Страница 1 из 1
Проблема с пробросом портов
Добавлено: 09 окт 2020, 18:26
runuren
Добрый день столкнулся с такой проблемой в настройке mikrotic, пробросил порты для доступа к нашим сайтам, сайты видны не из нашей сети, а из под нашей сети доступ к ним получить не получается.
Настройки проброса:
chain=dstnat action=dst-nat to-addresses=192.168.1.12 to-ports=5080
protocol=tcp in-interface=eth10
Настройки внешнего интерфейса
Address: 89.х.х.34/27
Network: 89.х.х.32
Interface: eth10
пример лога:
dstnat: in:ether10 out:(unknown 0), src-mac *, proto TCP (SYN), 89.*.*.63:65114->89.*.*.34:5080, len 52
Re: Проблема с пробросом портов
Добавлено: 11 окт 2020, 00:37
Sir_Prikol
Смотри в сторону hairpin nat
Re: Проблема с пробросом портов
Добавлено: 12 окт 2020, 15:51
Chupaka
Добрый.
Тут, традиционно, два варианта:
1) Если используется внутренний DNS (например, на самом роутере) - прописать там ваши сайты с внутренним адресом, чтобы клиенты ходили туда напрямую, не через роутер.
2) Поставить костыль в виде hairpin nat, когда роутер подменяет адрес клиента на свой (т.е. все подключения из внутренней сети будут видны как подключения от самого роутера). Это достигается правилом вида "/ip firew nat add chain=srcnat src-address=адреса_локалки protocol=tcp dst-address=192.168.1.12 dst-port=5080 action=masquerade".
З.Ы. У вас правило проброса дикое какое-то... Перенаправляет все подключения из Интернета к любым портам на порт 5080 - наверное, вы ещё хотели там добавить dst-port=5080.
Re: Проблема с пробросом портов
Добавлено: 13 окт 2020, 16:33
runuren
Chupaka писал(а): ↑12 окт 2020, 15:51
Добрый.
Тут, традиционно, два варианта:
1) Если используется внутренний DNS (например, на самом роутере) - прописать там ваши сайты с внутренним адресом, чтобы клиенты ходили туда напрямую, не через роутер.
2) Поставить костыль в виде hairpin nat, когда роутер подменяет адрес клиента на свой (т.е. все подключения из внутренней сети будут видны как подключения от самого роутера). Это достигается правилом вида "/ip firew nat add chain=srcnat src-address=адреса_локалки protocol=tcp dst-address=192.168.1.12 dst-port=5080 action=masquerade".
З.Ы. У вас правило проброса дикое какое-то... Перенаправляет все подключения из Интернета к любым портам на порт 5080 - наверное, вы ещё хотели там добавить dst-port=5080.
Спасибо все поправил помогло