak nakonec pomohlo nastavit, jak bylo uvedeno mia (díky!). Nefungovalo to pak jen kvůli "drobnosti"… Michal-prezdivku-uz- 13.08.2016 15:15	Michal-prezdivku-uz-	13.08.2016 15:15
kua než jsem to dopsal, tak jsi mě předběhl... poslední mia 13.08.2016 15:25	mia	13.08.2016 15:25

dstnat nestačí, musíš zavést ještě srcnat, aby zařízení vědělo, kam má poslat odpověď.

Ne, srcnat ne. To je nesmysl. Zařízení snad má jako výchozí bránu tento router.

Překládat "veřejnou" adresu je blbost, protože ten mirkotik žádnou veřejnou nemá. Tu má poskytovatelův router. Ty musí překládát "z" té adresy, kterou má mikrotik smerem k tomu druhému mikrotiku a na kterou (snad) je přesměrovaný provoz z té veřejné.

Ano, to jsem si říkal taky. Jenže situace, kdy do dst.adress v dstnat chainu dám tu veřejku, je jediná kdy něco přibyde v počítadle paketů/bytů.
Ať už jsem se zkoušel připojit na http server (80), tak ssh (22), jediný stav kdy prošel nějaký paket, byl při nastavené veřejce 94.XX...
V pravidlech firewallu mikrotiku může být něco špatně?

/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept establieshed,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.1.198 dst-port=21 protocol=tcp to-addresses=192.168.0.127 to-ports=22
add action=dst-nat chain=dstnat dst-address=94.XXX.XXX.XXX dst-port=22 protocol=tcp to-addresses=192.168.0.127 to-ports=22
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
/ip firewall service-port
set tftp disabled=yes
set h323 disabled=yes
set sip disabled=yes

Pravidlo "drop all from wan" snad zahazuje všechny příchozí pakety z ether1? Mělo by být až na konci, až se zpracujou všechny ostatní pravidla.

Na svým MTK (taky s veřejnou adresou) mám pravidlo:

action=dst-nat chain=dstnat dst-port=22 protocol=tcp to-addresses=192.168.1.9 to-ports=22 in-interface=WAN

(všimni si že nemám zadanou adresu)
a:

action=masquerade chain=srcnat

chodí mi to dobře.

Díky za tip, mírně pomohlo :).
Divný teď je, že se teď na tu veřejku 94.XXX dostanu zevnitř, ale zvenku (např. z mobilního připojení) ne (no route to host).
Zmíněná pravidla firewallu jsem zkoušel disbalovat, ale chová se to v tomto stále stejně.

Zkus zkontrolovat v MT v IP->Routes, jestli máš statickou routu 0.0.0.0/0 přes rozhraní ether1. Ale spíš tuším zradu v tom, že veřejná IP je přesměrovaná providerem na jednu konkrétní vnitřní IP, kterou dostával ten linksys na základě svojí MAC (nebo ji měl natvrdo nastavenou). Teď máš nastopro jinou vnitřní IP a tím pádem požadavky zvenčí jsou posílány někam dopryč. Zkus zjistit IP, kterou měl Linksys na WANu a tu nastav staticky na WAN mikrotiku.

Tak nakonec pomohlo nastavit, jak bylo uvedeno mia (díky!).
Nefungovalo to pak jen kvůli "drobnosti" - poskytovatel na prvku nastavil přesměrování na jednu konrkétní ip, která byla nastavena staticky. Takže stačilo změnit mac adresu wan na mém mikrotiku a vše již běží - můžete označit jako vyřešeno, děkuju za tipy.

kua než jsem to dopsal, tak jsi mě předběhl...

Zpět do poradny Odpovědět na původní otázku Nahoru