Mikrotik 6.18 - nastavení NAT Loopback?

21let

Zdravím Vás, hledám na internetu jak na mikrotiku pomocí winbox nastavit NAT Loopback, našel jsem, že funkce se jmenuje HARPIN NAT, ale abych se dozvěděl jak tomu docílit tak to nevidím, omlouvám se, v tomto nastavování jsem LAMA, spíše mám zkušenosti s CISCO a ZyXEL firewally. Mám veřejnou IP a označen port jako WAN, dále mám vnitřní rozsah 192.168.1.0/24 a potřebuji z vnitřní sítě Loopback na port 80 a server kde je Nginx, nefunguje mi totiž z vnitřní sítě připojení na WAN IP adresu a port 80. Děkuju

majklik

http://wiki.mikrotik.com/wiki/Hairpin_NAT

21let

Zdravím, o HARPIN NAT a uvedenou stránku jsem studoval. Maškaráda je nastavena a když jsem nastavil

/ip firewall nat

add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 \

action=dst-nat to-address=192.168.1.2

add chain=srcnat out-interface=WAN action=masquerade

stejně to nefungovalo. Jinak jsem psal také, že bych to rád nastavil přes Winbox a nikoli console. Jsem v Mikrotiku začátečník, potřebuju si to osahat, nastavit a pak další věci snad už pomalu dodělám a napadne mne to, ale nejspíše dělám něco špatně.

21let

Teda správně jsem to nastavoval takto:

/ip firewall nat

add chain=srcnat action=masquerade protocol=tcp src-address="192.168.1.0/24"

dst-address="IP-SERVERU" out-interface="LAN" dst-port="80"

ale bohužel nefunguje :-(

radekulehla

já to doma řešil takto

chain=srcnat action=src-nat to-addresses=192.168.1.1(ip LAN) src-address=192.168.1.0/24 dst-address=192.168.1.0/24

chain=dstnat action=dst-nat to-addresses=192.168.1.250(ip serveru v LAN) protocol=tcp src-address=192.168.1.0/24 dst-address=93.91.x.x (ip WAN)

21let

Zkusím a dám vědět, zatím jsem to udělal statickým DNS na pár adres, ale nějak to musím udělat, když to jinak zatím nefunguje.

majklik

Je třeba si uvědomit, že fakticky se prvně provoede dstnat, takže pak v tom srcnat pravidle, co používám pro otočení lokálního provozu zpět, už musí být vnitřní adresa toho cílového serveru a ne ta veřejná v "IP-SERVERU":

/ip firewall nat

add chain=srcnat action=masquerade protocol=tcp src-address="192.168.1.0/24"

dst-address="IP-SERVERU" out-interface="LAN" dst-port="80"

21let

No je to jakési divné proč to nejde. Mám veřejnou IP adresu 1.1.1.1, za Mikrotikem mám Linuxový server s IP 192.168.1.3, kde mi běží nginx, databáze atp. Pokud z vnitřní sítě dám např. telnet 1.1.1.1 80 jen se připojuje a nic, pokud ale zadám 192.168.1.3 tak telnet funguje. Pokud z venku zadám 1.1.1.1, tak NAT správně projde a zobrazí se mi webová stránka. Bohužel podle informací, které tady mám a testuju to prostě nefunguje. Neprochází ani PACKETy ve firewallu. Takže mám nejspíš něco špatně a nevím co :-(

radekulehla

Podle toho co píšeš, ti bude asi hodně dlouho trvat než to nastavíš. Definuj jaké porty chceš tak, aby byly dostupné z venku a pak někoho pust na svůj router, aby to udělal.

