❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik 6.18 - nastavení NAT Loopback?
Mikrotik 6.18 - nastavení NAT Loopback?
Zdravím Vás, hledám na internetu jak na mikrotiku pomocí winbox nastavit NAT Loopback, našel jsem, že funkce se jmenuje HARPIN NAT, ale abych se dozvěděl jak tomu docílit tak to nevidím, omlouvám se, v tomto nastavování jsem LAMA, spíše mám zkušenosti s CISCO a ZyXEL firewally. Mám veřejnou IP a označen port jako WAN, dále mám vnitřní rozsah 192.168.1.0/24 a potřebuji z vnitřní sítě Loopback na port 80 a server kde je Nginx, nefunguje mi totiž z vnitřní sítě připojení na WAN IP adresu a port 80. Děkuju
0 x
Zdravím, o HARPIN NAT a uvedenou stránku jsem studoval. Maškaráda je nastavena a když jsem nastavil
stejně to nefungovalo. Jinak jsem psal také, že bych to rád nastavil přes Winbox a nikoli console. Jsem v Mikrotiku začátečník, potřebuju si to osahat, nastavit a pak další věci snad už pomalu dodělám a napadne mne to, ale nejspíše dělám něco špatně.
Kód: Vybrat vše
/ip firewall nat
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerade
stejně to nefungovalo. Jinak jsem psal také, že bych to rád nastavil přes Winbox a nikoli console. Jsem v Mikrotiku začátečník, potřebuju si to osahat, nastavit a pak další věci snad už pomalu dodělám a napadne mne to, ale nejspíše dělám něco špatně.
0 x
Teda správně jsem to nastavoval takto:
ale bohužel nefunguje
Kód: Vybrat vše
/ip firewall nat
add chain=srcnat action=masquerade protocol=tcp src-address="192.168.1.0/24"
dst-address="IP-SERVERU" out-interface="LAN" dst-port="80"
ale bohužel nefunguje
0 x
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
já to doma řešil takto
chain=srcnat action=src-nat to-addresses=192.168.1.1(ip LAN) src-address=192.168.1.0/24 dst-address=192.168.1.0/24
chain=dstnat action=dst-nat to-addresses=192.168.1.250(ip serveru v LAN) protocol=tcp src-address=192.168.1.0/24 dst-address=93.91.x.x (ip WAN)
chain=srcnat action=src-nat to-addresses=192.168.1.1(ip LAN) src-address=192.168.1.0/24 dst-address=192.168.1.0/24
chain=dstnat action=dst-nat to-addresses=192.168.1.250(ip serveru v LAN) protocol=tcp src-address=192.168.1.0/24 dst-address=93.91.x.x (ip WAN)
0 x
Zkusím a dám vědět, zatím jsem to udělal statickým DNS na pár adres, ale nějak to musím udělat, když to jinak zatím nefunguje.
0 x
Je třeba si uvědomit, že fakticky se prvně provoede dstnat, takže pak v tom srcnat pravidle, co používám pro otočení lokálního provozu zpět, už musí být vnitřní adresa toho cílového serveru a ne ta veřejná v "IP-SERVERU":
/ip firewall nat
add chain=srcnat action=masquerade protocol=tcp src-address="192.168.1.0/24"
dst-address="IP-SERVERU" out-interface="LAN" dst-port="80"
/ip firewall nat
add chain=srcnat action=masquerade protocol=tcp src-address="192.168.1.0/24"
dst-address="IP-SERVERU" out-interface="LAN" dst-port="80"
0 x
No je to jakési divné proč to nejde. Mám veřejnou IP adresu 1.1.1.1, za Mikrotikem mám Linuxový server s IP 192.168.1.3, kde mi běží nginx, databáze atp. Pokud z vnitřní sítě dám např. telnet 1.1.1.1 80 jen se připojuje a nic, pokud ale zadám 192.168.1.3 tak telnet funguje. Pokud z venku zadám 1.1.1.1, tak NAT správně projde a zobrazí se mi webová stránka. Bohužel podle informací, které tady mám a testuju to prostě nefunguje. Neprochází ani PACKETy ve firewallu. Takže mám nejspíš něco špatně a nevím co
0 x
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
Podle toho co píšeš, ti bude asi hodně dlouho trvat než to nastavíš. Definuj jaké porty chceš tak, aby byly dostupné z venku a pak někoho pust na svůj router, aby to udělal.
0 x
Já ty porty NATované mám a vše z venku funguje, jen to nefunguje z vnitřní sítě, jak píšu, testuju to na Linuxovém serveru přes telnet 1.1.1.1 80 a tak to nejde, kdyby byl správný NAT LOOPBACK, tak to bude snad komunikovat, ne?
0 x
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
V terminalu mikrotiku napiš
/ip firewall export
a dej to celé sem
/ip firewall export
a dej to celé sem
0 x
Kód: Vybrat vše
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input dst-port=61001 in-interface=WAN protocol=tcp
add chain=input dst-port=161 in-interface=WAN protocol=udp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=WAN
add action=drop chain=input comment="default configuration" in-interface=\ sfp1-gateway
add chain=forward comment="default configuration" connection-state=\ established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \ connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\ yes out-interface=sfp1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=80 out-interface=LAN protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=25 out-interface=LAN protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=1.1.1.1 \ protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.3
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.3 \ dst-port=80 out-interface=LAN protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-address=1.1.1.1 protocol=tcp \ to-addresses=192.168.1.3
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=10000 \ protocol=tcp to-addresses=192.168.1.3 to-ports=10000
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=3306 \ protocol=tcp to-addresses=192.168.1.3 to-ports=3306
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=21 \ protocol=tcp to-addresses=192.168.1.3 to-ports=21
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=25 \ protocol=tcp to-addresses=192.168.1.3 to-ports=25
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=110 \ protocol=tcp to-addresses=192.168.1.3 to-ports=110
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=143 \ protocol=tcp to-addresses=192.168.1.3 to-ports=143
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=443 \ protocol=tcp to-addresses=192.168.1.3 to-ports=443
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=22 \ protocol=tcp to-addresses=192.168.1.3 to-ports=61001
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=22 \ protocol=tcp to-addresses=192.168.1.3 to-ports=22
add action=masquerade chain=srcnat comment="default configuration" \ out-interface=WAN
0 x
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
No tak to děkuju za pochvalu 
Já tam nechal to co tam bylo standardně, potom jsem si přidal jen svá pravidla pro SNMP a port pro vzdálenou správu + maškaráda. Jak jsem již zmiňoval, zkouším mikrotika a rád bych se v tom trošku taky vyznal a věděl co je potřeba nastavit, hlavně jednoduše a bezpečně.
Já tam nechal to co tam bylo standardně, potom jsem si přidal jen svá pravidla pro SNMP a port pro vzdálenou správu + maškaráda. Jak jsem již zmiňoval, zkouším mikrotika a rád bych se v tom trošku taky vyznal a věděl co je potřeba nastavit, hlavně jednoduše a bezpečně.
0 x
Ja som niečo také riešil takto (určite to nie je ideálne riešenie, ale funguje 
):
add action=masquerade chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.0.0/24
):add action=masquerade chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.0.0/24
0 x
Študent, programátor, sieťar ... #ccna_certified
Blažej Krajňák
Blažej Krajňák