Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jiří Šachl 01. 11. 2020, 16:41:33
-
Mám tohle zapojení. UPC modem Compal který má veřejnou adresu, na něm je zapnuté DHCP které dává adresu pro MikroTik kde je router pro zbytek sítě, firewall, capsman, dude, aj. Adresa kterou má na wan mikrotik je 192.168.1.6, Compal má tedy adresu 192.168.1.1. DHCP mikrotiku je 192.168.88.1/24. RPi UBUNTU server je 192.168.88.251.
Použil jsem návod z tohoto wiki https://wiki.mikrotik.com/wiki/Hairpin_NAT (https://wiki.mikrotik.com/wiki/Hairpin_NAT) ale nefunguje to.
/interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ;;; WAN propojen na COMPAL
ether1 1500 48:8F:5A:52:E4:A3 enabled switch1
1 RS ;;; lo nice
ether2 1500 48:8F:5A:52:E4:A4 enabled switch1
2 RS ;;; ob v k
ether3 1500 48:8F:5A:52:E4:A5 enabled switch1
3 RS ;;; server/balkon
ether4 1500 48:8F:5A:52:E4:A6 enabled switch1
4 RS ;;; pokoj k
ether5 1500 48:8F:5A:52:E4:A7 enabled switch1
5 S ;;; zat m nevyu it optika
sfp1 1500 48:8F:5A:52:E4:A8 enabled
když použiji upravený kode z wiki :
/ip firewall nat
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.251
add chain=srcnat out-interface=WAN action=masquerade
dostanu tuto chybovou zprávu
input does not match any value of interface
poradíte někdo kde je chyba?
-
add chain=srcnat out-interface=WAN action=masquerade
Nikde WAN interface nemáš, máš jen interface ether1 okomentovaný jako ;;; WAN propojen na COMPAL
-
díky.
použil jsem :
/ip firewall nat
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.251
add chain=srcnat out-interface=ether1 action=masquerade
/ip firewall nat
add chain=srcnat src-address=192.168.88.0/24 \
dst-address=192.168.88.251 protocol=tcp dst-port=80 \
out-interface=bridge action=masquerade
ale stejně se na vlastní doménu co mám zaregistrovanou (kontrola ok) nedostanu..jo a compal má adresu mikrotiku jako dmz.
a když se snažím dostat na ovládání modemu 192.168.1.1 tak mě to hodí na web server ubuntu, tedy 192.168.88.251
-
No, máte tam dvojitý překlad adres, takže je pěkné, že na Mikrotiku nastavíte hair-pin NAT, a co ten Compal? Má to taky? Vzhledem k pověstné kavlitě firmware Compalu bych si tím nebyl jistý.
Nebylo by lepší ten Compal přepnout do bridge mode a jednoho překladu adres se zbavit?
A jen předpokládám, že ten Apache je dostupný z internetu (tedy, že není problém ještě někde, v nastavení DMZ nebo tak a nelovíte duchy).
-
Taktéž bych doporučoval se zbavit dvojitého NATu. Compal by to měl umožňovat, pokud nemáte ovšem od UPC ten jejich dualstack-lite.
Pokud to budete provozovat ve stávajícím stavu, předpokládám, že máte na UPC routeru směrovaný adekvátní porty na Mtik.
Pak si ještě přidejte toto pravidlo:
/ip firewall nat
add chain=dstnat dst-address=verejna_ip protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.251
-
Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.
-
Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.
Jedno po druhém.
1) musí chodit přístup na ten web z venku - dokud nechodí, máte blbě buď nastavení Compalu, nebo Mikrotiku, nebo obojí.
2) Pak teprve řešte hair-pin NAT.
3) wifi je otázka cca 2 tisíc za Ubiqity AC Lite (nebo bez Lite o trochu dražší). Můžete ho umístit i na lepší místo, na rozdíl od routeru.
Když tedy tam ten Mikrotik musíte mít - otázka je, proč vlastně. Umí věci, které Compal neumí? No tak ten Compal ale musíte vyřadit (tj. přepnout do bridge mode). Jestli mu nevěříte, tak na něm neprovozujte ani to wifi. A rázem budete v daleko jednodušší situaci, návod na Mikrotik prostě přesně použijete a máte to.
-
Compal je u stropu na chodbě ve skříni v malém racku a je tam s ním i MikroTik. V panelovém domě potřebuji silnou wifi. Přes nosné zdi a v Praze s těmi rušeními okolo neprostřelí signál celý byt. Mám tedy v obýváku jako AP wifi router od asusu, silný výkon, stabilní ale mizerné zabezpečení a když se zapne tak se provoz po LAN téměř zastaví. V ložnici nic a dětském pokoji MikroTik mAP, ta 100 mbit LAN holku donutí neponocovat koukáním na pitomé "výměna manželek" a podobné kraviny a jít spát (když je těhotná a má jít ráno do práce). Když už tak chci spravovat WiFi capsmanem, ten asus sice nejde ale zato jeho web administrace je na tohle dostatečná...potřebuju wifi bezpečné, těch šmejdů je okolo hafo...
-
Zatím jako nejvhodnější řešení jak se zbavit wifi na Compalu a použít ho jen jako modem mi vychází nasazení https://www.i4wifi.cz/cs/211098-mikrotik-cap-ac (https://www.i4wifi.cz/cs/211098-mikrotik-cap-ac)
-
Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.
