+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Перенаправить порт 80 на wan на 192.168.1.10:80 как из внешних, так и из внутренних сетей.

Перенаправить порт 80 на wan на 192.168.1.10:80 как из внешних, так и из внутренних сетей., RouterOS

lucasmanual

Guest

09.02.2023 17:12:00

Привет! Я запускаю свой собственный сервер. У меня hap ac3. Мой домен lucasmanual (dot) com (динамический IP), который в этот час перенаправляется на мой WAN-адрес 67.176.176… Я уже настроил проброс порта 80 (если трафик идет снаружи) с такими параметрами: цепочка dstnat; протокол 6 (tcp); порт назначения 80; входной интерфейс eth1; действие dst-nat; адрес назначения 192.168.1.10; порт назначения 80. Это работает для всех, кто не в сети, но если пользователь внутри сети пытается зайти на наш WAN IP 67.176.176…:80, то не выходит. Я уже сменил порт сервиса webfig в MikroTik с 80 на 8080. Как сделать так, чтобы при пробросе порта не имело значения, локальный это пользователь или внешний — чтобы порт корректно перенаправлялся на нужный сервер, если я захожу на наш WAN IP? (Обычно это делают все роутеры для домашних пользователей, но найти решение для MikroTik пока не получилось. Искал уже неделю). Спасибо, Lucas.

lucasmanual

Guest

01.03.2023 05:37:00

Привет! Чтобы прояснить, это домашняя сеть, и всё, что я пытаюсь сделать — это решить следующую проблему: «Невозможно получить доступ к серверу по доменному имени из LAN при динамическом WAN IP» или настроить правило, которое есть у любого другого роутера, который можно купить в магазине (обычный роутер из BestBuy) уже как минимум 15 лет. Если я пробрасываю порт 80, я могу получить доступ из LAN, используя доменное имя и динамический WAN IP.

Результаты тестов:

1: @p3rad0x
/ip firewall nat chain=src-chain src-address=192.168.1.0/24 dst-address=192.168.1.0/24 out-interface=bridge action=masquerade
Это, похоже, не работает. Когда вы говорите "интерфейс, который смотрит в LAN", это должно включать все — eth2-4 и wifi-lan. Поэтому я выбрал bridge. Всё равно не могу получить доступ к lucasmanual.com на порт 80.

Результат теста 2: @anav
В теме на форуме описывается именно эта проблема. Спасибо!
«не могу получить доступ к моему домену из LAN», но там слишком много деталей, и в итоге меня запутали, что именно из этого нужно применить, чтобы решить МОЮ проблему.

Похоже, что это должно работать, судя по их примеру, который совпадает с правилом из теста 1, но, по их словам, «есть проблема», с которой я как веб-разработчик однажды имел удовольствие разбираться.

Не надо объяснять, что я хочу, чтобы клиент получал ответ от правильного динамического WAN IP. Это наводит меня на мысль, что помимо «HAIRPIN NAT правила из теста 1», мне нужно что-то ещё? Что именно?
(Я сделал пункт 6 из той темы, и всё равно не работает).

Цитата из статьи:
«»
add chain=srcnat action=masquerade dst-address=192.168.88.0/24 src-address=192.168.88.0/24
Благодаря Sob, вот в чём проблема:
— клиент с IP 192.168.88.5 хочет подключиться к www.myserver.net, резолвит имя в 47.123.12.89 и отправляет туда первый пакет.
— клиент понятия не имеет, где находится 47.123.12.89, для него это может быть хоть на другой стороне планеты.
— правило dstnat меняет адрес назначения пакета на 192.168.88.68 и отправляет его на сервер.
— исходный адрес не меняется, он всё так же 192.168.88.5 ← вот в чём проблема.
— сервер получает пакет и отправляет ответ напрямую на 192.168.88.5, потому что он в той же подсети!!
— клиент отбрасывает ответ, потому что не ожидает его от 192.168.88.68 — он ждёт ответ от 47.xx
«»

Результат теста 3: Перечитывая статью @anav
Похоже, что добавление masquerade правила
/ip firewall nat chain=src-chain src-address=192.168.1.0/24 dst-address=192.168.1.0/24 out-interface=bridge action=masquerade
ДОЛЖНО сопровождаться изменением firewall nat правила, которое мы настраивали раньше для проброса портов.

