Jump to content

Hairpin NAT за WEB Server


accidental

Recommended Posts

Здравейте, нужна ми е помощ за следния сценарий:

Устройството е MikroTik  RB2011UiAS-2HnD със скоро ъпдейтната версия v7.1.1. Преди ъпдейта към новата версия всички NAT-ове си работеха, като забележете, че пакетите за MPLS, Routing и IPv6 бяха деактивирани и подозирам, че от там ми идва проблема. Може би преди ъпдейта при деактивирането на Routing пакета, Hairpin NAT-а си работеше без всъщност да създавам правило за него, а просто чрез обикновен NAT.

Имам PC във вътрешната мрежа с IP 192.168.1.2 на което има пуснат web server, който "слуша" на портов диапазон 8000-8077. Рутера е с IP 192.168.1.1 и да предположим, че външното IP е 10.100.200.1

Целта е да се достъпват различните сайтове (в разработка), както външно, така и през вътрешната мрежа чрез въвеждане на външното IP (статично е). Примерно: клиента при въвеждане на https://10.100.200.1:8000 да достъпва сайта, така и аз през вътрешната мрежа да го достъпвам на https://10.100.200.1:8000.

Конфигурацията е със следните правила (при тези настройки преди ъпдейта NAT-а си работеше, но след ъпдейта не):

/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1

/ip firewall nat add action=dst-nat chain=dstnat comment="WEB Server" dst-address=10.100.200.1 dst-port=8000-8077 protocol=tcp to-addresses=192.168.1.2 to-ports=8000-8077

Към момента с тези настройки през външно IP сайтовете се достъпват, но не и през вътрешното.

Освен външния интерфейс eth1, който е с PPPoE, другите са в bridge и самият bridge е с DHCP Server. Също така имам правила във Firewall, но дори при деактивирането им няма ефект за Hairpin NАТ-a.

Какво съм опитал и без успех:

  • Описаното в официалния help на линка: https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT
  • Маркиране на конекциите с prerouting в Mangle и добавяне на address list за външнното и вътрешните IP-та.
  • Премахване на всички правила във Firewall-а
  • Всички комбинации между изброените по-горе

Благодаря Ви за отделеното време!

Адрес на коментара
Сподели в други сайтове

  • Администратор
/ip fi n add src-address=192.168.1.0/24 dst-address=10.100.200.1 protocol=tcp port=8000-8077 action=src-nat to-addresses=192.168.1.1 place-before=0

 

Адрес на коментара
Сподели в други сайтове

@JohnTRIVOLTA

Здравей, благодаря за правилото, но и с него не сработва.

Опитах описаните неща и от тук, но без успех. Вероятно ще нулирам настройките и ще пренастройвам всичко наново.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Забий в днс записите, днс името отвън да отговаря на ИП вътре.

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • Администратор

Не става с един ред, аз съм го писал и гарантирам работи:

https://itservice-bg.net/mikrotik-hairpin-nat/

Не чети коментара по под поста, просто размени ип адреса, интерфейса и портовете ...

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Благодаря, @111111 и @samyil, но реших да го пренастроя и нещата се получиха с правилото от тук, а в моят случай именно:

/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.1.2 out-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 place-before=0

Първоначалната настройка я правих с Quick Set и след това си коригирах, това което е според моите нужди. Единствено нямам идея защо при правенето на DHCP Server ми беше създало DHCP->Network с Address: 0.0.0.0/0 и Gateway: 0.0.0.0

Следователно ги коригирах с 192.168.1.0/24 и 192.168.1.1

Също така си създаде автоматично във Firewall, Mangle и Raw правилата за fastattack. Освен тези неща, които споменах, друго различно от предходната ми конфигурация не успях да открия.

Редактирано от accidental
Адрес на коментара
Сподели в други сайтове

  • Администратор

Ммм да , прав e @samyil частично, като просто правилото трябва да е с локалният адрес на сървъра и с уговорката, че правилото, което е за dstnat е глобално за вход !

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 1 year later...

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.