mikrotik s veřejnou IP - > Webserver

Návody a problémy s konfigurací.
nemitom
Příspěvky: 37
Registrován: 10 years ago
Kontaktovat uživatele:

mikrotik s veřejnou IP - > Webserver

Příspěvekod nemitom » 2 months ago

Dobrý den,
prosím o radu.
na WAN mikrotiku mám veřejnou IP, pokud ji z venku zadám do prohlížeče jsem na stránkách mikrotiku. - OK
za mikrotikem beží web server a z vnitřní sítě normálně funguje (ip serveru do prohlížeče)
Ale pokud do NATu dám pravidlo dstnat - Dst. Adress (veřejka) protokol tcp, Dst. port 80, action dst-nat , to adress (ip webserveru), to port 80.
na webserver se zveničí nedostanu. pokud zkusím z vnitrní sítě zadat veřejku tak na webu jsem.

Netuším kde by mohla být chyba.....
0 x

mladas
Příspěvky: 155
Registrován: 9 years ago
antispam: Ano

Příspěvekod mladas » 2 months ago

2 veci
v compu s webserverem nemas nastavenou branu
nebo
na mikrotiku nemas na WAN strane verejku ale jinou kterou ti ISpik preklada, proto tam nastav to co mas na interface WAN
0 x

Petr Bačina
Příspěvky: 1087
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 2 months ago

Máš v tom dst-natu nastavený input Interface?
Nevyplnuj tam žádnou veřejnou IP ani jinou "vstupní"
0 x

mirek.k
Příspěvky: 650
Registrován: 10 years ago

Příspěvekod mirek.k » 2 months ago

Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.
0 x

nemitom
Příspěvky: 37
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod nemitom » 2 months ago

tak
1) web mikrotiku je na portu 8080
2) verejka na wan určitě je (78.156.xx.xx)
při testu zvenčí 78.156.xx.xx:8080 jsem na mikrotiku
stejné pravidlo jako pro webserver mám pro ftp a tam je to ok.
3) webserver je raspeberry a jako GW tam je vnitřní adresa mikrotiku - to by melo být ok ne?
4) proč nechat volnou Dst. Address ? inteface vyplněné nemám...
0 x

Petr Bačina
Příspěvky: 1087
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 2 months ago

Máš tu veřejnou IP přímo na tom routeru nastavenou? Nebo tam máš nějakou neveřejnou IP? Pravidlo si nastav takhle a musí to chodit

Kód: Vybrat vše

add chain=dstnat protocol=tcp dst-port=80 in-interface=ether1 action=dst-nat to-addresses=192.168.88.55 to-ports=80
IP adresu serveru si nastav podle sebe, vstupní interface taky. Pak jen zkontroluj FW jestli ti to něco neblokuje.
0 x

nemitom
Příspěvky: 37
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod nemitom » 2 months ago

dobra zrejmě bude chyba někde v nastavení toho serveru... pokud přistupuju zvenčí na veřejku vrátí mi to time out error s ip toho web serveru (vnitní) což je taky trochu divné...
0 x

KoZLiCeK
Příspěvky: 1058
Registrován: 10 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 2 months ago

nemitom píše:dobra zrejmě bude chyba někde v nastavení toho serveru... pokud přistupuju zvenčí na veřejku vrátí mi to time out error s ip toho web serveru (vnitní) což je taky trochu divné...

a mas na to serveru nastavenou GW.... ?
0 x

ludvik
Příspěvky: 4034
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.
mirek.k píše:Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

mirek.k
Příspěvky: 650
Registrován: 10 years ago

Příspěvekod mirek.k » 2 months ago

ludvik píše:Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.
mirek.k píše:Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.

To jsem si v tu chvíli neuvědomil, nicméně pak by se tazatel mohl divit, že se nedostane na Mikrotik.
Nemám rád jakékoliv duplicity :-).
0 x

nemitom
Příspěvky: 37
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod nemitom » 2 months ago

KoZLiCeK píše:a mas na to serveru nastavenou GW.... ?


Ano mám a je to vnitni adresa mikrotiku. 192.168.1.1

ludvik píše:Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.


Nechápu?!? Od začátku webserver routerboardu je na portu 8080 a funguje normalně.....
0 x

ludvik
Příspěvky: 4034
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Koukni na prerouting. Přijde paket, a ještě dřív, než se rozhodne jestli je to forward nebo input to projde NAT tabulkou (a tedy action=dst-nat) - tam se změní cílová IP. A místo aby to šlo inputem do zpracování web serverem na routeru, jde to forwardem někam jinam.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů