regra de redirecionamento de porta é no balance ou no mk dos clientes?

pessoa boa tarde! devo dizer que pesquisei muito e estou com muitas dúvidas, por isso resolvi perguntar.
è o seguinte: Na rb que autentica os clientes, a porta do winbox é a 8291, e a porta web é 3000 que eu mudei.
no balance a porta que está para o winbox é a 8292 e a web porta 80. fiz o redirecionamento para acesso remoto mas nao obtive exito. dúvidas:

1. Onde crio as regras de redirecionamento?é no balance ou na outra rb que gerencia os clientes?
2. o script que tenho é o do ddns, qual a interface que devo colocar la no script, é a interface da rb dos clientes ou a interface do balance

em rede local estou acessando normalmente a rb dos clientes porque a do balance nao estou conseguindo ter acesso via winbox e nem via navegador. obrigado a todos que se disponibilizar a me ajudar. Estou pesquisando e pondo em prática aqui o que estou lendo para ver se tenho exito.

Script e redirecionamento é no balance amigo.

O redirecionamento começa no balance e segue pelo seu roteamento.
Por que não usa o ip cloud na mikrotik. É um ddns da própria, o nome do host não é muito inteligível e você não pode personalizar. Mas a vantagem é que não precisar ficar disparando script toda hora. O próprio MK checa se a rota default mudou e atualiza o DDNS.

Bom dia ruanserver;

Prestamos consultoria para provedores e empresas caso tenha interesse posso te auxiliar nas configurações de sua rede, vou deixar o contato:

Skype: rb7telecom

Carlosaps, agora que ja sei que é no balance, como faço esse redirecionamento aí tendo em vista esse meu cenário aí acima? Ou seja: rb dos clientes, porta winbox 8291 com im 192.168.10.248, porta web 3000

ninguém...?

nos dois

o redirecionamento deve ser feito nas duas rbs, ex:

add action=dst-nat chain=dstnat comment=\
"REDIRECIONAMENTO DE ACESSO AO CONCENTRADOR" dst-port=8291 protocol=tcp \
to-addresses=192.168.88.1 to-ports=8291


OBS: EM TO-ADDRESSES, VC COLOCA O IP DO BALANCE

E NO BALANCE VC FAZ A MESMA REGRA E COLOCA O IP DO CONCENTRADOR. TESTA AI E FALA SE DEUS CERTO, CLIK NA ESTRELINHA AI COMO FORMA AGRADECIMENTO.

conseguir resolver meu problema. nao tenho nenhuma regra na rb que gerencia os clientes e sim todas no balance. Eu fiz da seguinte forma:


balance.... porta winbox 8292
clientes.... porta winbox 8291
----------------------------------------------

balance......... porta web 3001
clientes......... porta web 3000

ip da rb que gerencia os clientes = 192.168.10.250

tendo esses dados, fiz a regra somente no balance conforme abaixo:

IP, FIREWALL, NAT, SINAL DE + , CHAIN, DSTNAT, PROTOCOLO TCP, DST PORT= 8291, ACTION, DST-NAT, TO ADDRESS 192.168.10.250, TO PORT 8291.

abra a outras portas desse mesmo jeito. em seguida vem o script, no meu caso, eu utilizo o ddns.

:global ddnsuser "seuemail"
:global ddnspass "suasenha"
:global ddnshost "endereçoremoto"
:global ifaceddns "adsl_ether4"
:global lastddnsip
:global lastgat




##################################################################################




:if ([:len [/interface find name=$ifaceddns]] = 0 ) do={ :log info "DDNS: Interface $ifaceddns nao encontrada, verifique."} else={




:global ifaceip [/ip address get [find interface=$ifaceddns] address]
:global ddnsip $ifaceip




:if ([ :typeof $ddnsip ] = "nothing" ) do={
:log info ("DDNS: Sem IP na interface " . $ifaceddns . ", verifique.")
} else={
:if ($ddnsip != $lastddnsip) do={
:log info "DDNS: Setando gateway para $ifaceddns"
:put [/ip route set [ find comment="CHANGEIP" ] gateway=$ifaceddns]
:log info "DDNS: Atualizando, aguarde..."
:log info [ :put [/tool dns-update name=$ddnshost address=[:pick $ddnsip 0 [:find $ddnsip "/"] ] key-name=$ddnsuser key=$ddnspass ] ]
:global lastddnsip $ddnsip
} else={
:log info "DDNS: Sem modificacao."
}
}




}


pronto... está assim e estou acessando normalmente





Obs: se estiver na rede local vc so vai conseguir acessar via ip da rede local 192.168.10.250:8291 via winbox, ou entao via web 192.168.10.250:3000


pra vc testar se realmente está funcionando remotamente, faça o teste de uma outra internet mesmo. que nao seja nenhuma das duas do balance. é isso aí, postei o que aprendi, e pode servir para alguem.

agradeço aos que se disponibilizaram a me ajudar via skype. e o ultimo brother ISAQUEBRUMEL ai que me ensinou a fazer a regra tanto no balance tanto na rb dos clientes. Digo a você irmao, vou testar agora aqui dessa forma que voce me passou e volto a postar aqui se deu certo.

isaquebrumel, da forma que tu falou, nao obtive exito. a unica coisa que nao estou conseguindo, é ter acesso a meu balance via acesso local, so consigo remotamente... so tenho acesso local somente a rb que gerencia os clientes.

Sempre vejo essa duvida aki no fórum,ja falei em outros posts mas o pessoal prefere dificultar, pra vc não precisar fazer qualquer redirecionamento no load,basta criar uma regra de DMZ no load,a partir dai tudo passa de maneira "transparente" para a próxima rb,não necessitando duplicar regras.

Resumo das regras:
add action=dst-nat chain=dstnat dst-port=8292 comment="PC.WBX" protocol=tcp to-addresses=10.200.200.2 to-ports=8291
add action=dst-nat chain=dstnat comment="PC.DMZ" protocol=tcp dst-port=!8291,888 in-interface=!EthLB to-addresses=10.200.200.2
add action=masquerade chain=srcnat comment="PC.MSQ" out-interface=!EthLB src-address=0.0.0.0/0

fonte:https://under-linux.org/showthread.php?t=151300

Sostenes. Vou testsr sua dica. Entao fazendo essa dmz. Qualquer configuração agora é feita na rb que gerencia os clientes ne isso?

sim exatamente!
lembrando que:
o ip 10.200.200.2 seria o ip da sua rb clientes.
!EthLB seria a interface que interliga as rbs.
e a regra de masquerade mascara todas as eth menos a que interliga as rbs
facilitando não criar uma regra par cada link.,

sostenes você falou aí " !EthLB seria a interface que interliga as rbs" aí eu te pergunto: a interface no balance ou na rb dos clientes? desculpe a ignorancia