Hello, I'm spanish and I can't speak Englisk very nice. I have some problems when I'm entering nat rules. I don't know when i must use src-nat. I have a vpn server in my Intranet and I want to do NAT at this server. ¿Do I must to define src-nat rules? I have opened tcp port 1723 and gre.
My problem is that sometimes the connection has not any reply.
I have two gateways. Coul it be the reason of my problems?
Thanks.
Bye.
Hola Alberto, para hacer port forwarding (lo que vos queres hacer) se utiliza dstnat.
Fijate, tengo una PC con un FTP y quiero que desde Internet ingresen al puerto:
;;; Permite FTP
chain=dstnat protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.1.2 to-ports=21
Con respecto al gre, fijate, deberias utilizar el mismo chain dentro de /ip firewall filter pero con protocol=gre:
chain=dstnat protocol=gre
Cualquier cosa me avisas.
Un Abrazo
Fijate, tengo una PC con un FTP y quiero que desde Internet ingresen al puerto:
;;; Permite FTP
chain=dstnat protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.1.2 to-ports=21
Con respecto al gre, fijate, deberias utilizar el mismo chain dentro de /ip firewall filter pero con protocol=gre:
chain=dstnat protocol=gre
Cualquier cosa me avisas.
Un Abrazo
Hola fpascual, en primer lugar darte las gracias por contestar. Además, me resulta más fácil hablar en castellano jeje.
Bueno, el caso es que las reglas que me has dado las sabía configurar. Miro, te explico el problema que me está surgiendo de una forma más detallada. Tengo dos gateways, uno con telefónica y otro con jazztel. Cuando sólo conecto un gateway al balanceador todo funciona perfectamente. El problema viene cuando conecto los dos gateways, que debe ser que alguno mete conflicto en la red o algo así, porque en la red podemos seguir navegando pero no responde a cualquier otro tipo de peticiones.
Ahora mismo en las reglas NAT del firewall tengo lo siguiente:
- una regla de tipo masquerade para la WAN1
- una regla de tipo masquerade para la WAN2
- una regla de tipo dns-nat (tanto en action como en chain) en la que indico que todo lo que entre por la WAN1 y por el puerto 3389, que lo envíe a un ordenador en cuestión. Es para poder pillar por escritorio remoto. Pues lo curioso es que en función de la IP que ponga, algunas las pilla y otras no. Pensé que se podía deber a que el conectar dos gateways, el balanceador asigne a los pc's de la red el gateway que más le convenga, y en función de éste, algunos puedan hacer el nat bien y otros no.
¿Se te ocurre algo? Si necesitas que te explique algo más detalladamente me avisas.
Un abrazo y gracias de nuevo por el interés.
Bueno, el caso es que las reglas que me has dado las sabía configurar. Miro, te explico el problema que me está surgiendo de una forma más detallada. Tengo dos gateways, uno con telefónica y otro con jazztel. Cuando sólo conecto un gateway al balanceador todo funciona perfectamente. El problema viene cuando conecto los dos gateways, que debe ser que alguno mete conflicto en la red o algo así, porque en la red podemos seguir navegando pero no responde a cualquier otro tipo de peticiones.
Ahora mismo en las reglas NAT del firewall tengo lo siguiente:
- una regla de tipo masquerade para la WAN1
- una regla de tipo masquerade para la WAN2
- una regla de tipo dns-nat (tanto en action como en chain) en la que indico que todo lo que entre por la WAN1 y por el puerto 3389, que lo envíe a un ordenador en cuestión. Es para poder pillar por escritorio remoto. Pues lo curioso es que en función de la IP que ponga, algunas las pilla y otras no. Pensé que se podía deber a que el conectar dos gateways, el balanceador asigne a los pc's de la red el gateway que más le convenga, y en función de éste, algunos puedan hacer el nat bien y otros no.
¿Se te ocurre algo? Si necesitas que te explique algo más detalladamente me avisas.
Un abrazo y gracias de nuevo por el interés.
No, sólo tengo dst-nat para la wan1 porque pensé que si la ponía para la wan2 daría fallo. ¿con las reglas forward te refieres a las dst-nat ó también hay que añadir unas reglas forward en filter rules?
Mira, ahora estoy haciendo otra prueba. Puse que por la wan1 se accediera por remoto a un pc y perfecto. Luego le indico con otra regla que acceda a otro para que le sirva web y en ese momento sólo sirve web y ya no hace nat al escritorio remoto.
Siento si molesto mucho pero estoy un poco perdido con la solución.
Gracias de nuevo.
Mira, ahora estoy haciendo otra prueba. Puse que por la wan1 se accediera por remoto a un pc y perfecto. Luego le indico con otra regla que acceda a otro para que le sirva web y en ese momento sólo sirve web y ya no hace nat al escritorio remoto.
Siento si molesto mucho pero estoy un poco perdido con la solución.
Gracias de nuevo.
Fijate esto:
/ip firewall filter
;;; Permito FTP
chain=forward dst-address=192.168.1.2 protocol=tcp dst-port=21 action=accept
/ip firewall nat
;;; Permite FTP
chain=dstnat protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.1.2 to-ports=21
Tenes que habilitarlo en el forward tambien.
En las reglas de Nat no le pongas source interface, asi lo procesa de donde lo reciba.
Cualquier cosa srv1990 at fibertel.com.ar
No se si se puede postear en castellano por aca, tengo miedo de que me saquen el usr.
Un Abrazo
/ip firewall filter
;;; Permito FTP
chain=forward dst-address=192.168.1.2 protocol=tcp dst-port=21 action=accept
/ip firewall nat
;;; Permite FTP
chain=dstnat protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.1.2 to-ports=21
Tenes que habilitarlo en el forward tambien.
En las reglas de Nat no le pongas source interface, asi lo procesa de donde lo reciba.
Cualquier cosa srv1990 at fibertel.com.ar
No se si se puede postear en castellano por aca, tengo miedo de que me saquen el usr.
Un Abrazo