čo sa stane keď zadáš z PC nie vonkajšiu IP ale vnútornú IP brány? teda napr http://10.0.0.1 presmeruje ťa na NAS?
čo máš v ip / services? máš vypnutý rsp prehodený na iný port www a www-ssl?
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nefungující přístup na domácí NAS
-
Radek.Kovacik
- Příspěvky: 162
- Registrován: 11 years ago
Taky nefunguje - timeout. Předtím to chodilo a dostal jsem se do přihlašovacího menu Mikrotiku. Teď se tam nedostanu ani ze stejného subnetu, a to je divný. Jinak ty brány mám na adrese 10.0.X.200.
V IP services mám povolené pouze www na 80 portu a winbox na 8291 (ještě jsem to omezil pouze na konkrétní subnet). Všechno ostatní zakázané včetně SSL - je to chyba?
V IP services mám povolené pouze www na 80 portu a winbox na 8291 (ještě jsem to omezil pouze na konkrétní subnet). Všechno ostatní zakázané včetně SSL - je to chyba?
0 x
sr že trošku neskoršie, bol som na fuške
môže tomu vadiť tá zapnutá 80 v services skús ju vypnúť alebo prehodiť port trebárs na 8080
môže tomu vadiť tá zapnutá 80 v services skús ju vypnúť alebo prehodiť port trebárs na 8080
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
Radek.Kovacik
- Příspěvky: 162
- Registrován: 11 years ago
Když to přehodím na 8080, tak na Mikrotik se už dostanu, ale NAT (resp. přístup na NAS) stále nefunguje. Vypnutí v services tomu také nepomůže.
Už jsem porovnával i předchozí konfiguraci před nástupem RouterOS verze 6.41 s tou aktuální, ale na nic jsem nepřišel, co by mohlo být problémem.
Už jsem porovnával i předchozí konfiguraci před nástupem RouterOS verze 6.41 s tou aktuální, ale na nic jsem nepřišel, co by mohlo být problémem.
Naposledy upravil(a) Radek.Kovacik dne 15 May 2018 19:45, celkem upraveno 1 x.
0 x
už aj mne došli nápady... z internetu prístup funguje? z LAN priamo tiež? len harpin nie?
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
Radek.Kovacik
- Příspěvky: 162
- Registrován: 11 years ago
Jojo, přesně tak. Pouze přístup z vnitřní sítě přes veřejnou adresu je problémový, ostatní jde. Pokud by to pomohlo, mohl bych Ti zaslat celý konfigurák v souboru v soukromé zprávě, jestli bys tam něco neobjevil.
Mimochodem, ten přístup na Mikrotik musí zůstat na té změněné IP, na klasické 80 to už nikdy nebude fungovat?
Mimochodem, ten přístup na Mikrotik musí zůstat na té změněné IP, na klasické 80 to už nikdy nebude fungovat?
0 x
jj jasne kĽudne pošli.
Na 80 by mohol byť konflikt práve s tým presmerovaním 80 portu na NAS, takže by som to tam radšej nenechával.
Na 80 by mohol byť konflikt práve s tým presmerovaním 80 portu na NAS, takže by som to tam radšej nenechával.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.
0 x
rsaf píše:Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.
To je možné ale SMB by sa nemal hrabať do portov 80 a 443
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
Radek.Kovacik
- Příspěvky: 162
- Registrován: 11 years ago
rsaf píše:Třeba to s tím nesouvisí, ale nějaký poslední update Win 10 "rozbíjí" podporu protokolu SMB (resp. snad vypíná SMB 1.0) - pokud je to nějaký starší NAS, může to být problém.
Já používám staré dobré Windows 7 64 bit a taky si myslím, že by SMB nemělo souviset s webovými službami na portu 80, ale je pravda, že u Microsoftu člověk nikdy neví...
1 x
Kód: Vybrat vše
add action=masquerade chain=srcnat comment="Pravidlo Hairpin NAT" dst-address=10.0.3.100 dst-port=80,443 protocol=tcp src-address=10.0.0.0/22Tohle znamená: změň zdrojovou IP adresu za tu co mám na odchozím interface v případě, že paket pochází ze segmentu 10.0.0.0/22 a směruje na 10.0.3.100
Čili mě vrtá hlavou, jak může zabrat na tu veřejnou IP adresu ... resp. jak to mohlo fungovat dřív. Podle mě nemohlo.
Stejně mě nejde na rozum, proč by mělo být potřeba měnit www v ip/services. Ty služby sedí na INPUTu, kdežto ten NAT se týká "forwardu" (resp. forwardem to projde, protože se změní cíl v preroutingu díky dstnat).
Čítače u těch pravidel nabývají? Jestli on nebude problém v tom dst-address-type=local ...
Kromě toho: ty máš NAS a nepoužíváš to jako souborový server, třeba jako sambu?
Dodatek: používáš-li bridge (nebo ve starších verzích switch konfiguraci master-port), pracuješ jen s tím bridgem či masterportem, nikoliv s interfacy tam zahrnutými. (výjimky v interface/bridge pomíjím. Myslím tím IP, firewall, dhcp server/klient, atp). Ono to někdy i funguje, když to uděláš špatně, ale pak se hledají mouchy, proč něco jo, něco ne, někdy jo, někdy ne. Prostě pro operační systém je interface ten bridge.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
Radek.Kovacik
- Příspěvky: 162
- Registrován: 11 years ago
Význam toho pravidla Hairpin NAT popisuješ správně, také to tak chápu, ale nevím, proč nemůže fungovat. Já jsem to pravidlo vytvořil dle wiki od Mikrotiku a před provedením té aktualizace RouterOS to bylo OK. Čítač u pravidla Hairpin NAT nenabývá, což je asi špatně. Předtím, když to fungovalo, tak počítal správně.
Co se týká služeb routeru, tam jsem měl u HTTP klasicky nastavenou 80 a nebyl problém, šlo to i s tím. Změna portu na jiný stejně nepomohla.
SMB na NASu mám spuštěné - souvisí to nějak s tím?
Co se týká tvého dodatku, to jsou věci, které bych právě potřeboval ujasnit, hlavně ve významu toho nového ROS, protože se tam toho dost změnilo. Já tam mám 3 VLANy a 3 související bridge, 4 subnety se 3 DHCP servery, 2 wifiny a mám nakonfigurovaný ten switch tak, aby to, co může, šlo hlavně přes něj a nezatěžovalo zbytečně procesor. Původně tam byl master port (na ethernet 2), teď mi to vytvořilo čtvrtý bridge, který by měl fungovat stejně, jako ten master. A já mám právě tušení, že v tomto bude ten problém (tedy že mám někde něco nastavené blbě a i když to předtím šlo, tak teď to podle "nových pravidel" nejde.
Konkrétně např. nevím jistě, na jaký interface bych po novu měl mít navázané VLANy, DHCP servery a IP rozsahy v tabulce adresses.
Abych nemluvil jen do větru, tady je aktuální nastavení včetně toho mostu, který vznikl automaticky po tom update ROS:
Co se týká služeb routeru, tam jsem měl u HTTP klasicky nastavenou 80 a nebyl problém, šlo to i s tím. Změna portu na jiný stejně nepomohla.
SMB na NASu mám spuštěné - souvisí to nějak s tím?
Co se týká tvého dodatku, to jsou věci, které bych právě potřeboval ujasnit, hlavně ve významu toho nového ROS, protože se tam toho dost změnilo. Já tam mám 3 VLANy a 3 související bridge, 4 subnety se 3 DHCP servery, 2 wifiny a mám nakonfigurovaný ten switch tak, aby to, co může, šlo hlavně přes něj a nezatěžovalo zbytečně procesor. Původně tam byl master port (na ethernet 2), teď mi to vytvořilo čtvrtý bridge, který by měl fungovat stejně, jako ten master. A já mám právě tušení, že v tomto bude ten problém (tedy že mám někde něco nastavené blbě a i když to předtím šlo, tak teď to podle "nových pravidel" nejde.
Konkrétně např. nevím jistě, na jaký interface bych po novu měl mít navázané VLANy, DHCP servery a IP rozsahy v tabulce adresses.
