Входящий на наш роутер пакет имеет IP адрес источника (source) и IP адрес назначения (destination). Входящий пакет знает о внешний адресе нашего роутера и ничего не знает о локальных адресах роутера. Предположим что мы хотим этот пакет перенаправить на сервер в локальной сети, который имеет локальный адрес. Что нам нужно сделать? Догадайтесь с первого раза! Конечно! Поменять адрес назначения - destination address. А какая цепочка меняет адрес назначения? Правильно, она так и называется - dstnat. Chain: dstnat - цепочка для внешних пакетов поступающих внутрь NAT сети Условия при которых действия будут предприняты (если все условия совпадут): Protocol: tcp Dst. Port: 880 - порт назначения In. Interface: ether1 - входящий интерфейс Действие (если пакет имеет протокол TCP, порт назначения 880 и защёл через ether1): Action: dst-nat - поменять адрес и/или порт назначения To Address: 192.168.88.253 - на какой адрес поменять To Ports: 880 - на какой порт поменять Сервер получит пакет и отправит в ответ свой пакет с адресом назначения и адресом источника В адресе источнике он укажет свой локальный адрес. Пакет вернётся обратно на роутер. Роутер сверится с таблицей. И в той же самой цепочке, dstnat, произойдет обратное преобразование. Но у ответного пакета поменяется адрес источника, как будто это ответил сам роутер, а не сервер из локальной сети. Для чего нужна цепочка srcnat - ответ прост, для подмены локального адреса источника, если пакет выходит наружу. Другими словами, если пакету не менять адрес источника то получатель во внешней сети получит пакет, но не сможет отправить ответ, так как не будет знать где искать отправителя.

2022г. Актуально как никогда. Только благодаря тебе смог решить поставленную задачу.

сделай пожалуйста ролик чтобы 2 провайдера работали одновременно для разных групп абонентов. к примеру: ISP1 предоставляет группе абонентов 1, а ISP2 предоставляет группе абонентов 2

На счет проброса порта 3389,там на нетмапе для внешнего адреса chain=dstnat должен быть а не srcnat иначе нифига работать не будет.А так зачетно!

Подписался, натыкал лайков)) спасибо за канал. Может, еще сделаете видео об организации туннелей между точками(офисами) на базе микротиков? С интересом посмотрел бы.

Где он правильный? ты вообще в курсе для чего netmap? правильный проброс делается через dst-nat

Хорошие видео по настройке! Если не сложно хотелось бы видео по настройки впн с разными вариантами подключения.

Добрый день. Или я что-то не понимаю, или Ваш скрип в нетвоче не отрабатывает. Дело в том, что в показанном примере просто сработало "переключение маршрута" по дистанции. Если бы сработал скрипт, то "задизабленый" маршрут д.б. сделаться "серым". Это легко проверяется в том-же винбоксе enable/disable на конкретном маршруте.

Добрый, подскажите по LAN кабелю камеру видно из интернета которая работает через облако хикконект, но когда подключаю камеру к роутеру по вай фай она не в сети, роутер MikroTik wAP LTE kit

11:16 меня заинтересовала именно последние минуты вашего видео. не как не получается нормально заработать мТорен. всё что там я увидел выполнил, зашёл вкладку NAT и там поднял верх появившиеся интерфейсы. вопрос такой, а надо ли что то настраивать фильтры фаервола Mikrotik? если надо то как это будет выглядеть правильном варианте?

День добрый. Сделал резервирование канала по вашему совету. И выявилась такая проблемка. В IP->Route после перезагрузки образуется автоматический маршрут DAS и интернет отваливается, пока не удалишь его вручную. Это всегда происходит на соединения типа PPoE.

если оставить srcnat ругается "Couldn't change NAT Rule - incoming interface matching not possible in output and postrouting chains (6)" а с dstnat не работает

9:36 Разве правило маскарадинга под номером 0 не делает то же самое что и отдельные правила, но только для всех dst адресов, портов, протоколов? Для чего тогда отдельные правила?

