Нужна помощь с проблемой dst-nat.

Кажется, даже официальный ответ – нанять консультанта! Оправданная мера, учитывая, что даже самый простой роутер может это реализовать. Ну, ладно, я в отчаянии. Так что вопрос: кто-нибудь уже придумал это? И к кому мне обратиться, чтобы получить реальный РАБОЧИЙ пример, который можно использовать? И сколько это будет стоить?

Окей, это тестовая конфигурация, к которой я могу даже предоставить доступ, если потребуется… Флаги: X - отключен, I - недействителен, D - динамический.

0  ;;; Отмечаем входящие соединения
   chain=input action=mark-connection new-connection-mark=Conn_Mark passthrough=yes in-interface=pppoe-out1

1 X chain=forward action=mark-connection new-connection-mark=Conn_Mark passthrough=yes in-interface=pppoe-out1

2 X chain=prerouting action=mark-routing new-routing-mark=Routing_Mark passthrough=yes connection-mark=Conn_Mark

3  ;;; Отмечаем исходящий маршрут
   chain=output action=mark-routing new-routing-mark=Routing_Mark passthrough=yes connection-mark=Conn_Mark

4  ;;; ??
   chain=prerouting action=accept dst-address=165.145.187.0/24 in-interface=LAN

5  chain=prerouting action=mark-connection new-connection-mark=Conn_Mark passthrough=yes dst-address-type=!local in-interface=LAN

6  chain=prerouting action=mark-routing new-routing-mark=Routing_Mark passthrough=yes in-interface=LAN connection-mark=Conn_Mark

7 X chain=forward action=log out-interface=LAN connection-mark=Conn_Mark log-prefix="" Флаги: X - отключен, I - недействителен, D - динамический.
0  ;;; NAT всего исходящего трафика
   chain=srcnat action=masquerade out-interface=pppoe-out1

1 X chain=srcnat action=masquerade out-interface=LAN

2 X chain=srcnat action=src-nat to-addresses=192.168.12.28

3  ;;; Порт-форвардинг
   chain=dstnat action=dst-nat to-addresses=192.168.12.1 in-interface=pppoe-out1
[admin@P4-Intel-Server] /ip firewall nat> # ADDRESS NETWORK BROADCAST INTERFACE
0 D 192.168.12.28/24   192.168.12.0    192.168.12.255  LAN                                                                        
1 D 165.145.187.161/32 165.145.176.1   0.0.0.0         pppoe-out1                                                                  
[admin@P4-Intel-Server] /ip address> Следующее - только часть таблицы маршрутизации, так как там примерно 1600 записей… Флаги: X - отключен, A - активен, D - динамический, C - подключен, S - статический, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - недостижим, P - запрещен.
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  ;;; PBR-Default Route
       0.0.0.0/0                          pppoe-out1         1      
1 ADS  0.0.0.0/0                          165.145.176.1      1      
2 ADo  10.1.0.0/16                        192.168.12.1       110    
3 ADo  10.10.10.0/24                      192.168.12.1       110    
4 ADo  10.103.0.0/16                      192.168.12.4       110    
5 ADo  10.103.120.2/32                    192.168.12.4       110    
6 ADo  10.106.0.0/16                      192.168.12.4       110    
7 ADo  10.107.128.1/32                    192.168.12.1       110    
                                          192.168.12.14    
8 ADo  10.107.129.1/32                    192.168.12.4       110    
9 ADo  17.255.248.0/23                    192.168.12.4       110    
10 ADo  32.106.152.0/24                    192.168.12.4       110    
11 ADo  32.106.153.0/24                    192.168.12.4       110    
12 ADo  32.107.9.0/24                      192.168.12.4       110    
13 ADo  32.238.152.0/24                    192.168.12.4       110    
14 ADo  32.238.153.0/24                    192.168.12.4       110    
15 ADo  32.239.182.0/24                    192.168.12.4       110    
16 ADo  41.0.0.0/16                        192.168.12.4       110    
17 ADo  41.0.13.0/24                       192.168.12.4       110    
18 ADo  41.0.16.0/21                       192.168.12.4       110    
19 ADo  41.0.24.0/24                       192.168.12.4       110    
20 ADo  41.0.30.0/24                       192.168.12.4       110    
21 ADo  41.0.72.0/21                       192.168.12.4       110    
22 ADo  41.0.168.0/21                      192.168.12.4       110    
23 ADo  41.0.196.0/24                      192.168.12.4       110    
24 ADo  41.0.198.0/24                      192.168.12.4       110    
25 ADo  41.0.208.0/20                      192.168.12.4       110    
26 ADo  41.0.212.0/22                      192.168.12.4       110    
27 ADo  41.0.236.0/24                      192.168.12.4       110 PBR работает для входящих соединений к публичному IP. Однако ломается для правил dst-nat, так как, похоже, Mikrotik предпочитает использовать маршруты из таблицы маршрутизации для ответа и нарушает связь. То есть не слушает PBR… Сообщите, если вам нужна дополнительная информация. Мой тест основан на примере PCC без PCC и максимально использованы возможности. Обратите внимание, что публичный IP динамический…

Извини, функция печати не показала Routing Mark для этого маршрута. Очевидно, мне пришлось указать интерфейс вместо IP, потому что IP динамический.

Не работает! Если сделать правило dst-nat вроде того, что у меня в конфиге, то соединение попадает на MT, который перенаправляет его на внутренний сервер, но MT не отправляет ответ тем же интерфейсом обратно на исходный сервер. Вместо этого он использует свою таблицу маршрутизации для ответа и в итоге отправляет трафик на другой роутер вместо того, чтобы отправить его обратно через интерфейс, через который он пришел.

Ты про какой-то маршрут к 165.145.187.0/24 через другой роутер говоришь?.. Если да - то включи правило 1 и скопируй правило 6 выше на 4 - потом проверь…