classic.ISPforum.cz

Zdravím, můžete mi prosím napovědět jak nastavit přístup z lokálního rozhasu na vlastní veřejnou IP, kterou má MK? Vím, že se to tu už řešilo, ale nemůžu na to zde najít. Děkuji

skus hledat hairpin nat

V natu musíš definovat NAT jen formou IP adres, nesmíš definovat in a out interface.

IN/OUT rozhraní v definování pravidel nepoužívám. To vím, že dělá problémy.

Snad ti to pomuze

http://wiki.mikrotik.com/wiki/Hairpin_NAT

Tak už mě napadá pouze to, že mi to kazí značkování paketů pro routování provozu.

Rád bych oživil toto téma, protože nejsem schopný Hairpin NAT rozchodit. Včetně toho návodu na mikrotik stránkách jsem zkusil asi 6 dalších a vždy bez úspěchu. Pokusím se nastínit mou situaci.

U sebe doma mám web server přístupný z internetu. Mám veřejku, u správce domény vytvořený A záznam, u sebe udělaný dstnat a z venku web jede. Klasicky ale mám problém na web přistoupit zevnitř sítě, pokud používám doménové jméno. Co je u mě nestandardní, že od poskytovatele internetu mám modem a v tom nastavenou defacto DMZtku na můj mikrotik. Tedy cokoliv, co přijde z venku na moji veřejku (třeba 1.1.1.1) přeloží ten modem na 192.168.1.2, takže na mikrotiku vidím, že ta komunikace přišla na 192.168.1.2. Proto např. ten dstnat mám udělaný takto:


Pokud je tu nějaká duše, která by mi pomohla dobrat se funkčnímu výsledku, budu rád; resp. pokud bude duše pražská, nabízím pozvání na pivo. Díky.

Já mám radši falšování DNS ... určitě používáš DNS v tom routeru, tak si tam napiš statický záznam.

Jinak potřebuješ zopakovat ten dst-nat i pro veřejnou IP (aby to odchytilo i požadavek zevnitř na vnější), a Hairpin spočívá v tom, že potřebuješ i SRCNAT, zamaskovat vnitřní sít za vnitřní IP toho routeru. Protože když to neuděláš, tak klient se snaží komunikovat s veřejnou IP, ale odpovědi se mu vrací z interní a s tím si už neporadí.

Mozna neco k tematu: http://www.abclinuxu.cz/poradna/linux/show/378998

ludvik píše:Já mám radši falšování DNS ...

Já falšování moc nerad, hlavně když by měla existovat čistější cesta.

Jak myslíš dstnat pro veřejku zevnitř, jakože... ale asi mi to nedává moc smysl.

joker píše:Upřímně říkám, že tomu příliš nerozumím. Nejsem linux guru a o iptables jen vím, že existuje

Čistší cesta ... to by byla taková, že bys žádný NAT nepotřeboval. Buď falšuješ IP pakety, nebo DNS odpověď ... A to druhé má výhodu v tom, že nezatěžuješ router domácím provozem zbytečně.

Pokud ti to nedává smysl, tak se z toho nevyhrabeš. Potřebuješ paketům co zevnitř sítě směřují na tvoji veřejnou říci, že nemají odejít výchozí bránou ven, ale že se mají otočit a vrátit dovnitř.

Hmm zkouším zprovozdnit to abych se dle obrázku



mohl dostat ze serveru 1 na server dva ale tak že jdu na veřejnou adresu serveru dva nikoli privátní, ale bohužel se nedaří, na GW kde je NAT 1:1 jsem hodil harpin pravidla:



hmm kde je ale chyba?

Okoun: Aniž bych řešil konkrétní podobu NATu, jak jsi na tom s ICMP redirects na RB? Tím, že máš oba servery na jednom iface, posílá RB v defaultním stavu ICMP redirect, aby se stroje nebavily přes něj ale po L2, přestože jsou v jiných subnetech.

no ICMP redirects komunikace po privátkách funguje i ICMP. Jediné co nefunguje je to z venku...

A co zkusit:
buď 1) zakázat redirecty na RB
nebo 2)


Řekl bych, že při komunikaci na serverovou veřejku je nutné NATovat i zdroj za jeho veřejku, protože jinak komunikace půjde asymetricky - tam přes router + stavový FW, ale zpátky jen po L2 - a to conntrack serveru nepobere jako jedno spojení.

Nejsem si teď jistý přesným packet flow přes kernel a kdy se posílá ICMP redirect, tak se omlouvám za případnou mystifikaci : -)