Ale ne, musí tam být více NAT pravidel:
/ip firewall nat
****přesměrování portů z WAN:
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.251
****přesměrování portů z LAN pro dotazy na veřejnou IP:
add chain=dstnat dst-address=verejna_ip protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.251
****odchozi src nat do internetu:
add chain=srcnat out-interface=ether1 action=masquerade
****hairpin src nat pro dotazy z lokalni site:
add chain=srcnat src-address=192.168.88.0/24 \
dst-address=192.168.88.251 protocol=tcp dst-port=80 \
out-interface=bridge action=masquerade
-
Pokud má Mikrotik na WAN portu 192.168.1.6, tak pravidlo pro přístup na interní web z Internetu musí být ve formě:
/ip firewall nat
add chain=dstnat dst-address=192.168.1.6 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
(Na compal ti dojde požadavek na veřejnou IP, třeba 198.51.100.222, compal udělá pomocí DMZ nat na 192.168.1.6 a na Mikrotiku následně musíš to 192.168.1.6 přenatovat a přeposlat na tu 192.168.88.251).
Také je třeba mít vedle nat pravidla i filter pravidlo, které dovolí paketům projít z wan do lan. Defaultní provedneí firewallu v ROSu to nedovolí. Čili něco jako:
/ip firewall filter
add chain=forward dst-address=192.168.88.251 protocol=tcp dst-port=80 action=accept
Pokud chceš i to, aby jsi z vnitřní LAN sítě při přístupu na tu veřejnou IP (např. 198.51.100.222) se dostla na ten lokální vnitřní web, tak k tomu potřebuješ ještě něco jako:
/ip firewall nat
add chain=dstnat dst-address=198.51.100.222 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade
A pak v NATu musí bít i obecná maškaráda pro odchozí provoz směrme do internetu, což tma asi máš (/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade).
Také bych volil variantu, že compal bude jen v bridge režimu a obsloužil to celé na tom Mikrotiku. Pro další APčka bych použil nějaký ten CAP dle volby (já mám hlavní rotuer RB4011 a k němu jako wifiny po bejváku 2x wAP ac).
-
díky ale teď se v tom nějak ztrácím.
moje veřejná IP je 78.45.51.41
-
Nu, tak si jen oprav tu hairpin nat část z 198.51.100.222 na tu tvoji skutečnou IP:
/ip firewall nat
add chain=dstnat dst-address=78.45.51.41 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade
-
Blbne mi editace příspěvku, takže jen krátce. Souhlas s M_D, v pravidlech z mého příspěvku byly ještě chyby, prosím ignorujte.
-
M-D.....díky, díky, královští verbíři.....
paráda, funguje......
jinak doména je kvetinkova345.info
server je rpi3 ale má zatím pidi sdhc kartu a línou jako šnek ale pracuje se na změně...zatím je tam jen apache v základu ale bude tam asi něco meteo...
-
Nakonec to bude jinak. Zprovoznil jsem desku s armem a 8GB ram ddr3 a gigovou kartou, právě se aktualizuje ubuntu server 20.
-
no něco funguje a něco ne. Vyzkoušej kvetinkova345.info (http://kvetinkova345.info) to funguje. Ale ping na tuhle adresu ne. Mám zprovozněné dva virtuály na apache2.
1. meteo.kvetinkova345.info
2. weewx.kvetinkova345.info
na ně se ale nedá dostat. Někde je chyba mě po těch cca 15 hodinách už pomalu se vypíná mozek...
-
Nevím co ti na tom kvetinkova345.info mělo fungovat já nevidím nic. Ping mi funguje, zkus sem hodit schéma jak to chceš, určitě to bude příjemnější.
-
Poradím mi ještě prosím někdo jak na mikrotiku povolil port 3306 (mysql) kvůli této chybě
(2003, "Can't connect to MySQL server on '' (111)") potřebuji aby raspberry mohl odesílat data do databáze na serveru uvnitř vnitřní sítě. Jen uvnitř sítě, ne z venku. Díky.
raspberry má adresu 192.168.88.248
server 192.168.88.214
díky moc
-
Tohle jsou zcela zásadní neznalosti, které 1. je možno bez problémů dohledat na webu, 2. vás usvědčují ze snahy dělat něco, na co nemáte. Tak buďto si to dostudujte (obecné síťování a k tomu zvláštnosti Mikrotiku), nebo to nedělejte.
-
Tohle jsou zcela zásadní neznalosti, které 1. je možno bez problémů dohledat na webu, 2. vás usvědčují ze snahy dělat něco, na co nemáte. Tak buďto si to dostudujte (obecné síťování a k tomu zvláštnosti Mikrotiku), nebo to nedělejte.
Souhlasím, pokud si nenastaví ani firewall tak by si už vůbec neměl hrát s veřejkou. A některé dotazy jsem nepochopil, když je raspberry a server v LAN proč by měl data odesílat přes WAN?
Nakresli si schéma co přesně potřebuješ a jdi postupně, mikrotik má dobrou dokumentaci.
-
přepracoval jsem firewall ale teď ho nemůžu nasadit (home office) nesmí ani na vteřinu vypadnout internet. Tak leda večer, nebo spíš v noci až celá rodina přestane chatovat a koukat na pitomý seriály...
-
Všechno funguje !!!!!