Nefungující přístup na domácí NAS

[Radek.Kovacik]

Zdravím,
mám problém s přístupem z domácí sítě na server NAS a to konkrétně přes veřejnou (NATovanou) adresu. Jak jsem se v tomto fóru před pár lety dočetl, v Mikrotiku jsem si nastavil pravidlo Hairpin NAT a toto mi fungovalo až donedávna. Nyní to však již nefunguje a protože jsem změnu konfigurace v poslední době neprováděl, mám podezření, že se zřejmě něco muselo změnit některou z posledních aktualizací RouterOS. Nemáte tušení, co konkrétně by mohlo být špatně (nebo změněné) oproti předchozímu nastavení? Na co bych se měl zaměřit, případně jak to otestovat, abych měl jistotu, že dotyčné pakety chodí tam, kam mají?

Druhý dotaz se týká také automatické změny v souvislosti s aktualizací RouterOS. V sekci bridge mi samovolně vznikl nový most, který má na sobě připnuté všechny ethernetové porty (kromě WAN), které vedou do vnitřní sítě. U tohoto bridge je vložený komentář "created from masterport". Proč se to stalo a jaký to má význam?

[Noxus28]

Mikrotik mal v starších verziách možnosť zvoliť HW switch - cez možnosť masterportu alebo SW switch - cez bridge. Po novom odpadá použitie masterportu a pri vytvorení bridge si mikrotik sám detekuje či je možné switch spraviť na HW chipe alebo musí ísť SW cez CPU.

Je možné že s tým súvisí aj nefunkčnosť harpinNAT ak v tých pravidlách máš zadané niečo čo súviselo so starou konfiguráciou (starý mastertport - po novom bridge atd..)

[Radek.Kovacik]

Máš pravdu ohledně toho switche. Ta změna bylo provedena od verze 6.41. (viz wiki od Mikrotiku). Jenom jsem přesně nepochopil, zda ta vlastnost hw-offload má být zapnutá nebo vypnutá, aby to fungovalo jako předtím - měl jsem to nakonfigurované tak, že jsem to hardwarově přepínal pomocí vestavěného čipu a most jsem neměl vytvořený, protože nebyl potřeba. Tím jsem dosáhl mnohem vyšší přenosové rychlosti. Proč tam vlastně ten most je, když je tam switch? Jak to teď funguje?

[Noxus28]

funguje to ako pred tým, ak máš v bridge porty ktoré sú umiestnené na switch chipe tak sa môžeš pri komunikácii medzi týmito portami vyhnúť CPU a využívať "teoreticky" plnú priepustnosť portov (ak sa tam nepletie bridge firewall a pod.)
Podľa informácií zo školení zvolili tento postup kôly ujednoteniu konfigurácií do budúcnosti (nemusíš premýšľať či master port či bridge)

HW-offload by mal byť zapnutý. Vypnúť iba v prípade ak je potrebné preháňať to cez CPU
https://wiki.mikrotik.com/wiki/Manual:S ... Offloading

[Radek.Kovacik]

OK, díky za vysvětlení. Můžeš mi ještě poradit, jak otestovat to, zda pakety odeslané z mého počítače doputují na domácí server a odpovědní pakety zase zpět do počítače? S tím hairpin NATem nemůžu hnout.

[Noxus28]

tak na mikrotiku máš možnosťi pozriet na interface pomocou Torch vidíš či to odchádza smer NAS preložené, vo firewall conections vidíš spojenia, na NAS by mohol byť nejaký log pod akou IP sa tam packet dostal.
prípadne sem nahraj nastavenia firewall nat a pozrieme sa na to či niečo nie je zle

edit: a ešte som zabudol že každé pravidlo má v sebe aj counter packetov ktoré ním prechádzajú takže aj podľa toho by sa malo dať zistiť či ti tam niečo zapadlo do pravidla

[Radek.Kovacik]

