Как сделать проброс портов на Mikrotik, если он не является шлюзом

Бешенное количество времени потратил на то, чтоб научить Микротик пробрасывать порт, если он не является шлюзом. У меня такое работало в Linux, а Mikrotik и разные “домашние роутеры” не хотели этого делать.  Как оказалось, Mikrotik может всё))) Для того, чтоб Микротик умел работать с сервером, который работает через другой шлюз, необходимо прописать правила: В Mangle: /ip firewall mangle add chain=input action=mark-connection new-connection-mark=to_speedy passthrough=yes in-interface=ether1 /ip firewall mangle add chain=output action=mark-routing new-routing-mark=speedy-isp passthrough=no connection-mark=to_speedy log=no log-prefix=”” /ip firewall mangle add chain=forward action=mark-connection new-connection-mark=to_speedy-f passthrough=no in-interface=ether1 /ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=speedy-isp connection-mark=to_speedy-f in-interface=ether1 В Firewall Nat: /ip firewall nat add chain=srcnat action=masquerade src-address=192.168.20.0/24 log=no log-prefix=”” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=80 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=80 log=no log-prefix=”” /ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=80 log=no log-prefix=”” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=443 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=443 log=no log-prefix=”” /ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=443 log=no log-prefix=”” Где 134.249.121.18 – внешний адрес WAN Микротика, 192.168.20.200 – внутренний адрес LAN Микротика, 192.168.20.0/24 – внутренняя сеть (LAN), 192.168.20.167 – IP-адрес сервера, к которому пробрасываем порты, 80, 443 – пробрасываемые порты.      

Read more