+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с перенаправлением порта из локальной сети, используя публичный IP-адрес.

Проблема с перенаправлением порта из локальной сети, используя публичный IP-адрес., RouterOS

romaxe

Guest

24.03.2008 08:52:00

Привет. Не могу связаться с сервером, находящимся за одним NAT, по публичному IP-адресу по локальной сети. Не могу использовать DNS, так как мне нужно только публичные IP-адреса. Два года назад нашёл, как решить проблему на старом Mikrotik, но сейчас не могу! Сценарий простой: один СЕРВЕР в локальной сети, и я хочу получить к нему доступ по его публичному IP-адресу из локальной сети. Искал на этом форуме вдоль и поперек и перепробовал кучу примеров, но всё равно не получается. Один пользователь сказал, что он решил проблему, добавив ещё одно правило для UDP, но и это не сработало. Пожалуйста, кто-нибудь, помогите.

AigarsABCD

Guest

04.05.2008 15:18:00

Привет. У меня та же проблема, что и у всех выше. Но ни одно из предложенных решений не работает. У меня два интерфейса на роутере – Internal и External, а во внутренней сети стоит веб-сервер. [admin@MikroTik] ip firewall nat> print
0 chain=srcnat action=masquerade out-interface=External

1 chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80
dst-address=85.254.xxx.xxx dst-port=80 protocol=tcp Но это не работает, если запросы к веб-серверу приходят из внутренней сети. Как это должно работать > Когда клиент из внутренней сети (192.168.0.31) запрашивает 85.254.xxx.xxx, веб-сервер (192.168.0.100) получает запрос от 192.168.0.31 и отвечает 192.168.0.31, но клиент ожидает ответ от 85.254.xxx.xxx, поэтому в конце ничего не работает. Роутер применяет только мое NAT-правило 1 и сохраняет исходный адрес 192.168.0.31. Как должно быть > Роутер должен сначала применять мое NAT-правило 0, потому что соединение фактически проходит через внешний интерфейс. Только потом он должен применять правило 1, и веб-сервер должен получать запрос от 85.254.xxx.xxx, затем отвечать 85.254.xxx.xxx, а затем NAT обратно на 192.168.0.31. Это также то, как работают все дешевые роутеры. Тогда почему это не работает так, как должно, на RouterOS? Я пробовал много чего менять, но получаю только "Connection Timed Out". Кстати, у меня RouterOS 2.9.46.

galaxynet

Guest

04.05.2008 18:42:00

АйгарсАБСД - Ну, ты почти у цели… У тебя есть DNS-запись для твоего веб-сервера? Она тебе понадобится, чтобы это заработало – или, как минимум, DDNS-адрес… Во-первых, если хочешь маскировать внутреннюю сеть за внешней, убедись, что используешь твою внутреннюю адресную подсеть в качестве 'qualifier' – например, если твоя внутренняя сеть 192.168.0.0/24, то обязательно добавь ее в качестве src-addr, а затем используй исходящий интерфейс. Это предотвратит маскировку 'блуждающих' адресных пространств. Во-вторых, раз ты используешь dst-nat, то убедись, что используешь 'Внешний' интерфейс в качестве qualifier для входящего интерфейса – это тоже сведет к минимуму спуфинг. Как только сделаешь вышесказанное, это должно решить твою проблему. Пожалуйста, напиши о результатах, чтобы другие тоже могли чему-то научиться. R/

AigarsABCD

Guest

04.05.2008 20:13:00

Спасибо за ответ. У меня DNS-сервер на той же машине, где и веб-сервер, но DNS работает нормально и из внутренней сети, так как DNS-запрос проходит через сервер провайдера и возвращается обратно. Я сделал то, что ты сказал, теперь правила выглядят так:
0 chain=srcnat action=masquerade out-interface=External
src-address=192.168.0.0/24

1 chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80
in-interface=External dst-address=85.254.xx.xx dst-port=80 protocol=tcp

И теперь, когда я ввожу внешний адрес в браузере, больше нет dst-nat на сервер, а появляется интерфейс веб-бокса Mikrotik. Снаружи всё работает нормально. Я в замешательстве. Не привязан ли IP-адрес к интерфейсу? Если я отправляю что-то на внешний IP-адрес, не должно ли это также проходить через внешний интерфейс? Похоже, что нет. Это действительно работает для всех, кто использует эту dst-nat? "Bridge" (мост) нужен только если мое устройство было бы чем-то вроде сетевого коммутатора. Он не нужен для маршрутизации. ← так ли это правильно? Также есть раздел «NAT» в разделе Bridge. В руководстве вообще не объясняется, что этот раздел на самом деле делает.

galaxynet

Guest

05.05.2008 13:04:00

AigarsABCD - Судя по тому, что ты описываешь, у тебя только один IP-адрес - это так? Я не учел твои правила и порядок выше. Твой веб-сервер должен иметь свой адрес, который src-nat’d (не маскируется), прежде чем ты будешь маскировать остальную внутреннюю сеть. Правила выполняются по порядку (сначала scr-nat, потом dst-nat). IP-адрес может быть связан с интерфейсом – он также может быть связан с другими IP-адресами с помощью NAT и Masq. Есть еще бриджинг и маршрутизация, которые могут заставить IP-адреса появляться в других местах – это уже вне темы этого обсуждения, но я решил упомянуть, учитывая твои комментарии выше. NAT под бриджем работает так же, как и "обычный" NAT. Тебе просто нужно использовать его под интерфейсом Bridge, а не в стандартном разделе IP / Firewall / Nat. R/

AigarsABCD

Guest

05.05.2008 21:00:00

Да, у меня один IP-адрес, а моя внутренняя сеть спрятана за ним. Похоже, ничего у меня не работает, в общем. Но на самом деле мне сейчас не очень важно получить доступ к моему веб-серверу из внутренней сети, так что я просто оставлю всё как есть. Просто хотел разобраться, что я делаю не так, потому что брал правила конфигурации из руководства и с wiki.mikrotik.com. Кстати, действительно ли между src-nat и masquerade есть какие-то другие различия, кроме того, что для src-nat мне нужно вручную указывать to-address и to-port, а для masquerade to-address определяется автоматически? Спасибо за помощь!

galaxynet

Guest

05.05.2008 21:16:00

AigarsABCD - Пока что можно видеть твой веб-сервер только с 1 IP-адресом - мне просто нужно было понять, что у тебя там есть… Ты должен суметь изменить порт www на роутере – скажем, на 81 или 8080, и тогда твой dst-nat rule сработает. Твой веб-сервер все равно будет иметь порт 80 как "стандартный" порт веб-сервера, а MT – 81 или 8080… Есть причины использовать src-nat и masq, это станет понятно, когда поработаешь с этим какое-то время. Но как ты и предположил, основное отличие в том, что у тебя есть возможность назначать порты в src-nat и dst-nat, а у masq такой опции нет… R/

AigarsABCD Guest	#8 0 25.05.2008 19:06:00 Привет еще раз! Я наконец-то нашел решение моей проблемы, о которой я говорил выше. У меня было 2 правила NAT, но второе не работало из внутренней сети. Я просто убрал выделенную жирным часть, и теперь кажется, что все работает. 0 chain=srcnat action=masquerade > out-interface=External src-address=192.168.0.0/24 1 chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80 in-interface=External dst-address=85.254.xx.xx dst-port=80 protocol=tcp И вот почему так важен out-interface? Я видел его во всех примерах. Кажется, он только создает проблемы. Теперь все, что приходит из внутренней сети через роутер, маскируется, независимо от того, выходит оно на внешнюю сеть или нет. Я правильно понимаю?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры