+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проброс портов на одном и том же порту/мосту

Проброс портов на одном и том же порту/мосту, RouterOS

Yamash

Guest

22.02.2014 17:50:00

Привет! На фото показана часть моей сети. У меня есть routerboard 750 с Ethernet-портами 2-5, объединёнными в мост LAN, и ether1 для модема, а также интерфейс PPPoE VELOX-PPPoE (неважно, наверное). К eth2 подключён Linksys EA2700, а в нём на eth1 висит компьютер с адресом *.39, а на eth2 — компьютер с адресом *.36.

В этом RB настроен следующий dst nat:
chain=dstnat action=dst-nat to-addresses=10.0.0.36 to-ports=80 protocol=tcp dst-port=3680

Так вот, с компьютера 10.0.0.39 не могу загрузить веб-страницу, которая находится на 10.0.0.36, если использую адрес http://10.0.0.33:3680. Зато с любого другого устройства, подключённого по Wi-Fi к Linksys, этот порт форвардится без проблем.

Вопрос: почему так происходит и можно ли как-то исправить?

Кстати, *.39 — Windows 7, *.36 — Ubuntu, *.37 — Windows 7.

Yamash Guest	#2 0 28.03.2014 20:36:00 Никто не может просто объяснить мне, почему это произошло?

Sob

Guest

29.03.2014 01:14:00

Ваше правило NAT недостаточно конкретное, оно будет срабатывать на любой трафик, идущий на порт 3680, что, скорее всего, вам не нужно. Даже http://www.google.com:3680 будет перенаправлен на 10.0.0.36:80. Страница, скорее всего, не откроется (если у вас нет дополнительного правила NAT), но счётчик пакетов для этого правила может расти. Следует добавить либо dst-address-type=local, либо dst-address=<IP вашего роутера>. Затем поищите в вики MikroTik «hairpin NAT» — это другое правило, которое вам понадобится. Почему это работает с .37, а не с .39, сказать сложно. Возможно, есть другие правила файрвола, которых здесь нет.

rextended Guest	#4 0 29.03.2014 10:25:00 Yamash: пожалуйста, добавь +1 кармы Sob, он понял твою проблему и предложил решение.

Sob

Guest

29.03.2014 13:49:00

Будучи скромным человеком, я бы сказал, что это, вероятно, шаг в правильном направлении, но никак не полное объяснение. Если это уже сработало для некоторых устройств, значит, у него, скорее всего, уже была реализована hairpin NAT. Но то, что это случайно сработало только для некоторых устройств, выглядит странно, так что здесь, наверное, есть что-то ещё.

Yamash

Guest

09.04.2014 02:03:00

Заранее спасибо за помощь. Уточню вопрос: у меня есть сервер Ubuntu с IP 10.0.0.36 (pitcairn.codex), mikrotik с IP 10.0.0.33 (connor.codex) и 10.0.0.39 (charles.codex). Моя топология такова: все порты объединены в мост под названием LAN, ether2 подключён к EA2700 (МОСТ), от него один кабель идёт к pitcairn.codex, другой — к connor.codex. В настройках моста включён пункт Bridge > Settings > Use Ip Firewall #### ВКЛЮЧЕНО! ####

Внутри connor.codex у меня есть следующее правило для NAT:
chain=dstnat action=dst-nat to-addresses=10.0.0.36 to-ports=80 protocol=tcp dst-port=3680

Основная цель этого правила — иметь доступ к моей странице за NAT моего роутерборда из WAN. Если я использую «mydomain.com:3680», то происходит переадресация на «pitcairn.codex:80». Это отлично работает.

Но если я пытаюсь зайти из моей сети с компьютера на Windows 7 (charles.codex), это не работает. Сначала не работало, потому что я ещё не включил «USE IP FIREWALL» (как написал выше), но после включения по-прежнему не работает. При этом я проверил, что любые другие устройства в моей сети (НЕ ПОДКЛЮЧЁННЫЕ ПО ETHERNET К EA2700, НО ПОДКЛЮЧЁННЫЕ ПО WLAN И ЛЮБЫЕ ДРУГИЕ УСТРОЙСТВА) работали нормально.

Сейчас я использую RB 2011UAS-2HnD, charles.codex подключён к eth2, а pitcairn.codex — к eth3, NAT работает без проблем, но мне всё равно интересно: почему не работает, если оба — charles.codex и pitcairn.codex — подключены к мосту EA2700? Это проблема? Это что-то значит? Или нет? Я просто хочу понять и если кто-то знает, что я делаю не так или что можно сделать, чтобы избежать или обойти эту проблему?

