Nefungující přístup na domácí NAS

Místo, kde žádná otázka není hloupá.
Noxus28
Příspěvky: 273
Registrován: 6 years ago

Re: Nefungující přístup na domácí NAS

Příspěvekod Noxus28 » 1 week ago

čo sa stane keď zadáš z PC nie vonkajšiu IP ale vnútornú IP brány? teda napr http://10.0.0.1 presmeruje ťa na NAS?
čo máš v ip / services? máš vypnutý rsp prehodený na iný port www a www-ssl?
0 x

Radek.Kovacik
Příspěvky: 40
Registrován: 5 years ago

Příspěvekod Radek.Kovacik » 1 week ago

Taky nefunguje - timeout. Předtím to chodilo a dostal jsem se do přihlašovacího menu Mikrotiku. Teď se tam nedostanu ani ze stejného subnetu, a to je divný. Jinak ty brány mám na adrese 10.0.X.200.
V IP services mám povolené pouze www na 80 portu a winbox na 8291 (ještě jsem to omezil pouze na konkrétní subnet). Všechno ostatní zakázané včetně SSL - je to chyba?
0 x

Noxus28
Příspěvky: 273
Registrován: 6 years ago

Příspěvekod Noxus28 » 1 week ago

sr že trošku neskoršie, bol som na fuške
môže tomu vadiť tá zapnutá 80 v services skús ju vypnúť alebo prehodiť port trebárs na 8080
0 x

Radek.Kovacik
Příspěvky: 40
Registrován: 5 years ago

Příspěvekod Radek.Kovacik » 1 week ago

Když to přehodím na 8080, tak na Mikrotik se už dostanu, ale NAT (resp. přístup na NAS) stále nefunguje. Vypnutí v services tomu také nepomůže.
Už jsem porovnával i předchozí konfiguraci před nástupem RouterOS verze 6.41 s tou aktuální, ale na nic jsem nepřišel, co by mohlo být problémem.
Naposledy upravil(a) Radek.Kovacik dne 15 May 2018 19:45, celkem upraveno 1 x.
0 x

Noxus28
Příspěvky: 273
Registrován: 6 years ago

Příspěvekod Noxus28 » 1 week ago

už aj mne došli nápady... z internetu prístup funguje? z LAN priamo tiež? len harpin nie?
0 x

Radek.Kovacik
Příspěvky: 40
Registrován: 5 years ago

Příspěvekod Radek.Kovacik » 1 week ago

Jojo, přesně tak. Pouze přístup z vnitřní sítě přes veřejnou adresu je problémový, ostatní jde. Pokud by to pomohlo, mohl bych Ti zaslat celý konfigurák v souboru v soukromé zprávě, jestli bys tam něco neobjevil.
Mimochodem, ten přístup na Mikrotik musí zůstat na té změněné IP, na klasické 80 to už nikdy nebude fungovat?
0 x

Noxus28
Příspěvky: 273
Registrován: 6 years ago

Příspěvekod Noxus28 » 1 week ago

jj jasne kĽudne pošli.
Na 80 by mohol byť konflikt práve s tým presmerovaním 80 portu na NAS, takže by som to tam radšej nenechával.
0 x

rsaf
Příspěvky: 471
Registrován: 11 years ago

Příspěvekod rsaf » 6 days ago

Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.
0 x

Noxus28
Příspěvky: 273
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 days ago

rsaf píše:Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.

To je možné ale SMB by sa nemal hrabať do portov 80 a 443
0 x

Radek.Kovacik
Příspěvky: 40
Registrován: 5 years ago

Příspěvekod Radek.Kovacik » 6 days ago

rsaf píše:Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.

Já používám staré dobré Windows 7 64 bit a taky si myslím, že by SMB nemělo souviset s webovými službami na portu 80, ale je pravda, že u Microsoftu člověk nikdy neví...
1 x

ludvik
Příspěvky: 3648
Registrován: 6 years ago
Bydliště: Kutná Hora

Příspěvekod ludvik » 4 days ago

Kód: Vybrat vše

add action=masquerade chain=srcnat comment="Pravidlo Hairpin NAT" dst-address=10.0.3.100 dst-port=80,443 protocol=tcp src-address=10.0.0.0/22

Tohle znamená: změň zdrojovou IP adresu za tu co mám na odchozím interface v případě, že paket pochází ze segmentu 10.0.0.0/22 a směruje na 10.0.3.100

Čili mě vrtá hlavou, jak může zabrat na tu veřejnou IP adresu ... resp. jak to mohlo fungovat dřív. Podle mě nemohlo.
Stejně mě nejde na rozum, proč by mělo být potřeba měnit www v ip/services. Ty služby sedí na INPUTu, kdežto ten NAT se týká "forwardu" (resp. forwardem to projde, protože se změní cíl v preroutingu díky dstnat).

Čítače u těch pravidel nabývají? Jestli on nebude problém v tom dst-address-type=local ...

Kromě toho: ty máš NAS a nepoužíváš to jako souborový server, třeba jako sambu?

Dodatek: používáš-li bridge (nebo ve starších verzích switch konfiguraci master-port), pracuješ jen s tím bridgem či masterportem, nikoliv s interfacy tam zahrnutými. (výjimky v interface/bridge pomíjím. Myslím tím IP, firewall, dhcp server/klient, atp). Ono to někdy i funguje, když to uděláš špatně, ale pak se hledají mouchy, proč něco jo, něco ne, někdy jo, někdy ne. Prostě pro operační systém je interface ten bridge.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Radek.Kovacik
Příspěvky: 40
Registrován: 5 years ago

Příspěvekod Radek.Kovacik » 6 hours ago

Význam toho pravidla Hairpin NAT popisuješ správně, také to tak chápu, ale nevím, proč nemůže fungovat. Já jsem to pravidlo vytvořil dle wiki od Mikrotiku a před provedením té aktualizace RouterOS to bylo OK. Čítač u pravidla Hairpin NAT nenabývá, což je asi špatně. Předtím, když to fungovalo, tak počítal správně.
Co se týká služeb routeru, tam jsem měl u HTTP klasicky nastavenou 80 a nebyl problém, šlo to i s tím. Změna portu na jiný stejně nepomohla.
SMB na NASu mám spuštěné - souvisí to nějak s tím?

Co se týká tvého dodatku, to jsou věci, které bych právě potřeboval ujasnit, hlavně ve významu toho nového ROS, protože se tam toho dost změnilo. Já tam mám 3 VLANy a 3 související bridge, 4 subnety se 3 DHCP servery, 2 wifiny a mám nakonfigurovaný ten switch tak, aby to, co může, šlo hlavně přes něj a nezatěžovalo zbytečně procesor. Původně tam byl master port (na ethernet 2), teď mi to vytvořilo čtvrtý bridge, který by měl fungovat stejně, jako ten master. A já mám právě tušení, že v tomto bude ten problém (tedy že mám někde něco nastavené blbě a i když to předtím šlo, tak teď to podle "nových pravidel" nejde.
Konkrétně např. nevím jistě, na jaký interface bych po novu měl mít navázané VLANy, DHCP servery a IP rozsahy v tabulce adresses.
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: jirka_ade a 4 hosti