Přesměrování IP

[fblaha]

Dobrý den,
řeším, následující zapeklitost:
Vnitřní síť - řekněme subnet 192.168.1.0/24,
Brána s veřejnou adresou, řekněme 99.99.99.6/30
Na mikrotiku běží standardní maškaráda

Kód: Vybrat vše

add action=masquerade chain=srcnat comment="NAT" out-interface=GW to-addresses=0.0.0.0

Ve vnitřní síti jede webový server pod adresou 192.168.1.1 s otevřeným portem 80. Pro přístup z internetu je v NATu pravidlo

Kód: Vybrat vše

add action=dst-nat chain=dstnat comment="port forwarding TCP80" dst-address=99.99.99.6 dst-port=80 in-interface=GW protocol=tcp to-addresses=192.168.1.1 to-ports=80

Jak vytvořit pravidlo, abych z vnitřní sítě mohl zavolat 99.99.99.6 na portu 80 a dostat validní odpověď?
Já vím, že mi stačí, abych zevnitř zavolal 192.168.1.1:80 a dostanu totéž a bez úprav v mikrotiku, nicméně řeším, jak to obejít? Jít to musí, protože lecjaký TPLINKový router, to se zapnutým NATem umí. Ale jak na to v mikrotiku?

[ef]

Nemůžeš použít NAT (Maškarádu) na OUT interface, když chceš ať funguje i na jiném intervace.

Dej maškarádu na src 192.168.1.0/24 a nedefinuj interface

A opět i zpět, pokud chceš NAT na pravidlo přicházející z LANu nemůžeš čekat že když nastavíš pravidlo na IN interface GW že ti přesměruje provoz z LANu na LAN.

Cilové pravidlo napiš dst-nat dst adress 99.99.99.6 dst port tcp 80 to address 192.168.1.1 to port 80

[fblaha]

Dej maškarádu na src 192.168.1.0/24 a nedefinuj interface

No jo, ale co mi to udělá s komunikací v rámci vnitřní sítě? Nepřikryje se náhodou také NATem?

[ef]

Ne. Pokud jsi ve stejné masce zdroj cíl tak brána do toho nijak nezasahuje. Si to vyzkoušej. Mám to na stovkách míst. Jak myslíš že má nastavený NAT ta hloupá krabička když funguje to co ty chceš.