Спасибо за ваше время! Я понимаю, что вопрос может показаться глупым, но для меня это всё ещё головоломка!

Sob

Guest

09.04.2014 13:11:00

Объяснение должно быть в ваших других правилах файрвола (предполагая, что Linksys действительно полностью прозрачен как мост). Потому что в текущем виде мы уверены, что у вас работает переадресация портов (хотя и слишком широкая, но это не главная проблема). Но сама по себе, без дополнительного правила, она не может работать с любого компьютера в вашей локальной сети (*1). Значит, похоже, у вас уже что-то настроено на роутере. Также IP-файрвол для моста кажется лишним, если только вы не фильтруете трафик между портами. (*1) Это описано здесь, и хотя говорится про доступ к внешнему адресу из локальной сети, то же самое относится и к внутреннему адресу роутера.

Основная проблема в том, что .39 отправляет пакет на .33, который перенаправляет его на .36, но исходный адрес остаётся .39. А поскольку это одна подсеть, .36 отправляет ответ напрямую на .39. Но .39 думает, что общается с .33 и не ждёт ничего от .36, поэтому не принимает ответ, и соединение не работает.

Yamash

Guest

13.04.2014 17:18:00

Большое спасибо, я тут подумал, что в моём случае, когда была включена опция «Use ip firewall», возможно, трафик просто шел напрямую внутри свича Linksys, не так ли? — Читал про Hair Pin Nat и попробовал на практике, ниже результаты. Сначала я настроил страницу блокировки, и она сработала отлично.
chain=srcnat action=masquerade protocol=tcp src-address=10.0.1.0/27 dst-address=10.0.0.36 out-interface=LAN dst-port=9999
chain=dstnat action=dst-nat to-addresses=10.0.0.36 to-ports=9999 protocol=tcp src-address-list=bloqueado dst-port=80,443

Потом решил сделать так, чтобы работал вебсервер.
chain=srcnat action=masquerade protocol=tcp src-address=10.0.1.0/27 dst-address=10.0.0.36 out-interface=LAN dst-port=80
chain=dstnat action=dst-nat to-addresses=10.0.0.36 to-ports=80 protocol=tcp dst-port=3680

Когда тестировал это правило, каждый раз, когда пытался зайти на «http://mydomain.com:3680», меня перенаправляло на страницу RouterBoard (connor.codex). Пытался решить эту проблему, меняя порт или отключая его в «IP > Services > http», но это не сработало. (Когда в «Ip Service» вносил изменения, страница вообще не загружалась). Думаю, это что-то простое, что я упускаю, но не могу понять, что именно.

Yamash Guest	#9 0 24.04.2014 11:49:00 Я всё ещё пытаюсь с этим разобраться, кто-нибудь может помочь?

SonBackey

Guest

#10

24.05.2014 08:30:00

Наращивание волос и накладные пряди действительно могут помочь улучшить внешний вид и сильно изменить человека. Если выбрать правильный тип и стиль парика, конечно, вы будете выглядеть всё более привлекательно. К тому же купить недорогие парики сейчас легко — можно просто выбрать идеальный стиль онлайн в интернет-магазинах. Я недавно купила чёлку-парик, и он просто идеален.

Zenia2Saicedo Guest	#11 0 05.11.2014 07:49:00 Тебе нравятся парики? Тогда знай, что существует огромное количество мужских париков, и ты обязательно найдёшь тот, что подойдёт именно тебе.

rickeyafflick

Guest

#12

03.12.2014 02:05:00

Если у вас постоянно возникают проблемы с поиском подходящего и достаточно милого парика, тогда стоит выделить время и заглянуть в Hwiriwgsall, чтобы подробнее всё обсудить. Сейчас это можно сделать довольно просто, и времени это у вас много не отберёт.

rickeyafflick

Guest

#13

03.12.2014 02:08:00

Если у тебя постоянно возникают проблемы с поиском подходящего и достаточно милого парика, то стоит потратить время и заглянуть на Hairwigsall, чтобы присмотреться получше — сделать это теперь проще простого, да и времени много не займет.

Cristine1Aldrete Guest	#14 0 05.12.2014 08:19:00 Если вы всегда ищете удобный и подходящий синтетический парик, стоит уделить несколько минут, чтобы внимательно посмотреть, прежде чем принимать решение.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры