Stránka 1 z 2

Nefungující přístup na domácí NAS

Napsal: 14 May 2018 15:21
od Radek.Kovacik
Zdravím,
mám problém s přístupem z domácí sítě na server NAS a to konkrétně přes veřejnou (NATovanou) adresu. Jak jsem se v tomto fóru před pár lety dočetl, v Mikrotiku jsem si nastavil pravidlo Hairpin NAT a toto mi fungovalo až donedávna. Nyní to však již nefunguje a protože jsem změnu konfigurace v poslední době neprováděl, mám podezření, že se zřejmě něco muselo změnit některou z posledních aktualizací RouterOS. Nemáte tušení, co konkrétně by mohlo být špatně (nebo změněné) oproti předchozímu nastavení? Na co bych se měl zaměřit, případně jak to otestovat, abych měl jistotu, že dotyčné pakety chodí tam, kam mají?

Druhý dotaz se týká také automatické změny v souvislosti s aktualizací RouterOS. V sekci bridge mi samovolně vznikl nový most, který má na sobě připnuté všechny ethernetové porty (kromě WAN), které vedou do vnitřní sítě. U tohoto bridge je vložený komentář "created from masterport". Proč se to stalo a jaký to má význam?

Re: Nefungující přístup na domácí NAS

Napsal: 14 May 2018 15:25
od Noxus28
Mikrotik mal v starších verziách možnosť zvoliť HW switch - cez možnosť masterportu alebo SW switch - cez bridge. Po novom odpadá použitie masterportu a pri vytvorení bridge si mikrotik sám detekuje či je možné switch spraviť na HW chipe alebo musí ísť SW cez CPU.

Je možné že s tým súvisí aj nefunkčnosť harpinNAT ak v tých pravidlách máš zadané niečo čo súviselo so starou konfiguráciou (starý mastertport - po novom bridge atd..)

Re: Nefungující přístup na domácí NAS

Napsal: 14 May 2018 18:05
od Radek.Kovacik
Máš pravdu ohledně toho switche. Ta změna bylo provedena od verze 6.41. (viz wiki od Mikrotiku). Jenom jsem přesně nepochopil, zda ta vlastnost hw-offload má být zapnutá nebo vypnutá, aby to fungovalo jako předtím - měl jsem to nakonfigurované tak, že jsem to hardwarově přepínal pomocí vestavěného čipu a most jsem neměl vytvořený, protože nebyl potřeba. Tím jsem dosáhl mnohem vyšší přenosové rychlosti. Proč tam vlastně ten most je, když je tam switch? Jak to teď funguje?

Re: Nefungující přístup na domácí NAS

Napsal: 14 May 2018 18:16
od Noxus28
funguje to ako pred tým, ak máš v bridge porty ktoré sú umiestnené na switch chipe tak sa môžeš pri komunikácii medzi týmito portami vyhnúť CPU a využívať "teoreticky" plnú priepustnosť portov (ak sa tam nepletie bridge firewall a pod.)
Podľa informácií zo školení zvolili tento postup kôly ujednoteniu konfigurácií do budúcnosti (nemusíš premýšľať či master port či bridge)

HW-offload by mal byť zapnutý. Vypnúť iba v prípade ak je potrebné preháňať to cez CPU
https://wiki.mikrotik.com/wiki/Manual:S ... Offloading

Re: Nefungující přístup na domácí NAS

Napsal: 14 May 2018 19:05
od Radek.Kovacik
OK, díky za vysvětlení. Můžeš mi ještě poradit, jak otestovat to, zda pakety odeslané z mého počítače doputují na domácí server a odpovědní pakety zase zpět do počítače? S tím hairpin NATem nemůžu hnout.

