Hairpin Nat

[Fatmacheto]

Здравейте имам мобилен клиент в локалната мрежа който трябва да достъпва сървър също в локалната мрежа.Тъй като е мобилен съм въвел в настройките му за достъп публичния ай пи адрес(използвам dyndns тъй като няма възможност за статичен адрес) понеже често той ще е отвън.Направих рул за цялата мрежа както се вижда на снимка 1 и 2.След което отворих портовете посочвайки динамичния адрес за всеки порт и нещата се получиха.Проблема е че в момента Hairpin ната работи с динамичния публичен адрес тъй като не ми позволява да вкарам да вкарам dyndns-a и при следващата смяна на ай пи и руловете ще увиснат.Има ли начин да направя това "редиректване" само с един рул както всеки прост рутер го прави автоматично или ако се налага да използвам hairpin nat да мога да използвам dyndns-a?

[h3ll]

Да. Обясни точно каква ти е конфигурацията и евентуално ще получиш отговор.

[Fatmacheto]

Имам dvr който е на 192.168.1.200:8000 в локалната мрежа и на порт 8000 на публичното IP. Гледа се през мобилен телефон с приложение настроено с външния адрес( dyndns) не искам да добавям втори акаунт с вътрешното IP заради неудобството заради клиента да ползва два акаунта в приложението - интернет и локален. Отделно в мобилното приложение има добавени деуги dvr-и които са на други публично адреси на същия порт 8000 .

[Mupo neTkoB]

значи няма да има проблем добавяш по 1 правило за пренасочване на порт и по 1 правило за hairpin-nat на всеки рутер зад който има двр

[Fatmacheto]

С други думи това което съм направил в първия пост с изключение на това че ще махна публичния адрес и вместо това ще добавя in интерфейса към всеки рул за порт?

Редактирано 20 Февруари, 2015 от Fatmacheto

[Mupo neTkoB]

Пускаме интернет на всички устройства зад рутера 

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС dst-port=8000 
    protocol=tcp to-addresses=192.168.1.100 to-ports=8000

С горния ред пренасочваш 8000 към двр-а с адрес 1.100

 

Следва hairpinNAT

/ip firewall nat
add chain=dstnat in-interface=Външния_ти_интерфейс protocol=tcp dst-port=8000 
  action=dst-nat to-address=192.168.1.100

 

The client receives the reply packet, but it discards it because it expects a packet back from 1.1.1.1, and not from 192.168.1.2. As far as the client is concerned the packet is invalid and not related to any connection the client previously attempted to establish.

To fix the issue, an additional NAT rule needs to be introduced on the router to enforce that all reply traffic flows through the router, despite the client and server being on the same subnet. The rule below is very specific to only apply to the traffic that the issue could occur with - if there are many servers the issue occurs with, the rule could be made broader to save having one such exception per forwarded service.

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 
dst-address=192.168.1.2 protocol=tcp dst-port=80 
out-interface=LAN action=masquerade

[Fatmacheto]

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС dst-port=8000
protocol=tcp to-addresses=192.168.1.100 to-ports=8000

 

 

 

 

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС dst-port=8000 
    protocol=tcp to-addresses=192.168.1.100 to-ports=8000

/ip firewall nat
add chain=dstnat in-interface=Външния_ти_интерфейс protocol=tcp dst-port=8000 
  action=dst-nat to-address=192.168.1.100

 

 

Първия рул ми е ясен но втория за какво е?Ако не греша указваме че всички заявки на порт 8000 отиват към 192.168.1.100 нали?

 

В такъв случай това означава ли че за всеки отворен порт ще трябва да  имам по два такива рула?

 

И в този сценарий необходим ли ми е този рулa който създадох на снимка 1 и 2?