Проблема с пробросом портов

RIP, OSFP, BGP, MPLS/VPLS
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Проблема с пробросом портов

Сообщение runuren »

Добрый день столкнулся с такой проблемой в настройке mikrotic, пробросил порты для доступа к нашим сайтам, сайты видны не из нашей сети, а из под нашей сети доступ к ним получить не получается.
Настройки проброса:
chain=dstnat action=dst-nat to-addresses=192.168.1.12 to-ports=5080
protocol=tcp in-interface=eth10

Настройки внешнего интерфейса
Address: 89.х.х.34/27
Network: 89.х.х.32
Interface: eth10

пример лога:
dstnat: in:ether10 out:(unknown 0), src-mac *, proto TCP (SYN), 89.*.*.63:65114->89.*.*.34:5080, len 52
Аватара пользователя
Sir_Prikol
Сообщения: 389
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Проблема с пробросом портов

Сообщение Sir_Prikol »

Смотри в сторону hairpin nat
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3037
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проблема с пробросом портов

Сообщение Chupaka »

Добрый.

Тут, традиционно, два варианта:

1) Если используется внутренний DNS (например, на самом роутере) - прописать там ваши сайты с внутренним адресом, чтобы клиенты ходили туда напрямую, не через роутер.

2) Поставить костыль в виде hairpin nat, когда роутер подменяет адрес клиента на свой (т.е. все подключения из внутренней сети будут видны как подключения от самого роутера). Это достигается правилом вида "/ip firew nat add chain=srcnat src-address=адреса_локалки protocol=tcp dst-address=192.168.1.12 dst-port=5080 action=masquerade".

З.Ы. У вас правило проброса дикое какое-то... Перенаправляет все подключения из Интернета к любым портам на порт 5080 - наверное, вы ещё хотели там добавить dst-port=5080.
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Re: Проблема с пробросом портов

Сообщение runuren »

Chupaka писал(а): 12 окт 2020, 15:51 Добрый.

Тут, традиционно, два варианта:

1) Если используется внутренний DNS (например, на самом роутере) - прописать там ваши сайты с внутренним адресом, чтобы клиенты ходили туда напрямую, не через роутер.

2) Поставить костыль в виде hairpin nat, когда роутер подменяет адрес клиента на свой (т.е. все подключения из внутренней сети будут видны как подключения от самого роутера). Это достигается правилом вида "/ip firew nat add chain=srcnat src-address=адреса_локалки protocol=tcp dst-address=192.168.1.12 dst-port=5080 action=masquerade".

З.Ы. У вас правило проброса дикое какое-то... Перенаправляет все подключения из Интернета к любым портам на порт 5080 - наверное, вы ещё хотели там добавить dst-port=5080.
Спасибо все поправил помогло