Проброс 2 внешних портов на 1 сервер с 2 nic

[^D^ima]

Коллеги, помогите понять.
Сервер(Windows server 2016) в локальной сети, 2 nic с разными подсетями(IP 192.168.0.90 mask 255.255.255.0, IP 192.168.1.90 mask 255.255.255.0).
Микротик IP 192.168.0.250, IP 192.168.1.250
Я хочу подключаться к серверу через интернет через RDP по разным портам(3000 и 3001 на разные интерфейсы сервера). Нужно пробросить с микротика.

Интернет - RDP 3000 - mikrotik - server NIC 1
Интернет - RDP 3001 - mikrotik - server NIC 2

1 порт пробрасывается (dst-nat ), со вторым проблема. т.к. на сервере может быть только 1 шлюз по умолчанию и проброшенный через dst-nat пакет на NIC2 IP 192.168.1.90 (как я понял) пытается уйти через NIC1 IP 192.168.0.90 и связь не работает.
wireshark показывает что микрот отрабатывает и внешнее RDP на 3001 приходит на IP 192.168.1.90

Я так понимаю что для порта 3001 нужно не только менять адрес назначения dst-nat 192.168.1.90 но и src-nat на IP микрота 192.168.1.250.
Так ли это? Если да, как одновременно сделать для входящего подключения именно на порт 3001 и src-nat и dst-nat? Но если сделать src-nat то как потом сделать обратное преобразование?

Можно сделать статические маршруты на сервере, но это будет работать только для определенных внешних адресов, и то получается что с 1 внешнего адреса я смогу подключаться на 3000 порт а с другого на 3001

[Gonarh]

Копай в сторону / ip settings rp-filter

[Akina]

Цитата ^D^ima @ 30.10.22, 19:27

wireshark показывает что микрот отрабатывает и внешнее RDP на 3001 приходит на IP 192.168.1.90

А от какого адреса приходят эти пакеты? Должны приходить от 192.168.1.250, и при этом дефолтный маршрут вообще не при чём... если ответ идёт в соответствии с таблицей маршрутизации на дефолтный гейт, значит, микротик неправильно пробрасывает порт, не выполняет подмену истинного адреса источника на свой.

PS. Я бы предложил порыться тут: https://forummikrotik.ru/viewforum.php?f=15

[^D^ima]

Цитата Akina @ 31.10.22, 05:39

А от какого адреса приходят эти пакеты?

от внешнего адреса интернета. Отрабатывает dst-nat

Gonarh

Скрытый текст

strict - Strict mode as defined in RFC3704 Strict Reverse Path. Each incoming packet is tested against the FIB and if the interface is not the best reverse path the packet check will fail. By default failed packets are discarded.

Как это перевести на русский?

Добавлено 31.10.22, 06:34

Цитата Akina @ 31.10.22, 05:39

не выполняет подмену истинного адреса источника на свой.

По всем мануалам мы делаем просто dst-nat для проброса портов а обратно отрабатывает маскарадинг

[Akina]

Цитата ^D^ima @ 31.10.22, 06:31

от внешнего адреса интернета.

Это неверно. И именно это и есть источник наблюдаемой проблемы.

Цитата ^D^ima @ 31.10.22, 06:31

По всем мануалам мы делаем просто dst-nat для проброса портов а обратно отрабатывает маскарадинг

Просто ни один мануал не рассматривает доступа по маршруту, отличающемуся от дефолтного.

[^D^ima]

Победил наконец:

chain=dstnat action=netmap to-addresses=192.168.1.90 to-ports=3389 protocol=tcp dst-port=3001 log=no log-prefix=""
 
chain=srcnat action=src-nat to-addresses=192.168.1.250 protocol=tcp dst-address=192.168.1.90 dst-port=3389 log=no log-prefix=""