srv запись [решено]

Базовая функциональность RouterOS
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

srv запись [решено]

Сообщение nevolex »

Привет всем,

помогите пожалуйста создать srv записи на микротик


есть два веб сервиса
10.10.0.10:32400 (plex)
10.10.0.10:20020 (qnap)


я бы хотел что бы она резульвились на: site1.lan 10.10.0.10:32400 и site2.lan для 10.10.0.10:20020


я создал A запись но не пойму как создавать srv запись


большое спасибо
Последний раз редактировалось nevolex 19 фев 2021, 11:34, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

Здравствуйте.

Версию RouterOS неплохо бы указать...

Уточните, пожалуйста, для начала, что именно вам непонятно при создании SRV-записи:
Screenshot 2021-02-04 at 15.06.38.png
Screenshot 2021-02-04 at 15.06.38.png (121.18 КБ) 2767 просмотров
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Здравствуйсте,


если честно все непонятно, я не знаю что именно надо указывать, что бы разделить веб адреса по портам


иожеть быть srv даже и не для этого вообще


версия 6.48

спасибо
Вложения
srv.png
srv.png (12.89 КБ) 2760 просмотров
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

Вам надо, чтобы браузер в локалке стучался по нестандартному порту вместо 80-го? Тогда это только руками надо указывать, увы. SRV тут никак не поможет.

Ну, костыли в виде "пустить весь трафик через роутер с подменой адреса клиента адресом роутера" я не рассматриваю. Но если очень хочется...
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Да я просто хотел для удобства что бы люди в гостевой сети не писали 10.0.10.5:32400 что бы открыть плекс

работает например site1.lan:32400 но это не удобно писать, странно что А запись не может работать с портами


а дефолтно если написать в браузере site1.lan он пишет site1.lan:8080


тоесть получается, создать обычную запись никак не получится ?

спасибо за быстрый ответ
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

оказывается плекс можно открывать чере https://plex.tv адрес форвардится на лан адрес сервера, может можно это как то испольщовать в srv ?


или создать port forwarding на микротике 10.10.0.5:8080 на 10.10.0.5:32400 ?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

nevolex писал(а): 05 фев 2021, 01:44 Да я просто хотел для удобства что бы люди в гостевой сети не писали 10.0.10.5:32400 что бы открыть плекс

работает например site1.lan:32400 но это не удобно писать
О, оказывается, задача-то немного другая! :)

Вот вам другое решение:
1. добавляете нужные имена в DNS с адресом роутера
2. включаете на роутере Web Proxy
3. в Access Rules блокируете всё (на всякий случай), а перед этим создаёте правила с Dst. Host = имя из первого пункта, Action = deny, Redirect To - адрес по IP и с портом (типа http://10.0.10.5:32400/)
4. человек вводит в браузере "privet.name" - и автоматически попадает на http://10.0.10.5:32400/
nevolex писал(а): 05 фев 2021, 01:44 странно что А запись не может работать с портами
Ну, это вы к создателям протокола DNS обращайтесь, почему они для IP-протокола придумали преобразовывать имя в IP-адрес, а не в IP-адрес и порт (который существует только у всяких TCP и UDP).
nevolex писал(а): 05 фев 2021, 01:44 а дефолтно если написать в браузере site1.lan он пишет site1.lan:8080
Это потому, видимо, что вы когда-то заходили на это имя по порту 8080 - и браузер его запомнил. Дефолтно браузер ходит на порт 80 для http и на порт 443 для https. Это ещё к вопросу о том, на каком порту включать Web Proxy. Но, если у вас какое-то имя уже испорчено портом 8080 - я бы просто сменил его на другое :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

большое спасибо буду пробовать :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

nevolex писал(а): 05 фев 2021, 22:57 Вот вам другое решение:
1. добавляете нужные имена в DNS с адресом роутера
2. включаете на роутере Web Proxy
3. в Access Rules блокируете всё (на всякий случай), а перед этим создаёте правила с Dst. Host = имя из первого пункта, Action = deny, Redirect To - адрес по IP и с портом (типа http://10.0.10.5:32400/)