Здравствуйте, Михаил! Проброс портов для RDP по Вашей инструкции не сработал (другие на использовал). Вот как настраивал я: Вкладка General Chain: dstnat протокол правильно порт правильно, но я всегда использую нестандартный In. Interface: выбираем наш интерфейс интернета Applay Вкладка Action Action: dst-nat To Addresses: IP адрес локального компьютера To Ports: 3389 Applay После такой настройки всё заработало.

Скажите пожалуйста, а почему не через днс стат отражение к почтовому серверу сделали ?

Можно ли с помощью данного устройства, создать 2ую подсеть и вывести туда всю айпи телефонию, если да, то не подскажите как ? Без дополнительного оборудования, если нет, то что необходимо.

При отвале линка у первого провайдера, пинг на 8.8.8.8 автоматом пойдет через первого. В таком случае лучше принудительно в файрволе запретить пинг 8.8.8.8 через ISP2. Ну и конечно же проверять второго провайдера тоже необходимо.

Михаил, после выполнения проброса портов как обезопасить свою сеть от извне? Спасибо!

Добрый день! Спасибо за видео. Можно ли на микротике сделать сегментацию локальной сети на две -три подсети , созданием двух - трёх мостов(bridge)?

ДОБРОГО ВРЕМЕНИ СУТОК Михаил как настроить микротик под модем второй день ищу инфу но везде такой бред что даже далекому человеку понятно сами браны таких же и учат но бестолку помогите пожалуйста

при переключении на второго провайдера проброс портов перестанет работать ведь вы зачем то указали внешний айпишник в правиле проброса)

Как net-map? Не советую же его? Делаем Accept правило в цепочке Forward для нужно интерфейса. Во вкладке Nat делаем такое же правило dstnat с Action dstnat на нужный интерфес. По путно если это резервный канал был упущен маскарад и во вторых в мангле мы не промаркировали с какого интерфейса пришел пакет и соответственно в ройтинге не создали правила for forward incomming если мы уж заговорили о входящем трафике. Плюсом автор вот так вот "высунул в инет" то что ни один здравомыслящий админ не высунет - RDP. 10:19. А если правил 100? Есть же в адвансетах src list. Завтра мы соберемся переезжать в другую подсеть. Что делать? Менять везде адреса в каждом правиле?

немного поверхностно про двух провов, на нднях ка разкурю эту тему , пока 8ки не доабвли в фаревол они все равно пниговалсья через другйо провайдер хотя марушру тя сделал токо для первого , сорня за ошибки)))еще вопрос а ка же МАНГЛ нужен или нет??а то в некторых манах маркируют пакеты в других нет...

Спасибо) Как раз то что было нужно)

Михаил Ситуация следующая есть предприятие на нем две сети выход в инет в одной без прокси в другой через прокси но без логин пароля подскажите ка настроите раздачу интернета в третью сеть. Микротик RouterBOARD wAP 2nD r2 первая сеть 10.10.10 вторая 10.70.53. третья 192.168.0

Здравствуйте, Михаил, огромное спасибо за Ваши труды!) У меня такой вопрос. Настроил переброс Wan каналом, переброс работает и туда и обратно, но вот сам интернет не подхватывается, только если перезагрузить микрот. Может я что-то упустил? Кстати, netwatch работает не коректно. При падении одного из каналов (физическое отключение кабеля) mikrot автоматом перебрасывает на второй rout , а статус нетвотча остаётся UP .

а как нету IP 2-го проадера, (не завели но надо нстроить).. ?

10:13. Адрес подсети 172.1.1.0 -Опечатка? Должно быть 172.17.1.0

отличные обзоры!

В чем разница между действием netmap и dst-nat?

Зачем городить скрипты, если есть рекурсия ) на один из пров.

Для маршрута, который был получен от провайдер по DHCP коммент нельзя установить

Изложение ясное. Но зачем накладывать квакающий фон? Только раздражение от неуместности и неуважения к зрителю.

госпаде, ну зачем тут эта музыка... хоть без звука смотри...😵‍💫

Выбил мозги своим бумбоксом.

Правильно говорить не микрОтик, а микротИк

Первое --> убери музыку (если ты думаеш что кто то оценит ошибаешся). Второе побольше подробностей про то что ты делаеш! Фейковые аккаунты помогают ставить лайки, но это не на долго. Ставлю неуд.

А чё музыка такая тихая, мы ведь тут все собрались музычку послушать