port forwarding

[jany]

Topologia: Internet<------>VDSL modem bridge <------>RB450_PPPoE_GW<------>LAN
V LAN je jeden fyzicky server s apache (vhosts).
Niekolko virtual hostov pouziva sifrovany pristup na web (https)
Pre https mam v MK ip firewall nat a toto funguje dobre

Kód: Vybrat vše

   ;;; virtualhost_z_vonku_ssl_443
      chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=443 protocol=tcp in-interface=pppoe-out1
      dst-port=443 log=no log-prefix=""

Pre http mam v MK ip firewall nat a toto nefunguje vobec

Kód: Vybrat vše

   ;;; virtualhost_z_vonku
      chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=80 protocol=tcp in-interface=pppoe-out1
      dst-port=80 log=no log-prefix=""

Vypol som v MK firewall (vyposol som firewall aj na servery) ale z vonka sa na http nedostanem
Virtualhosty pre http su nakonfigurovane

Kód: Vybrat vše

<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        ServerName domena.ddns.info
        ServerAlias www.domena.ddns.info
        DocumentRoot /var/www/www.domena.ddns.info
        <Directory />
                Options FollowSymLinks
                AllowOverride All
        </Directory>
        <Directory /var/www/www.domena.ddns.info/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined

   </VirtualHost>


Pravdepodbne sa paket z vonka nedostane ani na MK, pretoze na MK v NAT mam 0 pakets, 0 Bytes.
Nemam ponatia co to moze blokovat.
Pamatam sa, ze niekedy davno (1-2 roky dozadu) mi to fungovalo normalne.
Samozrejme na servery som robil urcite nejake zmeny, ale to asi s tym nesuvisi, kedze pakaet nedojde ani do MK (resp. nieco ho blokuje.

[mirek.k]

Pravděpodobně packet 80 zpracuje Mikrotik.
Je třeba admin rozhraní Mikrotiku přepnout na jiný port, nebo forwardovat jiný port dovnitř na 80.

[jany]

Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

[mirek.k]

Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

A jak tedy nastavuješ ten port forwarding?

[ludvik]

DNAT je v prerouting. Cílovou adresu a port to přepíše dřív, než se k tomu INPUT vůbec dostane.

Pravděpodobně packet 80 zpracuje Mikrotik.
Je třeba admin rozhraní Mikrotiku přepnout na jiný port, nebo forwardovat jiný port dovnitř na 80.

[jany]

Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

A jak tedy nastavuješ ten port forwarding?

winbox

[mirek.k]

Pak si na Mikrotiku pust Tools Torch a uvidíš, co se kam dostane.

[jany]

Ak si v ip firewall connections vyfiltrujem spojenia podla ip adresy a ak sa pripajam cez https, tak spojenie je pekne vidiet.
To iste cez torch (https spojenie vidim).
Ak sa vsak pripojim na http tak nevidim nic, proste ako keby to na router ani nedorazilo

[ludvik]

Ti tam holt sedí management toho modemu. Co naděláš ...

[jany]

Ja mam casto problem s tym, ze nieco funguje a potom to zrazu fungovat prestane a clovek nevie preco...
Asi budem musiet urobit cistu instalaciu a vsetko rucne znova nahodit (backup by to mohol znova pokazit).

[mirek.k]

Ti tam holt sedí management toho modemu. Co naděláš ...

To by mělo mít jednoduché řešení - uživatel by volal port např. 88 a Mikrotik by to při dstnat poslal na 80.
Další nápad je změnit www port modemu.

[mirek.k]

Ja mam casto problem s tym, ze nieco funguje a potom to zrazu fungovat prestane a clovek nevie preco...
Asi budem musiet urobit cistu instalaciu a vsetko rucne znova nahodit (backup by to mohol znova pokazit).

Takhle se ale Mikrotik nechová. Problém bývá z 99 % mezi židlí a klávesnicí.

[jany]

To mas pravdu (nie som odbornik na RB ani MK) ale toto co si poradil nezabera. A vacsina problemov co som mal a pytal som sa, tak sa nevyriesila.
Mal by som este otazocku: teraz mam na RB450 ROS 6.30. Na https://mikrotik.com/product/RB450#fndtn-downloads je posledna 6.41.1 (Current), alebo je lepsie pouzit 6.39.3 (Bugfix only)?

[mirek.k]

To záleží na to, jak kritické je to zařízení.
Pokud hodně: BugFix. Pokud středně: Current.

[jany]

Ti tam holt sedí management toho modemu. Co naděláš ...

Je to teoreticky aj mozene a kedze paket nedojde vobec na MK, tak ho asi zahodi niekde modem.
Na 1000% viem, ze pred nejakym casom mi na porte 80 fungovali virt. hosty z wan.
Avsak v lete po burke som menil modem a uz sa presne nepamatam ako som to konfiguroval, ale cca od vtedy to asi nefunguje.
Modem som kupil presne taky isty aky som mal aj pred tym (zyxel VMG 1312) a konfiguracia spocivala v tom, ze som to hodil do bridge modu.
Teraz cumim do konfiguraci VDSL modemu a mam to nastavene nasledovne:
V Layer 2 rozhrani su na konfiguraciu 3 moznosti a to:

Kód: Vybrat vše

ATM rozhranie
PTM rozhranie
ETH rozhranie

Prejdem do menu WAN sluzby a tam su 2 predkonfigurovane moznosti pre ppp0.1 a ptm0.1
Ja som vybral sluzbu ptm0.1 a dal som to upravit.
V tomto nastaveni staci prepnut typ sluzby WAN na bridging a 802.1P= 4 a 802.1Q VLAN ID=2510.


To je vsetko co sa tyka nastavenia pre bridge mode.
Ak to potvrdim, tak v MK pppoe hned konektne.
Internet funguje (vsetko funguje) okrem portforwarding portu 80 hmm...
V modeme som este vypol firewall, ale nepomohlo to.