RouteOS 的 upnp 奇怪问题,求助

2023-09-26 09:45:42 +08:00
 zlkent

环境:在 ESXI 8 下的 RouteOS 7.11.2 版本 PPPoE 拨号,上网正常,有公网 IP 。upnp 按照网上教程开启,防火墙的 NAT 里有软件生成的条目,但实际上没有打通。

upnp 设置:

enabled: yes
allow-disable-external-interface: yes
show-dummy-rule: yes

/ip/upnp/interfaces> print
Columns: INTERFACE, TYPE
# INTERFACE   TYPE
0 pppoe-dx    external
1 bridge-lan  internal

NAT:

Flags: X - disabled, I - invalid; D - dynamic
0    chain=srcnat action=masquerade log=yes log-prefix=""

防火墙配置:

Flags: X - disabled, I - invalid; D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1    ;;; accept ping
chain=input action=accept protocol=icmp log=no log-prefix=""

2    ;;; accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
log=no log-prefix=""

3    ;;; drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

4    ;;; drop all from WAN
chain=input action=drop in-interface-list=WAN log=no log-prefix=""

5    ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes
connection-state=established,related log=no log-prefix=""

6    ;;; accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked log=no log-prefix=""

7    ;;; drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""

8    ;;; drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""

目前的症状: upnp 的软件可以在 NAT 里自动生成条目,类似:

chain=dstnat action=dst-nat to-addresses=192.168.1.66 to-ports=47984 protocol=tcp dst-address=218.80.xxx.xxx in-interface=pppoe-dx
dst-port=47984

但实际上并没有成功,外网无法访问(端口扫描,telnet 等方法无法连上)

如果手动创建一条 NAT

2   chain=dstnat action=dst-nat to-addresses=192.168.1.12 to-ports=9000 protocol=tcp dst-port=9000 log=no log-prefix=""

则可以成功,外网正常访问

如果手动创建的这条,指定 in-interface=pppoe-dx ,则失败。

尝试了关闭所有防火墙规则,取消 upnp 的 interface 设置,对调 interface 里内外网的接口,重置 ROS ,都无效。

不知道有 ROS 大神知道如何解决么? ROS 新手折腾了好多天了,查了无数网站都无解。

1691 次点击
所在节点    宽带症候群
11 条回复
TESTFLIGHT2021
2023-09-26 10:08:48 +08:00
routeros 不支持 NAT1 哎
gearfox
2023-09-26 10:12:22 +08:00
@TESTFLIGHT2021 不是说 endpoint-independent-nat 支持 udp 的 nat1 了吗?
bjzhou1990
2023-09-26 10:22:19 +08:00
给手动创建的 NAT 加个 log ,看下走的 interface ?
zlkent
2023-09-26 10:23:36 +08:00
@TESTFLIGHT2021 #1 和 NAT1 有关系吗?我查了好多个教程,都一样,看着也很简单,但开了就是没效果。
zlkent
2023-09-26 10:29:42 +08:00
@bjzhou1990 #3 dstnat: in:bridge-lan out:(unknown 0), connection-state:new ....(后面就是 ip 什么的敏感就删了)
KenGe
2023-09-26 11:00:10 +08:00
为啥不直接用 nat1 ?
bjzhou1990
2023-09-26 11:09:45 +08:00
@zlkent #5 设置应该没问题,不要在内网访问,自动创建的 upnp 规则只允许了通过外网访问(in-interface=pppoe-dx),你在内网是访问不通的,你自己创建的规则没做限制所以内网可以访问
zlkent
2023-09-26 11:40:16 +08:00
@KenGe #6 刚接触 Ros ,以前一直 ikuai ,还不熟悉,我去看看


@bjzhou1990 #7 尴尬了,还真是,手机换 5G 就正常访问...内网一直不通就没往那方面想。而且群晖里路由器配置的端口映射测试都是失败,就一直觉得是 ROS 问题...
TESTFLIGHT2021
2023-09-26 12:16:23 +08:00
@zlkent 内网访问需要回源
ppbaozi
2023-09-26 17:08:57 +08:00
@zlkent
https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT
zlkent
2023-09-26 17:43:03 +08:00
@TESTFLIGHT2021 #9 ROS 不熟悉,闹笑话了😂


@ppbaozi #10 嗯,这个官方文档粗略看过,水平有限,当时看完没解决😅,所以跑来发帖问,好在现在问题解决了😁

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/977163

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX