+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Hairpin NAT и DDNS (новичок)

Hairpin NAT и DDNS (новичок), RouterOS

limbo

Guest

27.01.2017 20:44:00

Привет, эксперты Mikrotik! Я полный новичок в Mikrotik и routerOS и очень нуждаюсь в вашей драгоценной помощи. (так что будьте ко мне помягче)

Главный вопрос — Hairpin NAT.

Моя схема следующая: LAN > Mikrotik (с PPPoE подключением) > МОДЕМ > провайдер (с динамическим IP).
У меня в локальной сети несколько серверных устройств (1 NVR, 1 веб-переключатель освещения, 2 IP-камеры), и мне удалось сделать проброс портов через правила dstnat. Теперь я могу заходить на устройства из интернета, используя DDNS-адрес, который регулярно обновляется при помощи специального скрипта. Всё работает отлично.

Но вот не понимаю, как настроить роутер, чтобы при подключении к LAN запросы на DDNS перенаправлялись на внутренние IP. Я знаю, что нужно сделать Hairpin NAT, но никак не могу разобраться в структуре правил.

Если точнее:
Мой публичный DDNS: mymikrotik.two-dns.de
Внутренний переключатель (веб-сервер) работает на 192.168.128.199, порт 8880
Роутер находится на 192.168.128.1

Может, кто-нибудь приведёт пример настройки firewall-правил для Hairpin NAT?

Заранее спасибо!

neven Guest	#2 0 29.03.2018 09:43:00 Да, маскарад для bridge к локальной подсети в src-chain сработал. Всем спасибо.

ilovepancakes Guest	#3 0 16.12.2018 16:17:00 Не могли бы вы поделиться своей окончательной полной конфигурацией правил NAT? Я пытаюсь заставить это работать и сталкиваюсь с похожими проблемами, которые вы изначально описывали.

neven

Guest

26.03.2018 11:30:00

Пытаюсь настроить Hairpin с помощью dst-address-list, но, похоже, что-то упускаю.
[admin@MikroTik] /ip firewall filter> /ip firewall address-list print

Флаги: X - отключено, D - динамическое
# СПИСОК АДРЕС
0 Hairpin xxxx.sn.mynetname.net
1 D ;;; xxx.sn.mynetname.net
Hairpin xxx.xx.xx.182

[admin@MikroTik] /ip firewall filter> /ip firewall filter print
Флаги: X - отключено, I - недействительно, D - динамическое
0 D ;;; специальное тестовое правило для отображения счётчиков fasttrack
цепочка=forward действие=passthrough

1 ;;; defconf: принять established,related,untracked
цепочка=input действие=accept состояние-соединения=established,related,untracked

2 ;;; разрешить IPsec NAT
цепочка=input действие=accept протокол=udp порт-приема=4500

3 ;;; разрешить IKE
цепочка=input действие=accept протокол=udp порт-приема=500

4 ;;; разрешить l2tp
цепочка=input действие=accept протокол=udp порт-приема=1701

5 ;;; разрешить pptp
цепочка=input действие=accept протокол=tcp порт-приема=1723

6 ;;; разрешить sstp
цепочка=input действие=accept протокол=tcp порт-приема=443

7 ;;; defconf: отбросить недействительные
цепочка=input действие=drop состояние-соединения=invalid

8 ;;; defconf: принять ICMP
цепочка=input действие=accept протокол=icmp

9 ;;; defconf: отбросить всё, что не из LAN
цепочка=input действие=drop вход-интерфейс-список=!LAN

10 ;;; defconf: принять в ipsec политике
цепочка=forward действие=accept ipsec-политика=in,ipsec

11 ;;; defconf: принять из ipsec политики
цепочка=forward действие=accept ipsec-политика=out,ipsec

12 ;;; defconf: fasttrack
цепочка=forward действие=fasttrack-connection состояние-соединения=established,related

13 ;;; defconf: принять established,related,untracked
цепочка=forward действие=accept состояние-соединения=established,related,untracked

14 ;;; defconf: отбросить недействительные
цепочка=forward действие=drop состояние-соединения=invalid

15 ;;; defconf: отбросить всё от WAN, если не DSTNAT
цепочка=forward действие=drop состояние-соединения=new состояние-nat!=dstnat
вход-интерфейс-список=WAN

[admin@MikroTik] /ip firewall filter> /ip firewall nat print
Флаги: X - отключено, I - недействительно, D - динамическое
0 ;;; defconf: masquerade
цепочка=srcnat действие=masquerade выход-интерфейс-список=WAN
ipsec-политика=out,none

1 ;;; маскарад VPN трафика
цепочка=srcnat действие=masquerade src-адрес=192.168.89.0/24

2 цепочка=dstnat действие=dst-nat to-адреса=192.168.7.21 to-порты=41234
протокол=tcp вход-интерфейс=ether1 порт-приема=41235 log=no log-prefix=""

3 X цепочка=dstnat действие=dst-nat to-адреса=192.168.7.21 to-порты=3389
протокол=tcp вход-интерфейс=ether1 порт-приема=3389 log=no log-prefix=""

4 цепочка=dstnat действие=dst-nat to-адреса=192.168.7.21 to-порты=41234
протокол=tcp dst-address-list=Hairpin вход-интерфейс=bridge порт-приема=41235
log=no log-prefix=""

5 цепочка=dstnat действие=dst-nat to-адреса=192.168.7.11 to-порты=22
протокол=tcp dst-address-list=Hairpin вход-интерфейс=bridge порт-приема=22
log=no log-prefix=""

Запрос на соединение срабатывает на правилах фаервола/NAT dst-nat 4 и 5, но до to-адреса не доходит. Нужно ли делать src-nat masquerade для локальной сети?

Steveocee Guest	#5 0 26.03.2018 20:03:00 Посмотри это: https://www.steveocee.co.uk/mikrotik/hairpin-nat/hairpin-nat-video/ Если зайдёшь на https://www.steveocee.co.uk/mikrotik/hairpin-nat/, там найдёшь полностью описанную настройку с готовыми скриптами.

jspool Guest	#6 0 27.03.2018 04:19:00 Если вы можете получить к нему доступ внешне, а внутри — нет, то обычно это проблема с маскарадом. По умолчанию маскарад обычно применяется к LAN-трафику, который уходит через ether1. Однако если временно убрать ether1 из правила и применить его, я предполагаю, что всё будет работать нормально. Если так, то вы сможете настроить нужные правила для локального доступа к устройствам.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры