Witam,
Bardzo proszę o pomoc w skonfigurowaniu przekierowania MikroTika i AP-ków na Internet. W sieci wewnętrznej router znajduje się na adresie 192.168.5.1 , a AP-ki kolejno 192.168.5.201 … 205
Próbowałem już wiele poradników, np. ten
http://bobotik.blogspot.com/2013/05/przekierowanie-portow-na-platformie.html
ale brak odpowiedzi z mojego adresu domowego.
Czy mam podać coś z konfiguracji jeszcze?
/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
X.X.X.X dst-port=xx protocol=tcp to-addresses=Y.Y.Y.Y to-ports=\
yy
Gdzie:
X.X.X.X - adres ip twojego WAN
xx - port z którego ma być dostęp z zewnątrz np 81 
Y.Y.Y.Y - ip urządzenia w twojej LAN, które ma być widoczne w internetach.
yy - port po stronie LAN
Ja w ten sposób mam wyprowadzony dostęp do winboxa mikrotików wewnątrz sieci oraz okazjonalnie inne usługi. Co do reszty to nie bardzo rozumiem możesz mi to zobrazować?
Mikrotik > ap1 >ap2… > router? czy jak ?
Dzięki za odpowiedź.
ADRES DOMOWY <— WAN —> Mikrotik (dostęp) – LAN --> AP1 (dostęp), AP2 (dostęp), AP3 (dostęp), AP4 (dostęp), AP5 (dostęp)
Niestety, dodało się prawidłowo, ale nie działa.
Czyli rozumiem chcesz aby do każdego AP z tych 5 był dostęp z zewnątrz?
Czyli dla każdego musi być osobna regułka.
Dodatkowo czy bez regułek jak wchodzisz na adres WAN w przeglądarce to otwiera Ci się strona mikrotika?
Bo jak nie to jeszcze coś masz w konfiguracji co blokuje całkiem kontakt po WANie
Jak tak to coś chyba źle porty w regułce podajesz.
Po wejściu na adres zewn. nie ma nic, kompletnie nic - brak odpowiedzi. Nawet nie pinguje. Tracert zatrzymuje się na adresie 10.100.76.2 :-(****
/ip firewall nat export
Wklej tu zawartość(adres wan itd możesz ukryć :P)
Mam jeszcze pytanie odnośnie blokady FaceBooka. Dlaczego jak użyję ‘drop’ na podstawie content = ‘facebook’ to blokuje facebook.pl i facebook.de, a facebook.com już nie?
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.5.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=95.211.144.65 \
dst-port=80 protocol=tcp src-address=192.168.5.21 to-addresses=\
94.232.220.53 to-ports=80
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.5.201 \
out-interface=LOCAL
add action=dst-nat chain=dstnat disabled=yes dst-address=10.10.81.10 \
dst-port=81 protocol=tcp to-addresses=192.168.5.201 to-ports=80Twoim adresem WAN jest 95.211.144.65?
TO wywal wszystko tylko zostaw maskaradę na 192.168.5.0/24
Dodaj to:
/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-address=95.211.144.65 \
dst-port=81 protocol=tcp to-addresses=192.168.5.201 to-ports=80
Czy otwarcie 95.211.144.65:81 działa?
Bo jak nie to musisz poczekać na kogoś bardziej obeznanego np. roobala 
To nie jest mój adres WAN. Eksperymentowałem z blokadami różnych stronek dla pracowni komputerowych :-o
Nie poruszajmy tu dwóch rzeczy na raz (przekierowania i blokowania), bo od tego jest oddzielny wątek. Napisz czy masz w ogóle publiczne IP, bo porada z tego posta powinna zadziałać.
Mówimy o publicznym adresie IP u mnie w domu czy adresie zewnętrznym sieci, do której chcę się z domu połączyć?
Sieć, z którą chcę się połączyć ma 1 stały adres IP 194.183.xx.xx. Z domu gdy się łączę nie ma nawet pingu na nią. W ogóle jest niewidzialna u mnie. Za to ping w drugą stronę [sTAMTĄD --> ja] działa.
Router ma adres w zakładce Internet [WAN] 10.10.81.176 , bramę 10.10.81.10 , sieć wewnętrzna [LAN] to 192.168.5.x , na niej router ma adres 192.168.5.1
Tracert z domu staje na adresie 10.100.76.2.
Adres publiczny, to adres widoczny w internecie, tzw. zewnętrzny. Na WAN powinieneś mieć publiczne IP, a nie prywatne. Pokaż wyniki poleceń.
int p
ip a p
ip f n pTen właśnie 194.183.x.x to jest publiczny, widziany z Internetu gdy wejdę na stronę ze sprawdzaniem IP.
Adres publiczny przypisujesz do WAN. Do interfejsu możesz przypisać dwa adresy, więc możesz mieć 194.x.x.x i 10.x.x.x.
Zrób to tak:
Jeśli adres przypisujesz statycznie.
ip address add address=194.183.x.x netmask=x.x.x.x interface=WAN
Jeśli adres dostajesz z DHCP.
ip dhcp-client add interface=WAN disabled=no
Wyczyść wszystkie reguły dla NAT poleceniem.
ip firewall nat remove X
Gdzie X, to numer reguły.
Utwórz nowe reguły.
/ip firewall nat [ENTER]
add chain=srcnat action=masquerade out-interface=WAN
add chain=dstnat action=dst-nat dst-address=194.183.x.x dst-port=80 to-address=192.168.5.201 to-ports=80 protocol=tcp
add chain=dstnat action=dst-nat dst-address=194.183.x.x dst-port=81 to-address=192.168.5.202 to-ports=80 protocol=tcp
add chain=dstnat action=dst-nat dst-address=194.183.x.x dst-port=82 to-address=192.168.5.203 to-ports=80 protocol=tcp
i tak dalej dla pozostałych dwóch APekó.
W miejsce 194.183.x.x wstawiasz publiczne IP jakie przypisujesz do routera. Netmask=x.x.x.x to maska podsieci jaką ma adres IP. Jeśli nie znasz maski, wpisz netmask=255.255.255.255.
Gdyby dalej coś nie działało, pokaż ponownie wynik poleceń.
interface print
ip address print
ip firewall nat printA czy to nie wywoła konfliktu w serwerach ISP?
A jak to sprawdzić?
Nie do końca rozumiem, o czym mówisz. Rozumiem, że w Internecie jest jakiś serwer DHCP?
Jeżeli mógłbyś, rozwiń swoją myśl.
Ok, ale jedno z ustawień jest ISP - 192.168.5.0/24 [MASKARADA]. Czy jego wyrzucenie nie spowoduje odcięcia Internetu? Za co właściwie ono odpowiada?
Dlaczego ma wywołać? Po to masz NAT, abyś mógł łączyć sieć prywatną z publiczną.
Takie rzeczy powinny być chociażby na umowie, a skoro konfigurujesz router, to byłem pewny, że wiesz o co chodzi.
Maskarada to typ NAT. Maskarady używa się głównie przy zmiennym IP oraz przy mapowaniu jeden do wielu jak w Twoim przypadku. Nie obraź się, ale jeśli nie masz pojęcia jak skonfigurować router i o tym jak działają sieci, a robisz to w jakiejś firmie, to proponuję oddać to w ręce jakiegoś specjalisty. Jak ktoś będzie musiał ogarniać po Tobie bałagan, to będzie Cię przeklinał w myślach.
Tak, usunięcie reguł spowoduje odcięcie od internetu, ale tylko na czas dodania nowych reguł. Możesz jeszcze użyć modyfikacji reguł.