+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Hairpin NAT на RB2011UAS-2HnD-IN

Hairpin NAT на RB2011UAS-2HnD-IN, RouterOS

Mattie

Guest

03.12.2013 15:07:00

Привет, у меня возникли проблемы с настройкой hairpin NAT на моем RB2011UAS-2HnD-IN (версия 6.5). Сейчас у меня такие настройки NAT: [admin@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 / 1 -> disabled rules

2 ;;; masquerade
chain=srcnat action=masquerade out-interface=ether1-gateway

4 ;;; Hairpin NAT rule
chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.250

5 ;;; SERV: FTP (this is a normal nat rule that works fine)
chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=20-21 protocol=tcp in-interface=ether1-gateway dst-port=20-21
Было бы здорово, если бы можно было реализовать что-то вроде этого: внешний IP-роутер обрабатывает запрос, проверяет правила NAT, чтобы узнать, на какой IP-адрес перенаправлять, и пересылает пакет на этот IP-адрес. Но насколько я понимаю, мне нужно добавлять специальное правило NAT для каждого устройства (большинство правил идет на 192.168.1.250), и это тоже было бы приемлемо. Спасибо за любые советы!

Joe1vm

Guest

03.12.2013 20:30:00

Привет, Мэтти! Я не специалист, но Hairpin NAT у меня работает нормально на том же роутере – с версии 6.7, включая "fixed hairpin nat on bridge with use-ip-firewall=yes". Думаю, тебе стоит внимательно посмотреть http://wiki.mikrotik.com/wiki/Hairpin_NAT, особенно выделенное правило. Я бы сказал, что трафик с LAN вряд ли достигнет enther1-gateway в качестве in-interface – это я ожидал бы видеть работающим только извне. Но, возможно, я ошибаюсь… С уважением, Йозеф.

pcunite Guest	#3 0 04.12.2013 13:48:00 ROS v6.7 решил мои проблемы с hairpin NAT тоже… обновление.

Mattie

Guest

05.12.2013 12:26:00

Привет! Даже после обновления до 6.7 у меня всё равно не работает. Можешь поделиться своим правилом NAT?

Редактирую: работает, когда перезагружаю роутер! Однако у меня теперь появилась следующая проблема: хочу, чтобы весь трафик на мой внешний IP просто возвращался внутрь сети. Поэтому я добавил следующее правило:

3 ;;; Hairpin NAT rule
chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.0/24

Однако, когда я использую следующее:

4 ;;; SERV: FTP
chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=80 protocol=tcp in-interface=ether1-gateway dst-port=80

Оно не работает, поэтому я убрал "in-interface":

4 ;;; SERV: FTP
chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=80 protocol=tcp dst-port=80

Но: теперь весь мой исходящий интернет-трафик перенаправляется на мой сервер!

Поэтому я делаю вот это правило (где 1.1.1.1 – мой внешний IP):

5 ;;; SERV: HTTP
chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=80 protocol=tcp dst-address=1.1.1.1 dst-port=80

Но у меня динамический IP, поэтому я не хочу постоянно его менять. Как можно перенаправлять все пакеты на мой ВНЕШНИЙ IP с происхождением из моей внутренней сети "обратно" в сеть без необходимости указывать мой динамический внешний IP?

marcus65

Guest

10.12.2013 19:00:00

Я новичок, но hairpin NAT работает у меня на RB2011 с исходящим интерфейсом, а не dst-address. Я отправляю локальный трафик (192.168.1.0/24) на локальный мост.
6
;;; Hairpin NAT chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 out-interface=bridge-local dst-port=21,22,25,80,143,587,993,443

Mattie Guest	#6 0 05.12.2013 11:05:00 Привет! Даже после обновления до 6.7 у меня так и не получается заставить это работать. Не мог бы ты поделиться своим правилом NAT?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры