Nastavenie Hairpin NAT

Návody a problémy s konfigurací.
blast3r
Příspěvky: 2
Registrován: 2 months ago

Nastavenie Hairpin NAT

Příspěvekod blast3r » 2 months ago

Ahojte,

Som začiatočník, rozbalil som MikroTik router, spravil základný security setup:
https://wiki.mikrotik.com/wiki/Manual:S ... our_Router

A potom som sa snažil nastaviť Hairpin NAT, aby som mal prístupný WWW server aj z vnútornej LAN siete:
https://wiki.mikrotik.com/wiki/Hairpin_NAT

Vnútorná LAN sieť je 192.168.88.0/24, WWW server beží na 192.168.88.248, má pridelenú statickú IP.
Je správne nastavený portforwarding, keď idem na public WAN IP 83.X.X.X tak sa ten WWW server dostanem, ale nie z vnútornej LAN siete, čiže mi nefunguje Hairpin NAT.

Konfigurácia Firewall rules

Kód: Vybrat vše

add action=accept chain=input comment="default configuration" connection-state=\
    established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related
add action=accept chain=forward comment="Established, Related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log=yes log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop tries to reach not public addresses from LAN" dst-address-list=\
    not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN \
    out-interface=!bridge
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NATted" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge log=yes \
    log-prefix=LAN_!LAN src-address=!192.168.88.0/24


Konfigurácia NAT

Kód: Vybrat vše

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=http dst-port=80 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.88.248 to-ports=80
add action=dst-nat chain=dstnat comment=https dst-port=443 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.88.248 to-ports=443
add action=dst-nat chain=dstnat comment=torrent dst-port=35469 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.88.248 to-ports=35469
add action=dst-nat chain=dstnat comment="RDP - TCP" dst-port=3399 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.88.248 to-ports=3389
add action=dst-nat chain=dstnat comment="RDP - UDP" dst-port=3399 in-interface=\
    ether1 protocol=udp to-addresses=192.168.88.248 to-ports=3389
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\
    192.168.88.248 dst-port=80 out-interface-list=LAN protocol=tcp src-address=\
    192.168.88.0/24


Čo robím zle?

Díky.
0 x

mirek.k
Příspěvky: 649
Registrován: 10 years ago

Příspěvekod mirek.k » 2 months ago

To poslední pravidlo není maškaráda, ale dst-nat.
A dst adresa je veřejná adresa sítě.
To znamená slovně . pokud požaduješ z vnitřní sítě veřejnou adresu s danými porty, změň cílovou adresu na lokální adresu serveru.
0 x

blast3r
Příspěvky: 2
Registrován: 2 months ago

Příspěvekod blast3r » 2 months ago

Tak ak som to pochopil spravne, tak som to nastavil takto, ale nefunguje to:

Kód: Vybrat vše

add action=dst-nat chain=dstnat comment="Hairpin NAT" dst-address=83.X.X.X \
    dst-port=80 protocol=tcp src-address=192.168.88.0/24 to-addresses=\
    192.168.88.248 to-ports=80
0 x

mirek.k
Příspěvky: 649
Registrován: 10 years ago

Příspěvekod mirek.k » 2 months ago

Tak ti to blokuje nějaké pravidlo ve firewallu. Stačí se dívat na countery při pokusech.
1 x

Beny44
Příspěvky: 54
Registrován: 3 years ago

Příspěvekod Beny44 » 2 months ago

Já jsem to také nerozchodil. A jelikož používám Web Proxy (mám dva weby uvnitř sítě) využil jsem statické DNS. To jsem měl zaplé již dávno, ale něměl jsem ve win v nastavení sítě zaplý DNS server Mikrotik.
0 x
http://www.pocasinakladne.cz
http://www.benyhogalerie.cz
2011UiAS-2HnD OS 6.42.6
3011UiAS-RM OS 6.42.6


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 19 hostů