Маршрутизация запросов из локальной сети обратно в локальную сеть.

У этого два бага - добавление chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2 (то же самое, что и правило переадресации порта, но без in-interface) не работает. Браузер не может получить страницу, и логи Apache не показывают никаких запросов. Если бы это правило работало, мне пришлось бы добавить фильтр, чтобы игнорировать мои обычные исходящие запросы в Интернет. Именно это правило фильтрации меня беспокоит (мой внешний IP динамический).

Мой интернет-канал – Pptp-соединение. Ext lan нужен лишь для обеспечения пути к pptp-серверу провайдера. Домен myserv.dyndns.org назначен на IP-адрес этого pptp-интерфейса (обновляется через скрипт dyndns). На RB715G есть правило брандмауэра `/ip firewall nat chain=dstnat action=dst-nat to-addresses=192.168.1.2 protocol=tcp in-interface=pptp-out1 dst-port=80` для переадресации порта. Это правило работает отлично, но только если запрос соединения приходит с pptp-интерфейса (напрямую из интернета). Теперь я хочу, чтобы моя машина с веб-сервером (или любой клиент во внутренней LAN 192.168.1.0) могла получить доступ к тому же веб-сайту (myserv.dyndns.org). И сделать это без статических записей хостов или dns, подключаясь к точному внешнему IP-адресу. Что-то вроде того, как – клиент запрашивает соединение с myserv.dyndns.org, запрос приходит к роутеру, он замечает, что запрос предназначен для IP-адреса, назначенного его собственному локальному интерфейсу, соединение прозрачно переадресовывается к конечному пункту правила (внутренний веб-сервер, согласно правилу). Клиент думает, что он подключается к какому-то внешнему IP-адресу, а не к 192.168.1.2.

P.S. Физически это возможно, поскольку мой старый роутер ASUS так себя вел сразу после того, как я настроил переадресацию порта 80.

Ну и почему бы нет? RRAS в Windows мог бы это сделать, мой старый роутер Asus тоже мог. RouterOS намного лучше этих, и не может выполнять ту же задачу? Ну, даже если я сделаю так – какое именно правило будет фильтровать запросы к внутреннему веб-серверу от запросов к веб-сайтам в интернете? Мой внешний IP динамический. //обновление. Оказывается, это возможно. Подумав логически, я создал два правила: chain=dstnat action=dst-nat to-addresses=192.168.1.2 protocol=tcp dst-address= dst-port=80 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 out-interface=bridge-local dst-port=80. В общем, я сделал NAT всех запросов, которые приходят с внутренних IP-адресов и идут во внутреннюю сеть. Теперь осталось только понять, как избавиться от 'dst-address=' в первом правиле. Я думаю, можно переписать правило, используя тот же скрипт dyndns, который я уже использую. Он будет обновлять его текущим внешним IP. Но может быть, есть лучшее решение без скриптов? Например, установить 'dst-address = ‘any_local’ ? Возможно ли такое правило в ROS? И похоже, что я не могу напрямую использовать глобальные переменные внутри правил файрвола. Эх, жаль.

@Andys Следуй этому примеру: http://wiki.mikrotik.com/wiki/Hairpin_NAT, и используй свой DynDNS-скрипт, чтобы заменить ‘1.1.1.1’ из примера выше на разрешенный адрес ‘myserv.dyndns.org’. Надеюсь, поможет.

Всем привет, искренне извиняюсь за то, что поднимаю старую тему, но я АБСОЛЮТНО в такой же ситуации, и ни один из скриптов, которые я пробовал, для меня не работает. Вот моя текущая ситуация. Мой модем работает по pppoe и настроен как bridge. MT роутер правильно настроен для подключения по pppoe. (Интернет работает). Мне удалось настроить правила брандмауэра для моего NAS и я смог получить к нему доступ через DDNS из Интернета (поначалу). Я поискал больше информации и наткнулся на эту тему и с помощью предоставленных здесь советов смог настроить маршрутизацию с LAN обратно в LAN, и теперь я МОГУ получить доступ к моему NAS через DDNS из LAN. Далее была задача обновить публичный IP, так как в Firewall-NAT dst-Address — это мой публичный динамический IP, и я хочу убедиться, что если он изменится, DDNS будет продолжать работать правильно. Вот тут я застрял и потратил 3-4 часа, чтобы запустить скрипт и добиться желаемого результата. Согласно этой теме, я следовал туториалу, написанному на https://wiki.mikrotik.com/wiki/Use_host_names_in_firewall_rules.

a. Шаг один :: /ip firewall address-list add address=0.0.0.0 comment=sam9s.synology.me list=host_synology — это добавляет запись под firewall->adress list.
b. Шаг два :: /ip firewall filter add chain=ouput dst-address-list=host_synology action=accept — это добавляет запись под firewall->filter.

Теперь, когда я запускаю скрипт, который там размещен… НИЧЕГО не происходит… адрес под Firewall->Address Lists все еще просто 0.0.0.0. Исправьте меня, если я не прав, но когда скрипт запускается, 0.0.0.0 должно измениться на мой публичный IP, верно? Но этого не происходит. Я пробовал другие скрипты, но ничего не работает, может быть, я что-то упускаю. Могу ли я попросить "гуру" ПОМОЧЬ мне здесь? Я уже несколько часов кручусь на месте без успеха.

С уважением,
Sammy

Окей, сделано. Можешь объяснить, как этот шаг помогает, когда мой публичный IP меняется, под NAT -> Dst Address, где я сделал LAN обратно в LAN-конфиг, отразится ли там автоматически измененный публичный IP? Если да, то для чего этот скрипт? (Тот, что я присылал?) ROS последняя, как я понимаю, Winbox v6.39.2. И не выкапывай такие старые темы, знаешь же, сколько людей откроют её, начнут читать от начала, думать над проблемой… только чтобы через несколько минут поняли, что это всё просто история? Если старая тема тебе кажется важной, лучше просто дай ссылку на неё из своей. Понял. Буду создавать новые темы отсюда и далее и буду давать ссылки на любые нужные старые, если потребуется. Извини за это на этот раз.

Ладно, и что считать корректными DNS? Я ничего там не менял, так что записи там по умолчанию… ниже прикладываю, что у меня сейчас. Не понимаю, почему там 192.168.1.1, это не IP моего роутера. IP роутера у меня 192.168.88.1.

Нет, никакой конкретной причины не было. Если бы был другой способ это сделать, который кто-то предложил до того, как я начал этот поток, я бы выбрал его, но в любом случае, этот вопрос был решен. Однако это была только первая часть всей проблемы. (Если вы прочитали мои сообщения) Теперь вторая часть заключалась в том, чтобы иметь возможность обновлять Firewall-NAT dst-Address по моему публичному IP, если он меняется, и я подумал, что скрипт - решение, но, согласно SOB "“”“”/ip firewall address-list add address=sam9s.synology.me list=host_synology"“”“” запуск этого решит проблему, что я и сделал. НО я просто хотел понять, КАК это помогает, и когда мой публичный IP меняется, в NAT -> Dst Address, где я сделал настройку LAN обратно в LAN, будет ли это автоматически отражать измененный публичный IP??? ЕСЛИ ДА, то какова роль скрипта, о котором я упоминал, что он делает? Затем последовал ответ, что если у меня есть правильный DNS, то команда"“”“”“”“”“”“” “ip firewall address-list add address=sam9s.synology.me list=host_synology”“”“”“”“”“”’ будет работать корректно… НО я не уверен, что значит "правильный DNS", ведь можно использовать даже DNS от Google для достижения результата. Прилагаю скриншот моих настроек DNS. Жду любого ответа от тех, кто писал в ответ на мой вопрос на предыдущей странице, чтобы лучше понять, как это работает… Но ответа пока не получил.

Я перечитал это снова и немного запутался в скрипте разрешения домена. То, что я предложил, заменяло бы только эту часть. На самом деле, DNS-разрешение вам вообще не нужно (ну, возможно, смотрите ниже). У вас есть два варианта:

а) Используйте hairpin NAT. Пример предполагает, что ваша локальная сеть — 192.168.88.0/24, роутер — 192.168.88.1, внутренний сервер — 192.168.88.100, и вы хотите перенаправить TCP-порт 80. Замените это на свои цифры. Сначала добавьте правило dstnat: `/ip firewall nat`
`add action=dst-nat chain=dstnat dst-address-type=local dst-address=!192.168.88.1 dst-port=80 protocol=tcp to-addresses=192.168.88.100`
Оно будет соответствовать соединениям к порту 80 и любому адресу, принадлежащему роутеру, за исключением его внутреннего (так что вы все равно сможете получить доступ к WebFig по адресу http://192.168.88.1, если вы его используете). Затем добавьте правило srcnat для hairpin NAT: `/ip firewall nat`
`add action=masquerade chain=srcnat dst-address=192.168.88.0/24 out-interface=<LAN> src-address=192.168.88.0/24`
Это универсальное правило, которое будет работать со всеми перенаправленными портами. И, наконец, разрешите перенаправленные порты через файрвол роутера: `/ip firewall filter`
`add action=accept chain=forward connection-nat-state=dstnat`

б) Используйте DNS, как предлагает w177f: `/ip dns static`
`add address=192.168.88.100 name=sam9s.synology.me`
Вашим устройствам в локальной сети нужно использовать роутер в качестве DNS-разрешателя, и благодаря этому, при переходе по адресу http://sam9s.synology.me, они будут подключаться напрямую к внутреннему адресу.

У каждого способа есть свои преимущества и недостатки: использование статического DNS кажется проще на первый взгляд. Оно также лучше для производительности, потому что пакеты не нужно отправлять на роутер и обратно, они идут напрямую к серверу. Но есть некоторые ограничения, например, подключите устройство со статически настроенным DNS-разрешателем к чему-то, отличному от вашего роутера, и оно не будет работать. Если вы укажете больше доменных имен, потребуется статическая запись для каждого. И вам придется следить за изменениями (если вы добавите или удалите доменные имена). Но, вероятно, можно с уверенностью предположить, что это не будет проблемой в вашем случае. Оно также не позволяет подключения к числовому адресу, потому что вы не можете перенаправить его с помощью DNS. Hairpin NAT — это "настрой и забудь", оно будет автоматически работать с любым доменным именем, указанным на ваш текущий WAN-адрес. Но оно менее эффективно, как упоминалось ранее. Но это проблема только при большом объеме трафика.