+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Услуги WAN недоступны для локальных пользователей, нужна помощь!

Услуги WAN недоступны для локальных пользователей, нужна помощь!, RouterOS

pragmat

Guest

10.11.2009 05:12:00

Мне нужна твоя помощь с довольно базовой настройкой, которую я сам не смог разобраться… Мой роутер пробрасывает сервисы для WAN-портов на LAN-IP сервера через цепочки dstnat, а пользователи в локальной сети используют одну цепочку srcnat для NAT-а на выход. Проблема в том, что хоть остальной мир получает доступ к моим WAN-сервисам, пользователи из локальной сети — нет. Ситуация ещё более запутанная, так как некоторые WAN TCP-порты, например 21, сканируются из локальной сети, а другие, например 80, — нет. Какие есть идеи, что происходит и что нужно сделать? Буду очень благодарен!

spotts78

Guest

03.12.2009 16:12:00

У меня та же проблема… У нас свой веб-/FTP-сайт (настроили и работает отлично с NAT, переадресацией портов и т.д.), а клиенты в локальной сети не могут получить к нему доступ по публичному IP. К сожалению, у меня нет прав на изменение настроек роутера, только у нашего провайдера. Они, кажется, думают, что предложенное решение 1. не сработает, и 2. откроет дыру в безопасности, из-за которой мы станем уязвимы для подделки IP, взломов и т.д. Они правы? Какие есть риски для безопасности?

fewi

Guest

03.12.2009 16:31:00

Это будет работать, пока ты не принимаешь свой внутренний IP-адрес на внешнем интерфейсе. В этом нет повышенной опасности IP-спуфинга со стороны внешних сетей. Но зато безопасность снижается: веб-сервер больше не сможет точно определить, какой внутренний клиент получил доступ к ресурсам, потому что все будут отображаться как роутер. Я вообще не люблю решение с hairpin NAT именно по этой причине и сильно предпочитаю split horizon DNS. Это не такая уж большая нагрузка на обслуживание, если у тебя нет очень большого количества хостов. Жаль, что DNS-разрешитель RouterOS не может динамически проверять правила NAT, чтобы проверять, нужно ли переписывать DNS-ответы на основе NAT, как это делают Cisco ASA и решения других производителей.

TheMG

Guest

09.04.2010 04:07:00

Использовал решение от pragmat’а, получилось успешно. Но есть проблема: у меня несколько WAN-соединений (а точнее, два). Как можно ограничить переадресацию порта для конкретного WAN-соединения? Если я указываю интерфейс в каком-то из правил NAT, то я возвращаюсь к исходному состоянию, и не могу получить доступ к WAN-сервисам локально.

Pada

Guest

29.06.2010 22:34:00

У меня уже возникали подобные проблемы с другими роутерами, что приводило к сложностям при хостинге Warcraft III игр на нашем локальном сервере PvPGN. В итоге я написал патч для сервера PvPGN, где хостеры игры могут указать свой LAN IP-адрес, чтобы не приходилось использовать маскировку, когда к серверу подключаются игроки из той же локальной сети. Конечно, патч работал только в том случае, если игроки использовали один и тот же WAN-интерфейс для подключения к серверу. Вот моя версия решения hairpin NAT от pragmat, с несколькими добавленными преимуществами:

/ip firewall mangle
0 ;;; Mark new hairpin connections
chain=prerouting action=mark-connection new-connection-mark=hairpin
passthrough=no connection-state=new src-address=192.168.10.0/24
dst-address=!192.168.10.0/24 dst-address-type=local

/ip firewall nat
0 ;;; NAT - WAN 1
chain=srcnat action=masquerade src-address=192.168.10.0/24
out-interface=WAN-1

1 ;;; NAT - WAN 2
chain=srcnat action=masquerade src-address=192.168.10.0/24
out-interface=WAN-2

2 ;;; NAT - Hairpin
chain=srcnat action=masquerade connection-mark=hairpin

3 ;;; Jump to Port-forward chain with incoming connections from WAN 1
chain=dstnat action=jump jump-target=Port-forward
in-interface=WAN-1

4 ;;; Jump to Port-forward chain with incoming connections from WAN 2
chain=dstnat action=jump jump-target=Port-forward
in-interface=WAN-2

5 ;;; Jump to Port-forward chain with hairpin connections
chain=dstnat action=jump jump-target=Port-forward
connection-mark=hairpin

6 ;;; Port Forward - FTP, HTTP & HTTPS Server
chain=Port-forward action=dst-nat to-addresses=192.168.10.10
protocol=tcp dst-port=21,80,443

7 ;;; Port Forward - PvPGN Server
chain=Port-forward action=dst-nat to-addresses=192.168.10.11
protocol=tcp dst-port=6112

Основные отличия между моим и решением pragmat:
* Мой вариант не будет осуществлять NAT для трафика в локальной сети, если адрес назначения не является локальным адресом.
* Мой вариант требует только одной записи для переадресации портов, а не одной для hairpin NAT и одной для переадресации портов из WAN в локальную сеть.

Я добавил 2 WAN-интерфейса, и оба используют общие записи dst-nat.

Заметки:
Я не уверен, будет ли моя маркировка соединения работать и для UDP-соединений. Буду признателен, если кто-нибудь подскажет, будет ли она работать или нет!

Как несколькоi mentioned ранее: маскировка локальных IP-адресов к локальному серверу может нарушить отслеживание локальных пользователей. Предпочтительное решение — использовать DNS, где ваш внутренний DNS-сервер отвечает локальным клиентам локальным IP-адресом, но в некоторых случаях (например, как выше, с сервером PvPGN), когда это не работает с DNS-записями, вам нужно использовать решение hairpin NAT ИЛИ патчить приложение.

@TheMG, не могли бы вы, возможно, сказать, почему вы хотите ограничить переадресацию портов до определенного WAN-порта? Также, вы говорите об ограничении hairpin NAT до определенного WAN-порта или о переадресации портов из интернета на определенный WAN-порт?

Если вам просто нужно ограничить переадресацию портов до одного WAN-порта из интернета и вы используете мое решение, то просто удалите правило №3 или №4 в моем примере.

Было бы довольно сложно ограничить hairpin NAT до определенного WAN-интерфейса, если WAN-интерфейс имеет динамический IP-адрес! Тогда вам, вероятно, придется написать скрипт для обновления правил, как скрипты, используемые для обновления DynDNS.

tarslana

Guest

11.12.2012 14:16:00

@Pada, я реализовал твое решение для немного другой моей задачи, но оно не работает так, как должно. Точнее, я не знаю, как его подкорректировать, чтобы исправить мою проблему. Проблема в следующем: у меня есть ADSL-модем/маршрутизатор, настроенный как шлюз в Интернет. За ним находится RB1100AH в качестве основного маршрутизатора. Есть две отдельные LAN-подсети, подключенные к RB1100AH. LAN A – это маршрутизированная сеть из нескольких IP-камер и маршрутизаторов. LAN B – это офисная компьютерная сеть. 192.168.1.0/24 У меня есть веб-сайт, размещенный на удаленном сервере. Поскольку ADSL-модем/маршрутизатор получает новый публичный IP-адрес каждый раз при перезагрузке или каждые 12 часов, я настроил учетную запись DynDNS и обновлятель адресов на RB1100AH. Поскольку я хочу транслировать видеопоток с IP-камер на веб-сайте, я настроил правила NAT на ADSL-модеме/маршрутизаторе и RB1100AH, и это работает отлично. Кроме одной вещи. Я не могу просматривать видеопоток с камеры на веб-сайте, когда я получаю к нему доступ из LAN B. Как я уже говорил, я реализовал твое решение для одной из IP-камер (192.168.5.206), и все, что я получаю, — это то, что каждый адрес, который я пытаюсь открыть, ведет на веб-сайт IP-камеры. Если тебе нужна дополнительная информация, чтобы помочь мне, я предоставлю ее. Спасибо.

Настройки на RB1100AH:
/ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; New hairpin connections
chain=prerouting action=mark-connection new-connection-mark=hairpin passthrough=no connection-state=new
src-address=192.168.1.0/24 dst-address=!192.168.1.0/24 dst-address-type=local
/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; NAT WAN
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=ether5_INTERNET

1 ;;; NAT - Hairpin
chain=srcnat action=masquerade connection-mark=hairpin

2 I ;;; Jump to Port-forward for WAN
chain=dstnat action=jump jump-target=Port-forward in-interface=ether5_INTERNET

3 I ;;; Jump to Port-forward for Hairpin
chain=dstnat action=jump jump-target=Port-forward connection-mark=hairpin

4 X ;;; Port forward
chain=Port-forward action=dst-nat to-addresses=192.168.5.206 to-ports=80 protocol=tcp

5 ;;; DstNAT Camera
chain=dstnat action=dst-nat to-addresses=192.168.5.206 to-ports=80 protocol=tcp
in-interface=ether5_INTERNET dst-port=8081

Настройки на ADSL-модеме/маршрутизаторе:
Внешний порт: 8080
Протокол: TCP
Внутренний порт: 8081
IP-адрес сервера: 192.168.1.73 <- Адрес RB1100AH в LAN B

Pada Guest	#7 0 11.12.2012 19:38:00 Привет, tarslana! Предлагаю тебе добавить все твои локальные подсети в Список адресов. Потому что правило mangle должно было только помечать подключения к интернету. “Hairpin”-метка для соединения, которую я использовал, стоило бы переименовать в “internet-connection” или что-то подобное. Так что добавь свои 192.168.1.0/24 и 192.168.5.0/24 (или какие подсети у тебя есть) в один и тот же Список адресов, а затем замени “dst-address=!192.168.1.0/24” на “dst-address-list=!”. Во-вторых, правило NAT #4 (сейчас отключено) лучше оставить отключенным, потому что оно будет dst-nat ВСЕ TCP-соединения, а не только на определенных портах или трафик, идущий к определенным хостам. И напоследок, убери in-interface=ether5_INTERNET из правила NAT #5, иначе “hairpin” NAT не заработает. Если ты оставишь его в этом правиле, то соединения, создаваемые изнутри твоей сети к твоему публичному IP:8080, больше не будут перенаправляться обратно к твоей камере. Возможно, я и ошибаюсь, потому что твой ADSL-модем может и так сделать NAT, и тогда тебе даже не придется заморачиваться с настройкой hairpin NAT в MikroTik! Надеюсь, это исправит твою проблему.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры