похоже у тебя ошибочка , вот так надо вроде https://c2n.me/3WH8Le3

add action=dst-nat chain=dstnat comment="DSTNat to http 80 TCP port" dst-address=185.xxx.xxx.xxx dst-port=80 in-interface=ether1 protocol=tcp src-port="" to-addresses=192.168.230.150 to-ports=80 add action=dst-nat chain=dstnat comment="DSTNat to httpS 443 TCP port" dst-address=185.xxx.xxx.xxx dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.230.150 to-ports=443 add action=dst-nat chain=dstnat disabled=yes dst-address=185.xxx.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.230.150 to-ports=80 add action=dst-nat chain=dstnat comment="DSTNat to ssh 22 TCP port" dst-address=185.xxx.xxx.xxx dst-port=22222 in-interface=ether1 protocol=tcp to-addresses=192.168.230.150 to-ports=22 add action=masquerade chain=srcnat comment="ISP Masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat dst-address=185.xxx.xxx.xxx dst-port=80 protocol=tcp src-address=192.168.230.0/24

In-interface убрать надо. Домашний трафик не через ether1 входит же

похоже у тебя ошибочка , вот так надо вроде https://c2n.me/3WH8Le3

нЕТ

In-interface убрать надо. Домашний трафик не через ether1 входит же

У меня есть отдельное правило дстната без ин интерфейса, но все равно не ходит

In-interface убрать надо. Домашний трафик не через ether1 входит же

Причем с таким правилом, браузер хотя бы думает

похоже у тебя ошибочка , вот так надо вроде https://c2n.me/3WH8Le3

А тут сразу дроп

ещё раз, что не получается ?

Так

Получилось с двумя правилами

add action=masquerade chain=srcnat dst-address=192.168.230.150 dst-port=80 protocol=tcp src-address=192.168.230.0/24 add action=dst-nat chain=dstnat dst-address=185.xxx.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.230.150 to-ports=80

И по нс и по ип ходит

Теперь как это сделать одним правилом?

И в локальной сети хотелось бы на все порты

Дабы не засорять таблицу правил

dst-port Не указывать, чтобы на все порты

либо через запятую

либо через запятую

Ок, спасибо

add action=masquerade chain=srcnat comment="hairpin NAT for web services" dst-address=192.168.42.164 dst-port=80,443,21,31000-31100 out-interface=br0_lan_wlan protocol=tcp src-address=192.168.42.0/24

Одним правилом никак. Первое - для доступа извне Второе - чтобы подключения изнутри замаскировать под подключения снаружи.

Одним правилом никак. Первое - для доступа извне Второе - чтобы подключения изнутри замаскировать под подключения снаружи.

А у меня таким образом три правила выходит

add action=masquerade chain=srcnat comment="hairpin NAT for web services" dst-address=192.168.230.150 dst-port=80,443,22 protocol=tcp src-address=192.168.230.0/24

add action=dst-nat chain=dstnat dst-address=185.xxx.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.230.150 to-ports=80

add action=dst-nat chain=dstnat comment="DSTNat to http 80 TCP port" dst-address=185.xxx.xxx.xxx dst-port=80 in-interface=ether1 protocol=tcp src-port="" to-addresses=192.168.230.150 to-ports=80

По сути два последних правила одинаковы, за исключением наличия у последнего in-interface

так третье и не нужно

add action=dst-nat chain=dstnat comment=nextcloud dst-address=84.xx.xx.xx dst-port=80,443,20,21 protocol=tcp to-addresses=192.168.42.164 Вот так достаточно для доступа извне

так третье и не нужно

Ага, уже посмотрел, с выкленным третьим правилом работает

add action=dst-nat chain=dstnat comment=nextcloud dst-address=84.xx.xx.xx dst-port=80,443,20,21 protocol=tcp to-addresses=192.168.42.164 Вот так достаточно для доступа извне

Тоже кстати для некстклода вандама делаю

некстклауд вандама?

у меня некстклауд простого человека

Стук в дверь: -кто там? -Жан Клод Ван Дам -ша выйду и всем четверым морду набью

некстклауд вандама?

Лол

у меня некстклауд простого человека

Спасибо тебе мил человек, завелось

У меня все в домашних условиях, некстклауд на малинке третьей. @wazzuup Дашь в личку советы по безопасносте?

Или у некстклауда все из коробки норм?

по их мануалу просто настроил, и всё. Какая там безопасность, когда он одним портом в мир торчит?

443 сделайте и на let's encrypt сертификат

чтобы логин секурный был. Самая главная безопасность

@wazzuup Спасибо большое

винбокс до 3.18 обновился

Добавились новые дыры?

хз

Настраиваю ike2 vpn на микротике, клиент андроид стронгсван. Соединение сейчас происходит в логе микрота видно соединение на клиенте статус подключено. При этом в аренде дхцп нет записи ип андроида, на самом андроиде нет инета. Как получить инет через vpn ? Копать маршрутизация ipsec? Где почитать?