Abych nemluvil jen do větru, tady je aktuální nastavení včetně toho mostu, který vznikl automaticky po tom update ROS:
Kód: Vybrat vše
/interface vlan
add interface=Bridge_switch name=VLAN_10 vlan-id=10
add interface=Bridge_switch name=VLAN_20 vlan-id=20
add interface=Bridge_switch name=VLAN_30 vlan-id=30
/interface bridge
add fast-forward=no name=Bridge-VLAN_10 protocol-mode=none
add fast-forward=no name=Bridge-VLAN_20 protocol-mode=none
add fast-forward=no name=Bridge-VLAN_30 protocol-mode=none
add admin-mac=D4:CA:6D:52:64:03 auto-mac=no comment="created from master port" name=Bridge_switch protocol-mode=none
/interface bridge port
add bridge=Bridge-VLAN_30 interface=Domaci_wifi_AP
add bridge=Bridge-VLAN_20 interface=VLAN_20
add bridge=Bridge-VLAN_30 interface=VLAN_30
add bridge=Bridge-VLAN_10 interface=Firemni_wifi_AP
add bridge=Bridge-VLAN_10 interface=VLAN_10
add bridge=Bridge_switch interface=Port3-DiskStation_Synology
add bridge=Bridge_switch interface=Port4-zaloha
add bridge=Bridge_switch interface=Port5-zaloha
add bridge=Bridge_switch interface=Port2-trunk_na_switch_MikroTik
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/interface ethernet
set [ find default-name=ether1 ] name="Port1-VDSL_ modem_ZyXEL" speed=1Gbps
set [ find default-name=ether2 ] name=Port2-trunk_na_switch_MikroTik speed= 1Gbps
set [ find default-name=ether3 ] name=Port3-DiskStation_Synology speed=1Gbps
set [ find default-name=ether4 ] name=Port4-zaloha speed=1Gbps
set [ find default-name=ether5 ] name=Port5-zaloha speed=1Gbps
/interface ethernet switch
set 0 name=Switch
/interface ethernet switch port
set 1 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 3 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 4 vlan-header=add-if-missing vlan-mode=secure
set 5 vlan-mode=secure
/interface ethernet switch vlan
add independent-learning=no ports=Switch-cpu,Port2-trunk_na_switch_MikroTik switch=Switch vlan-id=10
add independent-learning=no ports= Switch-cpu,Port2-trunk_na_switch_MikroTik,Port4-zaloha switch=Switch vlan-id=20
add independent-learning=no ports="Switch-cpu,Port2-trunk_na_switch_MikroTik,P ort3-DiskStation_Synology,Port5-zaloha" switch=Switch vlan-id=30
/ip address
add address=10.0.2.200/24 interface=Bridge-VLAN_20 network=10.0.2.0
add address=10.0.3.200/24 interface=Bridge-VLAN_30 network=10.0.3.0
add address=10.0.1.200/24 interface=Bridge-VLAN_10 network=10.0.1.0
add address=10.0.0.200/24 interface="Port1-VDSL_ modem_ZyXEL" network= 10.0.0.0
/ip pool
add name="DHCP pro VLAN 10" ranges=10.0.1.1-10.0.1.10
add name="DHCP pro VLAN 20" ranges=10.0.2.1-10.0.2.10
add name="DHCP pro VLAN 30" ranges=10.0.3.1-10.0.3.10
/ip dhcp-server
add add-arp=yes address-pool="DHCP pro VLAN 10" authoritative= after-2sec-delay disabled=no interface=Bridge-VLAN_10 lease-time=6h name= "DHCP pro VLAN 10"
add add-arp=yes address-pool="DHCP pro VLAN 30" authoritative= after-2sec-delay disabled=no interface=Bridge-VLAN_30 lease-time=6h name= "DHCP pro VLAN 30"
add add-arp=yes address-pool="DHCP pro VLAN 20" authoritative= after-2sec-delay disabled=no interface=Bridge-VLAN_20 lease-time=6h name= "DHCP pro VLAN 20"
0 x