VLASTIS:
tim zacinam chapat, jak jsi to myslel

HAWKS: tohle vypadá že je to co jsem psal

VLASTIS:
to jsem mel...do IP adresy, ktera lezi v rozsahu LAN toho routeru, jehoz WAN je primo ven, tak to jede, v okamziku, kdy takto udelam smerovani do LAN, ktera lezi v rozsahu dalsiho routeru schovaneho za tunelem, tak uz to nejede, resenim bylo pridat jeste srcnat, viz [ HAWKS @ Mikrotik, Alix a jina mala reseni... ]

HAWKS: když si nastavis pravidlo,že příchozí provoz na port 80 je interně natován do nějaké vnitřní ip.
jak přesně se to dělá na mtk nevím,ale example asi najdeš

Hm.. kdyz jsem na routeru B (v byte) nastavil routing

chain=dstnat in-interface=WAN action=dst-nat to address 192.168.2.51

tak to nefungovalo

v momente, kdy jsem pridal
chain=srcnat dst-address=192.168.2.51 action=masquearade
tak se to rozjelo ze z venkovni site se dostanu na toto zarizeni

tohle nastaveni jsem tam nasel ulozene(a deaktivovane) z doby, kdy mi kolega celou VPN nastavoval a tohle si tam nechal, aby se byl schopen dostat na ten vzdaleny router prekladem adres. Pouzil jsem dve analogicka pravidla a rozjelo se to

Nejake vysvetleni ? Napada me jen to, ze jsem routeru dal navic na vedomi, ze ten pozadavek je smerovany (a schovany) jeste za dalsim routerem a je nutne si pamatovat odkud prisel, aby vedel kam jej zase vratit.

CHOROBA:
kdyz dam ping z bytu (4.0) na nejakou adresu na chalupe (2.0) tak to projde, protoze oba MT maji nastavene routovani, ze do te druhe site se leze pres tunel. ale kdyz dam v byte NAT, ze port 80 ma presmerovat na adresu 2.51, tak to neprojde

VLASTIS:
ted presne nerozumim, jak to myslis

HAWKS: co ten příchozí provoz natovat do vyhrazené IP rozsahu bytu?

HAWKS: kamerovej system? ;)

ATAN:
diky, mrknu na to o vikendu :)

a ne tunelem

se obavan, ze ty naty musej bejt na vobou mrkvotikach. pac ten na chate ten odpoved z portu 80 toho web serveru posle na public

ATAN: v nastaveni vpn pripojeni.

HAWKS: na vpn clientovi musis zaskrtnout Add default route.

ATAN:
KUTNY:

chalupa ma svoji gateway pres lokalniho poskytovatele..ale pokud bych dostal zaroven i radu, jak stahnout cely provoz pres byt, tak by to taky nebylo spatne..
ale na chalupe je default gateway na vychozi branu ISP na chalupe a tim ze je to dynamicky, tak se mi ji nepovedlo nejak rozumne zmenit..

HAWKS: jak jz bylo receno. pokud chalupa ma pristup do Internetu pres Ovpn tunel pres byt (je v byte preklad pro 2.0/24 pres wan routeru v byte) pak ti bude fungovat neco ve smyslu src-ip=neco_v_Internetu(nebo any) dst-ip-address=192.168.2.x protocol=tcp to-port=80 port-pro-pakety-z-Inetu-na-NAT-routeru=80.

HAWKS: rekl bych, ze chalupa by mela lezt na internet pres byt (pres tunel), aby to jelo.

Muzu poprosit o radu ?
Mam dva miktoriky, jeden mam v byte(B) a jeden na chate (Ch). Ten co je v byte, tak ma verejnou IP adresu na WAN, ten co je na chalupe, tak nema verejnou IP
Mikrotik v byte dela LAN 192.168.4.0/24 a ten na chalupe dela LAN 192.168.2.0/24. Mezi mikrotiky je OVPN tunel. Routery maji oba udelane routy, aby site videly na sebe.

Ted potrebuju udelat NAT, aby pozadavek z venkovni site na portu 80 (web server) sel na vnitrni LAN, ale na tu na chalupe, na adresu 192.168.2.50, nikoliv do LAN v byte. NAT do site v byte bez problemu funguje, ale pokud udelam nat do site 192.168.2. Je toto vubec mozne udelat?
Diky

S pravidlama FW z netu sem se dostal do tohodle stavu a nic víc mě zatím nenapadá, nechybí mě tam něco důležitýho ? Dík

0 ;;; povolené spojení zevnitř
chain=forward action=accept connection-state=established
in-interface=1 wan log=no log-prefix=""

1 chain=forward action=accept connection-state=related in-interface=1 wan
log=no log-prefix=""

2 chain=forward action=accept out-interface=1 wan log=no log-prefix=""

3 chain=input action=drop connection-state=invalid log=no log-prefix=""

4 ;;; blokování DNS zvenčí
chain=input action=drop protocol=udp in-interface=1 wan dst-port=53
log=no log-prefix=""

5 chain=input action=drop protocol=tcp in-interface=1 wan dst-port=53
log=no log-prefix=""

6 ;;; Povolení ICMP
chain=input action=accept protocol=icmp in-interface=1 wan log=no
log-prefix=""

7 ;;; povolené porty z netu
chain=forward action=accept protocol=tcp in-interface=1 wan dst-port=80
log=no log-prefix=""

8 chain=forward action=accept protocol=tcp in-interface=1 wan dst-port=443
log=no log-prefix=""

9 ;;; zahození 5.2
chain=forward action=drop dst-address=192.168.5.2 log=no log-prefix=""

10 ;;; Povolení RB mailu
chain=input action=accept protocol=tcp src-address=91.x.x.x
dst-address=91.x.x.x src-port=25 log=no log-prefix=""

11 X ;;; Zahození zbytků
chain=input action=log in-interface=1 wan log=yes log-prefix="zahozeni"

12 chain=input action=drop in-interface=1 wan log=no log-prefix=""

MICHNZEE: Mám starou smartku 450, potom co sem kuchnul kabel a zapojil ho tak jak je potřeba komunikuje s RB bez problémů. Šlo mě jen o poslání mailu.

Ale už sem to vyřešil tímhle skriptem http://wiki.mikrotik.com/wiki/UPS_scripts
sice sem stím chvíli bojoval než sem přišel na to že problém není ve skriptu, ale v tom že si ve firewallu dropuju všechno nevyžádaný z venku. A pro RB mail nefunguje pravidlo "established" na wan, takže sem si zahazoval všechny odpovědi z ISPčkovýho SMTP serveru :D
Po tom co sem si povolil port25 od ISP mail serveru to šlape parádně :)