Добавились новые дыры?

+1

Почему в одну сторону идут байты а в обратную нет?

не шифрует

смотри политики

Настраиваю ike2 vpn на микротике, клиент андроид стронгсван. Соединение сейчас происходит в логе микрота видно соединение на клиенте статус подключено. При этом в аренде дхцп нет записи ип андроида, на самом андроиде нет инета. Как получить инет через vpn ? Копать маршрутизация ipsec? Где почитать?

А на фига такие сложности… L2TP+ IPSec чём не устроил ?

А на фига такие сложности… L2TP+ IPSec чём не устроил ?

уже есть. про ike пишут оптимизирован для мобильников...

уже есть. про ike пишут оптимизирован для мобильников...

А вы на мобильном что такое делаете то?

в одну сторону шифруется непойму почему

А вы на мобильном что такое делаете то?

то что и все. Но даже сейчас видно что мгновенно подключается

Я телефон использую только как точку доступа в интернет, остальное на ноутбуке. ИМХО, полноценно с мобильного работать неудобно… Но дело Ваше конечно, не мне учить))

+1, телефон чтоб звонить ;)

максимум погуглить иногда)

даже на телефонах с хардварной клавой неудобно тексты писать

хотя безусловно в разы лучше чем на обычных смартфонах

даже на телефонах с хардварной клавой неудобно тексты писать

Не знаю, я со специальной клавиатурой строчу как на компьютере

молодец чо

и специальный монитор подключаешь?

Два

ну да, с одним моником тоже особо не поработаешь

Я уж не помню когда дома за комп садился?

Хотел тут циску настроить с телефона, через рдп. А оно в обратный слэш не сумело.

помогите, пожалуйста, советом по dst-nat. сделано вот так action=dst-nat chain=dstnat comment=RDP dst-port=3389 in-interface-list=WAN \ log=yes protocol=tcp to-addresses=10.0.0.29 to-ports=3389. в логах - dstnat: in pppoe-rtk-eth1 out:(unknown 0). вроде всё сделал как недавно обсуждали. гуглёж по out:(unknown 0) ничего не дал. аплинков два - один по ppoe второй статика

ERROR: S client not available

помогите, пожалуйста, советом по dst-nat. сделано вот так action=dst-nat chain=dstnat comment=RDP dst-port=3389 in-interface-list=WAN \ log=yes protocol=tcp to-addresses=10.0.0.29 to-ports=3389. в логах - dstnat: in pppoe-rtk-eth1 out:(unknown 0). вроде всё сделал как недавно обсуждали. гуглёж по out:(unknown 0) ничего не дал. аплинков два - один по ppoe второй статика

А в аут-инт без листа пашет, тупо интерфейсом?

В листе wan эти интерфейсы прописаны?

аплинки? прописаны

Очевидно что роутер понятия не имеет где ваш 10.0.0.9

А в аут-инт без листа пашет, тупо интерфейсом?

вот этот вопрос не понял

а арпе есть, с роутера пингуется

В аут интерфейсе укажи не лист а интерфейс

Два правила сделай

На разные аплинки

И проверь

Где то ошибка смотри внимательно

Работать всеравно не будет

Но лог напишет правильный

Роутер пингует этот адрес куда проброс делаешь?

Для работы дели аплианк

да, пингует

В аут интерфейсе укажи не лист а интерфейс

так у меня аут вообще не указан, аут для дстната по идее бридж, нет?

Тьху, ин-инт!

Сорян

Не аут конечно же

Сделай два проброса для каждого аплинка лучше

Ну и проверь

вырубил один вообще, написал только для него - такая же фигня

Нужно кон роут марк

Для двух ван

так?

add action=mark-connection chain=input in-interface=ether2-BEELINE \ new-connection-mark=BEELINE-conn passthrough=yes add action=mark-routing chain=output connection-mark=BEELINE-conn \ new-routing-mark=BEELINE-route passthrough=no add action=mark-connection chain=input in-interface=pppoe-rtk-eth1 \ new-connection-mark=RTK-conn passthrough=yes add action=mark-routing chain=output connection-mark=RTK-conn new-routing-mark=\ RTK-route passthrough=no add action=mark-connection chain=forward in-interface=ether2-BEELINE \ new-connection-mark=BEELINE-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=BEELINE-conn-f \ in-interface=bridge new-routing-mark=BEELINE-route passthrough=yes add action=mark-connection chain=forward in-interface=pppoe-rtk-eth1 \ new-connection-mark=RTK-conn-f passthrough=no add action=mark-routing chain=prerouting connection-mark=RTK-conn-f \ in-interface=bridge new-routing-mark=RTK-route passthrough=yes

нуприблизиьельно

есть ошибки

а так идея верна да

коллеги, а замечали, что после обновления винбокса (или ещё какого бага) все сохраненные сессии летят в трубу?

есть ошибки

критичные?