Правильно ли я понял (и если нет — поправьте меня), что нужно заменить на:
add chain=dstnat action=dst-nat dst-address-type=local dst-address=!192.168.1.1 protocol=tcp dst-port=80 to-addresses=192.168.1.10

Ca6ko

Guest

01.03.2023 06:40:00

Самый простой способ — создать статическую DNS-запись lucasmanual (dot) com на 192.168.1.10. Настроить Mikrotik как DNS-сервер. Настроить фаервол Mikrotik так, чтобы он перенаправлял все запросы на порт 53 на 192.168.1.1. Если у устройства есть свой DNS-сервер, запросы всё равно будут перенаправлены на DNS Mikrotik. В итоге все устройства из локальной сети смогут достучаться до сервера, даже если на роутере нет интернета.

lucasmanual

Guest

15.03.2023 18:03:00

Спасибо, @Ca6ko, но это не то решение, о котором я просил. Проблема с твоим подходом для веб-разработчиков в том, что нет правил файрвола для трафика внутри сети. Это значит, если ты ошибёшься с сокетами или правилами файрвола, ты не заметишь этого, пока не запустишь в продакшн. Весь трафик из продакшн или сотовой сети пойдёт через настроенные каналы, а трафик в локальной сети полностью всё обойдет. Мой последний способ работал для всех устройств в локалке, но, похоже, никак не влияет на пользователей Wi-Fi. Так что поиски правильной настройки продолжаются. Повторюсь, это очень важно. Домашние или игровые роутеры Asus, Netgear, Linksys сразу работают так, как надо. Всё, что я хочу — заставить Mikrotik делать то же самое. Спасибо, Лукаc.

anav

Guest

15.03.2023 19:02:00

Некоторые роутеры предназначены для обычных пользователей — подключил и пользуйся. MT же для тех, кто готов разобраться, как трафик проходит через устройства, и соответственно программировать роутер. Если вы думаете, что прочитаете статью без какого-либо понимания ROS и всё сразу станет понятно — вы ошибаетесь. Это называется эксперимент, нужно приложить усилия, методом проб и ошибок погрузиться в процесс и набраться опыта.

В вашем случае с динамическим WAN IP требования предельно ясны.

a. В правилах файервола нужна одна правило в цепочке forward.
add chain=forward action=accept connection-nat-state=dstnat
Примечание 1: уберите все существующие правила, которые ссылаются на in-interface=WAN для destination NAT.

b. В правилах source NAT нужен hairpin NAT вместе со стандартным правилом.
/ip nat add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.0/24
add chain=srcnat action=masquerade out-interface-list=WAN

c. Вам нужен способ направлять пользователей на роутер, и самый простой — создать список адресов в файерволе:
/ip firewall address list add address=lucasmanual.com list=MYWANIP
Примечание 1: MT роутер сам разрешит этот адрес в IP, вы можете проверить его в разделе firewall address list.

d. Сформулируйте правило destination NAT:
add chain=dstnat action=dst-nat dst-address-list=MYWANIP dst-port=XX protocol=YYY to-addresses=serverIP
Примечание: указывать to-ports не нужно, если он совпадает с dst-port!

anav

Guest

15.03.2023 19:06:00

Настоятельно рекомендую всем, кто пользуется вашим сервером, предоставить вам свой фиксированный статический WANIP или их WANIP через dyndns-имя. Отговорок не принимаю — полно бесплатных провайдеров. Затем составьте список адресов таких пользователей… добавьте chain=dstnat action=dst-nat dst-address-list=MYWANIP dst-port=XX protocol=YYY to-addresses=ServerIP src-address-list=AuthorizedUsers.

Важно: при использовании списка исходящих адресов порт не появляется при сканировании, иначе порт будет отображаться как закрытый.

aoakeley Guest	#7 0 15.03.2023 21:51:00 И тебе уже не раз говорили ответ. Добавь правило для «Hairpin NAT». Вот и всё, на самом деле всё так просто.

lucasmanual

Guest

13.11.2023 05:03:00

Привет! Для тех, кто через Google нашёл этот пост... Следующие инструкции от @anav в теме anav » Ср 15 мар 2023, 14:02 решают проблему «Обеспечить доступ пользователей внутренней сети LAN к вашему серверу через доменное имя, указывающее на ваш динамический WAN IP». То есть, вы сами хостите свой сервер и хотите заходить на сайт и другие сервисы сервера из внутренней сети. Или, если проще, вы используете динамический IP-адрес для хостинга сайта и хотите получить к нему доступ из LAN или со всех телефонов, подключённых к Wi-Fi через MikroTik. Либо у вас на каждом телефоне установлено приложение, которое при подключении и зарядке синхронизирует ваши фото с внутренним сервером, используя ваш динамический домен. (P.S. Пишите мне, если хотите, чтобы ваши фото автоматически сохранялись на защищённом сервере, без нарушения вашей приватности). Спасибо! Лукас

anav Guest	#9 0 13.11.2023 13:38:00 Привет, Лукас, вместо того чтобы просто читать инструкции, лучше загляни по ссылке, откуда они взяты, чтобы действительно ПОНИМАТЬ, что именно настраиваешь: https://forum.mikrotik.com/viewtopic.php?t=179343

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры