Port forwarding no funciona

Tengo un Mikrotik wAP Lte Kit desde hace un par de años olvidado en un cajón porque en su dia me fue muy complicado configurarlo y desistí, con lo quiero decir que soy neófito es esto.

Ahora para darle uso quiero instalarlo en una casa de campo donde hay una Raspberry Pi y un PC, bien lo he reseteado y con la configuración que coge por defecto ya funciona, tiene salida a internet, se puede conectar a la wifi etc...

Lo único que le he configurado es la APN con los datos de Movistar porque la configuración por defecto pone CG-NAT, he configurado los datos de la wifi y ya está funcionando perfectamente.

Ahora viene el problema, quiero redirigir el puerto 8888 hacia la Raspberry para conectarme, creo que lo he configurado todo bien pero no funciona, pienso que debe ser por alguna regla del firewall, pero no tengo ni idea de como va.

La configuración del firewall es esta:
Código:
[admin@MikroTik] > ip firewall export
# aug/25/2022 20:39:37 by RouterOS 6.49.6
# software id = 12HY-1CIG
#
# model = RBwAPR-2nD
# serial number =
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat in-interface-list=WAN
add action=drop chain=input comment="IN DROP ALL Except DST-NAT" \
    connection-nat-state=dstnat
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=8888 in-interface=lte1 protocol=tcp \
    to-addresses=192.168.88.66 to-ports=8888
[admin@MikroTik] >

A ver si me podeis echar una mano
 
Tengo un Mikrotik wAP Lte Kit desde hace un par de años olvidado en un cajón porque en su dia me fue muy complicado configurarlo y desistí, con lo quiero decir que soy neófito es esto.

Ahora para darle uso quiero instalarlo en una casa de campo donde hay una Raspberry Pi y un PC, bien lo he reseteado y con la configuración que coge por defecto ya funciona, tiene salida a internet, se puede conectar a la wifi etc...

Lo único que le he configurado es la APN con los datos de Movistar porque la configuración por defecto pone CG-NAT, he configurado los datos de la wifi y ya está funcionando perfectamente.

Ahora viene el problema, quiero redirigir el puerto 8888 hacia la Raspberry para conectarme, creo que lo he configurado todo bien pero no funciona, pienso que debe ser por alguna regla del firewall, pero no tengo ni idea de como va.

La configuración del firewall es esta:
Código:
[admin@MikroTik] > ip firewall export
# aug/25/2022 20:39:37 by RouterOS 6.49.6
# software id = 12HY-1CIG
#
# model = RBwAPR-2nD
# serial number =
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat in-interface-list=WAN
add action=drop chain=input comment="IN DROP ALL Except DST-NAT" \
    connection-nat-state=dstnat
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=8888 in-interface=lte1 protocol=tcp \
    to-addresses=192.168.88.66 to-ports=8888
[admin@MikroTik] >

A ver si me podeis echar una mano
El puerto está bien mapeado, pero es más que probable que no te hayas librado del CG-NAT, siendo una conexión móvil.
Echa un vistazo a esto, que te interesa: https://www.adslzone.net/foro/mikro...rt-forward-vi-tunel-bypass-lte-cg-nat.586488/

Saludos!
 
El puerto está bien mapeado, pero es más que probable que no te hayas librado del CG-NAT, siendo una conexión móvil.
Echa un vistazo a esto, que te interesa: https://www.adslzone.net/foro/mikro...rt-forward-vi-tunel-bypass-lte-cg-nat.586488/

Saludos!
El CG-NAT está salvado, poniendo la IP pública aparece la web del router, o pongo el dominio xxx.duckdns.org que está funcionando en la Raspberry y me lleva a la web del router de Mikrotik, es algo que me he asegurado por que antes tenía una SIM de Simyo y no se puede quitar el CG-NAT
 
El CG-NAT está salvado, poniendo la IP pública aparece la web del router, o pongo el dominio xxx.duckdns.org que está funcionando en la Raspberry y me lleva a la web del router de Mikrotik, es algo que me he asegurado por que antes tenía una SIM de Simyo y no se puede quitar el CG-NAT
Lo dudo mucho. Mira la IP que tienes en IP address sobre la LTE y la que tienes en ipify.org. ¿Coinciden?

Saludos!
 
Si es la misma en los dos lados 37.12.x.x y cuando hay CG-NAT en el router la IP generalmente me empieza por 10.x.x.x
 
OK. Prueba a cambiar el in-interface por dst-address=37.12… a ver qué hace.

Saludos!
 
Perdona, pero donde se cambia eso?
Mis conocimientos son bastante básicos
Creo que ya sé lo que querías
En Firewall -> NAT -> Regla dstnat
Pues lo he cambiado pero sigue sin funcionar, también he desactivado el firewall y tampoco funciona
 
sería quitar la regla de NAT que tenías puesta:
Código:
add action=dst-nat chain=dstnat dst-port=8888 in-interface=lte1 protocol=tcp \
    to-addresses=192.168.88.66 to-ports=8888

Y meter esta en su lugar:
Código:
add action=dst-nat chain=dstnat dst-address=37.12.y.z dst-port=8888 protocol=tcp \
    to-addresses=192.168.88.66 to-ports=8888

Y, si eso funciona, ahora te digo cómo hacer para capturar la IP pública en todo momento y mantenerla actualizada (no vas a andar cambiando la regla cada vez que cambie la IP pública).

Saludos!
 
No, no funciona
Para descartar la RasPi he probado 192.168.88.66:8888 y esto funciona perfecto, ahora no puedo, pero esta tarde volveré a resetear el router y empezar de nuevo, a ver si hay algo que se escapa.
 
OK. Por cierto, del firewall, esa última regla que has metido no tiene sentido, bórrala:
Código:
add action=drop chain=input comment="IN DROP ALL Except DST-NAT" \
    connection-nat-state=dstnat

El chain de input es el propio router.

Saludos!
 
Pues resetee el equipo lo configuré como en el primer post y funcionando OK
No sé lo que podía pasar, lo único que habia diferente era que la IP 192.168.88.66 no estaba reservada en DHCP o sea como fija, aunque no creo que esto influyera.
Gracias por los consejos.

Un saludo
 
Arriba