Re: Nefungující přístup na domácí NAS

Napsal: 14 May 2018 19:45
od Noxus28
tak na mikrotiku máš možnosťi pozriet na interface pomocou Torch vidíš či to odchádza smer NAS preložené, vo firewall conections vidíš spojenia, na NAS by mohol byť nejaký log pod akou IP sa tam packet dostal.
prípadne sem nahraj nastavenia firewall nat a pozrieme sa na to či niečo nie je zle

edit: a ešte som zabudol že každé pravidlo má v sebe aj counter packetov ktoré ním prechádzajú takže aj podľa toho by sa malo dať zistiť či ti tam niečo zapadlo do pravidla

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 07:30
od Radek.Kovacik
Níže je konfigurace mého Mikrotiku ohledně přístupu k NAS. Osobně se mi tam nic špatného nezdá, ale zkuste se na to podívat:

Kód: Vybrat vše

/ip firewall nat
add action=masquerade chain=srcnat comment="Pravidlo pro preklad cele site" out-interface="PPPoE" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="Pravidlo Hairpin NAT" dst-address=10.0.3.100 dst-port=80,443 protocol=tcp src-address=10.0.0.0/22
add action=dst-nat chain=dstnat comment="Pravidlo pro pristup k NAS serveru" dst-address-type=local dst-port=80,443 protocol=tcp to-addresses=10.0.3.100

/ip firewall filter
add action=accept chain=forward comment="Pravidlo pro spojeni navazana z vnitrni site" connection-state=established,related in-interface="PPPoE"
add action=accept chain=forward comment="Pravidlo pro pristupu k NAS z Internetu" connection-state=established,related,new dst-address=10.0.3.100 dst-port=80,443 in-interface="PPPoE" protocol=tcp
add action=drop chain=forward in-interface="PPPoE"

Jinak, co se týká tabulky Connections, tam se zobrazují už uskutečněná spojení nebo i začínající? Mě se s NASem nedaří spojit a prohlížeč hlásí timeout, tak nevím, jestli by to v této tabulce bylo vidět.

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 08:35
od Noxus28
nič vyložene nesprávne tam nevidím, natové pravidlá som pre istotu nahodil aj u mňa a fungujú tak ako majú.
drobnosť 1. pravidlo Masquerade sa nezadáva s to-addresses=0.0.0.0
v conections by sa mali zobraziť aj pokusy o spojenie len nebude potvrdené a tým pádom asi veľmi krátko. Skús si spustiť Torch na interface na ktorom je pripojený NAS

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 10:18
od Radek.Kovacik
Torch jsem spustil na portu s NAS, ale neukazuje žádné pakety a to dokonce ani když na server přistoupím přímo přes vnitřní síť. Nevím, co tam dělám špatně. Počitadlo u HairpinNAT je nulové. Ještě zkusím provést update RouterOS na tu novější R.C. verzi, protože mám čím dál silnější pocit, že celý problém je v samotném systému a v changelogu píšou, že je tam opravený nějaký bug ohledně bridge a hw-offloadu. Pak dám zprávu.

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 10:23
od Noxus28
Ja to mám doma na 6.42 stable. Ešte úplne blbá otázka IP mikrotiku je nastavené na bridge? alebo zostala visieť na nejakom interface?

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 10:42
od Radek.Kovacik
Já mám stable verzi 6.42.1. Jakou IP máš na mysli? Nepochopil jsem úplně otázku.

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 10:45
od Noxus28
IP ktorá je "lokálna" teda IP ktorú PC a NAS používa ako bránu - niečo z rozsahu 10.0.0.0/22

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 10:51
od Radek.Kovacik
Myslíš tím adresy, které mám připnuté na jednotlivý podsítě (ty v tabulce address list)? V té tabulce to mám připnutý na VLANy. Nebo dát tam raději odpovídající bridge?
Co se týká toho příkazu to-addresses, který se Ti nelíbil v tom pravidlu NAT, za to já nemůžu. To tam nastavil Mikrotik sám a i když jsem se to pokusil smazat pomocí příkazu set, nepodařilo se. Ještě můžu zkusit vymazat celé pravidlo a znovu vložit, co to udělá.

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 11:31
od Noxus28
ak sú tam VLANy tak ich tam nechaj, ja som sa len pýtal za to že si spomínal bridge v prvom príspevku.
Pravidlo môžeš skúsiť nechať tak, nemalo by to robiť škodu.
PC je v rovnakej VLAN ako NAS? rsp rovnaký IP rozsah?

Re: Nefungující přístup na domácí NAS

Napsal: 15 May 2018 12:31
od Radek.Kovacik
PC a NAS mám ve stejné VLANě a na stejné podsíti. Rozdělené to mám tak, že každá podsíť je v jiné VLANě.
Provedl jsem ten update na R.C. verzi, ale bez pozitivního výsledku.