Níže je konfigurace mého Mikrotiku ohledně přístupu k NAS. Osobně se mi tam nic špatného nezdá, ale zkuste se na to podívat:

Kód: Vybrat vše

/ip firewall nat
add action=masquerade chain=srcnat comment="Pravidlo pro preklad cele site" out-interface="PPPoE" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="Pravidlo Hairpin NAT" dst-address=10.0.3.100 dst-port=80,443 protocol=tcp src-address=10.0.0.0/22
add action=dst-nat chain=dstnat comment="Pravidlo pro pristup k NAS serveru" dst-address-type=local dst-port=80,443 protocol=tcp to-addresses=10.0.3.100

/ip firewall filter
add action=accept chain=forward comment="Pravidlo pro spojeni navazana z vnitrni site" connection-state=established,related in-interface="PPPoE"
add action=accept chain=forward comment="Pravidlo pro pristupu k NAS z Internetu" connection-state=established,related,new dst-address=10.0.3.100 dst-port=80,443 in-interface="PPPoE" protocol=tcp
add action=drop chain=forward in-interface="PPPoE"


Jinak, co se týká tabulky Connections, tam se zobrazují už uskutečněná spojení nebo i začínající? Mě se s NASem nedaří spojit a prohlížeč hlásí timeout, tak nevím, jestli by to v této tabulce bylo vidět.

[Noxus28]

nič vyložene nesprávne tam nevidím, natové pravidlá som pre istotu nahodil aj u mňa a fungujú tak ako majú.
drobnosť 1. pravidlo Masquerade sa nezadáva s to-addresses=0.0.0.0
v conections by sa mali zobraziť aj pokusy o spojenie len nebude potvrdené a tým pádom asi veľmi krátko. Skús si spustiť Torch na interface na ktorom je pripojený NAS

[Radek.Kovacik]

Torch jsem spustil na portu s NAS, ale neukazuje žádné pakety a to dokonce ani když na server přistoupím přímo přes vnitřní síť. Nevím, co tam dělám špatně. Počitadlo u HairpinNAT je nulové. Ještě zkusím provést update RouterOS na tu novější R.C. verzi, protože mám čím dál silnější pocit, že celý problém je v samotném systému a v changelogu píšou, že je tam opravený nějaký bug ohledně bridge a hw-offloadu. Pak dám zprávu.

[Noxus28]

Ja to mám doma na 6.42 stable. Ešte úplne blbá otázka IP mikrotiku je nastavené na bridge? alebo zostala visieť na nejakom interface?

[Radek.Kovacik]

Já mám stable verzi 6.42.1. Jakou IP máš na mysli? Nepochopil jsem úplně otázku.

[Noxus28]

IP ktorá je "lokálna" teda IP ktorú PC a NAS používa ako bránu - niečo z rozsahu 10.0.0.0/22

[Radek.Kovacik]

Myslíš tím adresy, které mám připnuté na jednotlivý podsítě (ty v tabulce address list)? V té tabulce to mám připnutý na VLANy. Nebo dát tam raději odpovídající bridge?
Co se týká toho příkazu to-addresses, který se Ti nelíbil v tom pravidlu NAT, za to já nemůžu. To tam nastavil Mikrotik sám a i když jsem se to pokusil smazat pomocí příkazu set, nepodařilo se. Ještě můžu zkusit vymazat celé pravidlo a znovu vložit, co to udělá.

[Noxus28]

ak sú tam VLANy tak ich tam nechaj, ja som sa len pýtal za to že si spomínal bridge v prvom príspevku.
Pravidlo môžeš skúsiť nechať tak, nemalo by to robiť škodu.
PC je v rovnakej VLAN ako NAS? rsp rovnaký IP rozsah?

[Radek.Kovacik]

PC a NAS mám ve stejné VLANě a na stejné podsíti. Rozdělené to mám tak, že každá podsíť je v jiné VLANě.
Provedl jsem ten update na R.C. verzi, ale bez pozitivního výsledku.