classic.ISPforum.cz

Dobrý den,
prosím o radu.
na WAN mikrotiku mám veřejnou IP, pokud ji z venku zadám do prohlížeče jsem na stránkách mikrotiku. - OK
za mikrotikem beží web server a z vnitřní sítě normálně funguje (ip serveru do prohlížeče)
Ale pokud do NATu dám pravidlo dstnat - Dst. Adress (veřejka) protokol tcp, Dst. port 80, action dst-nat , to adress (ip webserveru), to port 80.
na webserver se zveničí nedostanu. pokud zkusím z vnitrní sítě zadat veřejku tak na webu jsem.

Netuším kde by mohla být chyba.....

2 veci
v compu s webserverem nemas nastavenou branu
nebo
na mikrotiku nemas na WAN strane verejku ale jinou kterou ti ISpik preklada, proto tam nastav to co mas na interface WAN

Máš v tom dst-natu nastavený input Interface?
Nevyplnuj tam žádnou veřejnou IP ani jinou "vstupní"

Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.

tak
1) web mikrotiku je na portu 8080
2) verejka na wan určitě je (78.156.xx.xx)
při testu zvenčí 78.156.xx.xx:8080 jsem na mikrotiku
stejné pravidlo jako pro webserver mám pro ftp a tam je to ok.
3) webserver je raspeberry a jako GW tam je vnitřní adresa mikrotiku - to by melo být ok ne?
4) proč nechat volnou Dst. Address ? inteface vyplněné nemám...

Máš tu veřejnou IP přímo na tom routeru nastavenou? Nebo tam máš nějakou neveřejnou IP? Pravidlo si nastav takhle a musí to chodit IP adresu serveru si nastav podle sebe, vstupní interface taky. Pak jen zkontroluj FW jestli ti to něco neblokuje.

dobra zrejmě bude chyba někde v nastavení toho serveru... pokud přistupuju zvenčí na veřejku vrátí mi to time out error s ip toho web serveru (vnitní) což je taky trochu divné...

nemitom píše:dobra zrejmě bude chyba někde v nastavení toho serveru... pokud přistupuju zvenčí na veřejku vrátí mi to time out error s ip toho web serveru (vnitní) což je taky trochu divné...

a mas na to serveru nastavenou GW.... ?

Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.

mirek.k píše:Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.

ludvik píše:Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.

mirek.k píše:Taky by asi bylo dobré změnit port web rozhraní Mikrotiku. Koliduje s web serverem.

To jsem si v tu chvíli neuvědomil, nicméně pak by se tazatel mohl divit, že se nedostane na Mikrotik.
Nemám rád jakékoliv duplicity .

KoZLiCeK píše:a mas na to serveru nastavenou GW.... ?

Ano mám a je to vnitni adresa mikrotiku. 192.168.1.1

ludvik píše:Jak je teoreticky vysvětleno, že web server routeru koliduje s jiným web serverem? dst-nat totiž přijde na řadu dříve, než input. Čili takový paket na web server mikrotiku vůbec nedorazí.

Nechápu?!? Od začátku webserver routerboardu je na portu 8080 a funguje normalně.....

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Koukni na prerouting. Přijde paket, a ještě dřív, než se rozhodne jestli je to forward nebo input to projde NAT tabulkou (a tedy action=dst-nat) - tam se změní cílová IP. A místo aby to šlo inputem do zpracování web serverem na routeru, jde to forwardem někam jinam.