Mikrotik,Hairpin Nat. Помогите правильно настроить..

2

3

Здравствуйте! Столкнулся с такой задачей.

Есть Mikrotik

Интерфесы:

Ether1 - Локалка Ether6 - Мир

Задача:

Необходимо настроить его так, чтобы некоторые сервера которые к нему подключены, были доступны по внешнему адресу изнутри сети. На серверах прописаны локальные IP, дальше, на микротике настроен NAT с их переадресацией на Белые IP. Все замечательно работает из вне, только внутри сети нельзя увидеть сервер по Белому IP.

Попробовал сделать по такому принципу (на примере 21го порта фтп сервера):

Переадресовываем запросы пришедшие на глобальный IP, на Локальный IP:

https://monosnap.com/file/SOxjkoze4d72EIFXq5Sb11rNZUEeaH.png

https://monosnap.com/file/nvJq4PWLGOVE05npUNMC2ayAtoQqtb.png

Дальше, делаем чтобы все что приходит на этот локальный IP, маршрутизировалось микротиком.

https://monosnap.com/file/GPpSoT2fJJgDyVK8IKPK1ChAchRvyF.png

https://monosnap.com/file/jC3V44YMqTveDtNtTlEMzv11Lcolvw.png

Но к сожалению, с локальной сети, так и не могу достучаться к глобальному IP адресу по 21-му порту, или по какому-либо другому порту, если изменить правило выше..

Вот лог микротика:

https://monosnap.com/file/a9Kw7wLYV0K3FFGSEaiXk2gDp3Owvx.png

Я так понимаю, пакет хочет уйти не в локалку, а наружу, но если делаю такое правило:

https://monosnap.com/file/Z6OUDjrG8lMutTuW6eWgmH8K7ypy8Y.png

То пакеты такое чувство что вообще никуда не уходят..

Помогите пожалуйста правильно настроить Микротик. Заранее спасибо!

Ссылка

←	Не хочет работать jumbo-frame на r8192

Установка принтера Canon LBP2900

→

У меня такие правила для hairpin, всё ок работает и в локалке.

 3    ;;; 80,443 to .226
      chain=dstnat action=dst-nat to-addresses=192.168.88.226 protocol=tcp dst-address=<external-ip>
      dst-address-type="" dst-port=80,443 log=no

 4    chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24
      dst-address=192.168.88.226 dst-port=80,443 log=no

Deleted
(05.05.17 14:29:25 MSK)
Последнее исправление: Deleted 05.05.17 14:31:02 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 05.05.17 14:29:25 MSK

Пробовал так, у меня почему-то не работает.. Не могу понять почему

klu41k
(05.05.17 15:08:45 MSK) автор топика

Ссылка

на примере SSH

109.155.209.167 — external ip
192.168.10.100 — server ip
ether1-wan — WAN port
redirect_to_ssh — connection-mark и комментарий для правил
ethernet_network — список подсетей

/ip firewall address-list
add address=192.168.10.0/24 list=ethernet_network

/ip firewall mangle
add action=mark-connection chain=prerouting comment=redirect_to_ssh dst-address=109.155.209.167 dst-port=22 new-connection-mark=redirect_to_ssh passthrough=yes protocol=tcp src-address-list=ethernet_network

add action=mark-connection chain=prerouting comment=redirect_to_ssh dst-port=22 in-interface=ether1-wan new-connection-mark=redirect_to_ssh passthrough=yes protocol=tcp

/ip firewall nat
add action=dst-nat chain=dstnat comment=redirect_to_ssh connection-mark=redirect_to_ssh to-addresses=192.168.10.100
add action=masquerade chain=srcnat comment=redirect_to_ssh connection-mark=redirect_to_ssh src-address-list=ethernet_network

далее создаёшь другие mangle по аналогии и всё.
nat не нужно больше настраивать, при таком подходе

system-root ★★★★★
(05.05.17 15:21:03 MSK)

Ответ на: комментарий от system-root 05.05.17 15:21:03 MSK

далее создаёшь другие mangle по аналогии и всё.

думаю не очень не правильно выразился.
new-connection-mark=redirect_to_ssh не меняется от правила к правилу, разные только порты\протоколы и фильтры подсетей если нужно, лучше назвать его как я например делаю new-connection-mark=redirect_to_server_name

system-root ★★★★★
(05.05.17 15:36:55 MSK)

Ссылка

Вот так работает в моем случае:

4   ;;; Hairpin
    action=dst-nat chain=dstnat dst-address=2.2.2.2 dst-port=80 protocol=tcp to-addresses=192.168.0.254 to-ports=80

5   action=masquerade chain=srcnat dst-address=192.168.0.254 dst-port=80 protocol=tcp src-address=192.168.0.0/24

digitaldark ★
(05.05.17 23:53:38 MSK)