21let

Já ty porty NATované mám a vše z venku funguje, jen to nefunguje z vnitřní sítě, jak píšu, testuju to na Linuxovém serveru přes telnet 1.1.1.1 80 a tak to nejde, kdyby byl správný NAT LOOPBACK, tak to bude snad komunikovat, ne? :-(

radekulehla

V terminalu mikrotiku napiš

/ip firewall export

a dej to celé sem

21let

/ip firewall filter

add chain=input comment="default configuration" protocol=icmp

add chain=input dst-port=61001 in-interface=WAN protocol=tcp

add chain=input dst-port=161 in-interface=WAN protocol=udp

add chain=input comment="default configuration" connection-state=established

add chain=input comment="default configuration" connection-state=related

add action=drop chain=input comment="default configuration" in-interface=WAN

add action=drop chain=input comment="default configuration" in-interface=\ sfp1-gateway

add chain=forward comment="default configuration" connection-state=\ established

add chain=forward comment="default configuration" connection-state=related

add action=drop chain=forward comment="default configuration" \ connection-state=invalid

/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration" disabled=\ yes out-interface=sfp1-gateway to-addresses=0.0.0.0

add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=80 out-interface=LAN protocol=tcp src-address=192.168.1.0/24

add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=25 out-interface=LAN protocol=tcp src-address=192.168.1.0/24

add action=dst-nat chain=dstnat disabled=yes dst-address=1.1.1.1 \ protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.3

add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=80 out-interface=LAN protocol=tcp src-address=192.168.1.0/24

add action=dst-nat chain=dstnat dst-address=1.1.1.1 protocol=tcp \ to-addresses=192.168.1.3

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=10000 \ protocol=tcp to-addresses=192.168.1.3 to-ports=10000

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=3306 \ protocol=tcp to-addresses=192.168.1.3 to-ports=3306

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=21 \ protocol=tcp to-addresses=192.168.1.3 to-ports=21

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=25 \ protocol=tcp to-addresses=192.168.1.3 to-ports=25

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=110 \ protocol=tcp to-addresses=192.168.1.3 to-ports=110

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=143 \ protocol=tcp to-addresses=192.168.1.3 to-ports=143

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=443 \ protocol=tcp to-addresses=192.168.1.3 to-ports=443

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=22 \ protocol=tcp to-addresses=192.168.1.3 to-ports=61001

add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=22 \ protocol=tcp to-addresses=192.168.1.3 to-ports=22

add action=masquerade chain=srcnat comment="default configuration" \ out-interface=WAN

radekulehla

Máš v tom solidní bordel... :(

21let

No tak to děkuju za pochvalu :-) Já tam nechal to co tam bylo standardně, potom jsem si přidal jen svá pravidla pro SNMP a port pro vzdálenou správu + maškaráda. Jak jsem již zmiňoval, zkouším mikrotika a rád bych se v tom trošku taky vyznal a věděl co je potřeba nastavit, hlavně jednoduše a bezpečně.

ekrajnak

Ja som niečo také riešil takto (určite to nie je ideálne riešenie, ale funguje ):

add action=masquerade chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.0.0/24

21let

Tak mi ten poslední zápis funguje, to je zvláštní, a proč ty ostatní nejdou to fakt netuším :-(

ekrajnak

Tak mi ten poslední zápis funguje, to je zvláštní, a proč ty ostatní nejdou to fakt netuším :-(

Myslim ten moj? Len pozor na neho, lebo potom ak

PC 1 (192.168.0.10)

bude pristupovat na

PC2 (192.168.0.20)

tak PC2 bude vidieť, že sa na neho pripojila brána (192.168.0.1) nie PC1.

21let

Ano,ten tvůj. Teď mi to nevadí, protože to funguje, je to přímo server s Apache, takže mi to tak vyhovuje, na další přistupovat nebudu, ale děkuji za upozornění.

mkey3

Tak mi ten poslední zápis funguje, to je zvláštní, a proč ty ostatní nejdou to fakt netuším :-(

Myslim ten moj? Len pozor na neho, lebo potom ak

PC 1 (192.168.0.10)

bude pristupovat na

PC2 (192.168.0.20)

tak PC2 bude vidieť, že sa na neho pripojila brána (192.168.0.1) nie PC1.

Komunikace mezi pc ve vnitřní síti zasažena nebude, proběhne pouze v rámci switche a na router vůbec nedorazí. Takže pc se uvidí se správnými adresami.

majklik

Dít se to může, že i v lokální komunikaci se mi jeví, že to vše prochází přes router. Ale to způsobuje obvkyle zapnuté proxy ARP na tom routery na LAN rozhranní. A pokud na tom routeru bude současně i nevhodně nastaven ten loopback nat, tak to může asi i prznit i IPčka.

Další stránka »