вы не могли бы пожалуйста прояснить пока не смог настроить, а зачем здесь нужен вебпрокси и также не смог найти правило Dst. Host только с distnat ?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

в Access Rules блокируете всё (на всякий случай)

какжется нашел где это конфигурировать в настройка прокси а какое правило что бы заблокировать все


проверил работает ли редирект но к саожалению нет, вижу ответ от прокси но порт не меняется и к томуже это конфигурация требует остновку прокси в ручную, через dhcp наверное прокси не устанвится
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

nevolex писал(а): 14 фев 2021, 00:52 а какое правило что бы заблокировать все
Никакие поля не заполняете, ставите action=deny
nevolex писал(а): 14 фев 2021, 00:52 проверил работает ли редирект но к саожалению нет, вижу ответ от прокси но порт не меняется
Вы подробностей подсыпьте. Какой ответ вы где видите? Телепатов нет.
nevolex писал(а): 14 фев 2021, 00:52 и к томуже это конфигурация требует остновку прокси в ручную, через dhcp наверное прокси не устанвится
Что за ересь? Что вы там вручную делаете? На клиенте не надо делать вообще ничего, вы что-то совсем не туда полезли, похоже.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Спасибо Chupaka

если в видов включить прокси (10.10.0.1 8080) в виндовс когда я захожу на media.lan (http://10.0.10.5)

получаю это -- но как Вы видите порт поменелся на правильный

ERROR: Forbidden
While trying to retrieve the URL http://10.0.10.5:8096/:

Access Denied
Your cache administrator is webmaster.

Generated Tue, 16 Feb 2021 09:40:43 GMT by 10.10.0.1 (Mikrotik HttpProxy)

сайт media.lan не открывается но хотя бы форварится, если я отключаю прокси в виндовс ничего не форварится и я получаю

http://media.lan:8080/
This site can’t be reachedmedia.lan refused to connect.
Try:

Checking the connection
Checking the proxy and the firewall
ERR_CONNECTION_REFUSED

я всегда думал что прокси олжен быть настроен на клиенте?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

кога отключил поседнее правило deny all в прокси все рабоает, но только если прокси включен на клиенте изначально


может нужно какоето правило нат добавить?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

Ещё раз: не надо ничего настраивать на клиенте, прокси в данном случае используется не как прокси (в нём всё запрещено), а как редиректилка. Т.е. новое имя media.lan должно указывать на IP-адрес роутера, после этого оно перенаправит куда надо (хоть на IP:port, хоть на другое_имя:порт) - и больше нигде не используется.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Извините Chupaka, но это правда не работает
ik.png
ik.png (103.39 КБ) 1595 просмотров
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

почти разобрался

работает только если я пишу в бразере media.lan:8080 тогда редирект работает а если просто media.lan то открывается микротик менеджмет станица


ps:

я попробовал добавить нат правило distnat - redirect 80 to 8080

в этом случае когда пишу media.lan в браузере открывсется то что нужно 10.10.5.0:8096 но ругеи сайты не работают

ERROR: Forbidden
While trying to retrieve the URL http://yandex.ru/:

Access Denied
Your cache administrator is webmaster.

Generated Wed, 17 Feb 2021 10:52:10 GMT by 10.10.0.1 (Mikrotik HttpProxy)




если в проси послее правило меняю на alow впринцпе все рабоает но нужен ли мне прокси полноценный для одного сайта?


тоесть может быть прокси так работает на микротике ?
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

вы знаете Chupaka я решил оставить прокси включеным так как все с ним все работает, думаю в будущеи пригодится

скажите пожалуйста стоит ли обавить какие нибудь общие запретительные правила как дефолтные в фаейволе или не обящательно?


единственное что не работает это прокси через vpn я создал правило dist nat с source ip vpn сеть 10.88.0.0/24 интренет работает но редирект не рабоает на media.lan



спасибо за вашу помощь
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

У вас столько идей, прям не знаю, как за вами угнаться :)

Переключите прокси на порт 80, перед этим убрав веб-морду роутера с этого порта в IP -> Services - и не надо никаких dst-nat, тем более хватающих не только обращения к роутеру, но и пролетающий в Интернет трафик!

В dst-host должно быть media.lan, а не http://media.lan (первое - хост, второе - URL)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 17 фев 2021, 18:54 У вас столько идей, прям не знаю, как за вами угнаться :)

Переключите прокси на порт 80, перед этим убрав веб-морду роутера с этого порта в IP -> Services - и не надо никаких dst-nat, тем более хватающих не только обращения к роутеру, но и пролетающий в Интернет трафик!

В dst-host должно быть media.lan, а не http://media.lan (первое - хост, второе - URL)
хаха, спасибо Вам большое, все теперь работает и без дист ната, в локальной сети все прекрасно открывается

Единственное что пока не работает, это что в впн редирект не работает, все открывается по адресам, портам, но вот например media.lan не окрывается, это не критично, но может быть у Вас есть какой-нибуб вариант и мне для общеего образования, в любом случае спасибо еще раз!
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

Убедитесь, что правила фильтра файрвола не запрещают доступ к роутеру (chain=input) для клиентов VPN.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 17 фев 2021, 22:38 Убедитесь, что правила фильтра файрвола не запрещают доступ к роутеру (chain=input) для клиентов VPN.

спасибо, вроде бы нет?

vpn pool 10.88.0.0/24
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: srv запись

Сообщение Chupaka »

Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 17 фев 2021, 22:59 Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
спасибо, мне кажется да, просто ikev2?


попробовал отключить не помогло :(
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

какжется начинаю понимать почему

лан:


C:\Users\nevol>nslookup media.lan
Server: qnap.lan
Address: 10.10.0.1

Non-authoritative answer:
Name: media.lan
Address: 10.10.0.1


Wireless LAN adapter WiFi:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Killer(R) Wi-Fi 6 AX1650s 160MHz Wireless Network Adapter (201D2W)
Physical Address. . . . . . . . . : CC-F9-E4-9C-00-E0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::650d:3bfc:51a8:b2ee%11(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 February 2021 01:20:51
Lease Expires . . . . . . . . . . : 19 February 2021 15:59:39
Default Gateway . . . . . . . . . : 10.10.0.1
DHCP Server . . . . . . . . . . . : 10.10.0.1
DHCPv6 IAID . . . . . . . . . . . : 80542180
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-81-5C-F9-CC-F9-E4-9C-00-E0
DNS Servers . . . . . . . . . . . : 10.10.0.1------> локальный
121.98.0.1 ----------- провайдер1
121.98.0.2 ----------- провайдер1
118.149.12.10 ----------- провайдер2
118.148.12.10 ----------- провайдер2
NetBIOS over Tcpip. . . . . . . . : Enabled



через vpn


C:\Users\nevol>nslookup media.lan
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 118.149.12.10

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
^C
C:\Users\nevol>



Autoconfiguration Enabled . . . . : Yes

PPP adapter IKEv2-Mikrotik:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : IKEv2-Mikrotik
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.88.0.248(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 118.149.12.10-------> днсы мобльного провайдера
118.148.12.10
121.98.0.1
121.98.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled



можно как то сделать что бы днс был только один 10.10.0.1 без всяких isp адресов на клиенте ? :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Прописал вручную dns в серверах теперь на клиентах только 10.10.0.1 виден


зашел в ipsec -mode configs и указал вместо use system dns - specific dns 10.10.0.1

теперь через vpn не реиректится и нет интернета (bad dns probe), как Вы и советовали выключил 6й пункт - drop all not coming from Lan тогда все работает, но наверное это правило было нужно ? может быть его модицировать как то можно? у меня разрешины allow remote requests

спасибо большое за помощь
mikrotik.png
mikrotik.png (79.18 КБ) 1672 просмотра

немного модифицировал правила : 6 е правило теперь 8 е

Код: Выделить всё


 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 7    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 8    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 9    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

10    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

11    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

12    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

13    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

16    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

17    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

18    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 

[admin@MikroTik_RB4011] /ip firewall filter> 
Ответить