Mikrotik router a Apache server na linuxe - nepřístupný z veřejné IP

[Jiří Šachl]

Mám tohle zapojení. UPC modem Compal který má veřejnou adresu, na něm je zapnuté DHCP které dává adresu pro MikroTik kde je router pro zbytek sítě, firewall, capsman, dude, aj. Adresa kterou má na wan mikrotik je 192.168.1.6, Compal má tedy adresu 192.168.1.1. DHCP mikrotiku je 192.168.88.1/24. RPi UBUNTU server je 192.168.88.251.
Použil jsem návod z tohoto wiki https://wiki.mikrotik.com/wiki/Hairpin_NAT ale nefunguje to.
/interface ethernet print

Kód: [Vybrat]

Flags: X - disabled, R - running, S - slave
 #    NAME                                                    MTU MAC-ADDRESS       ARP             SWITCH                                                 
 0 R  ;;; WAN propojen  na COMPAL
      ether1                                                 1500 48:8F:5A:52:E4:A3 enabled         switch1                                               
 1 RS ;;; lo nice
      ether2                                                 1500 48:8F:5A:52:E4:A4 enabled         switch1                                               
 2 RS ;;; ob v k
      ether3                                                 1500 48:8F:5A:52:E4:A5 enabled         switch1                                               
 3 RS ;;; server/balkon
      ether4                                                 1500 48:8F:5A:52:E4:A6 enabled         switch1                                               
 4 RS ;;; pokoj k
      ether5                                                 1500 48:8F:5A:52:E4:A7 enabled         switch1                                               
 5  S ;;; zat m nevyu it  optika
      sfp1                                                   1500 48:8F:5A:52:E4:A8 enabled       
když použiji upravený kode z wiki :
/ip firewall nat
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
  action=dst-nat to-address=192.168.88.251
add chain=srcnat out-interface=WAN action=masquerade
dostanu tuto chybovou zprávu

Kód: [Vybrat]

input does not match any value of interface
poradíte někdo kde je chyba?

[Reklama]

[Klupik]

add chain=srcnat out-interface=WAN action=masquerade
Nikde WAN interface nemáš, máš jen interface ether1 okomentovaný jako ;;; WAN propojen  na COMPAL

[Jiří Šachl]

díky.
použil jsem :
/ip firewall nat
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
  action=dst-nat to-address=192.168.88.251
add chain=srcnat out-interface=ether1 action=masquerade

/ip firewall nat
add chain=srcnat src-address=192.168.88.0/24 \
  dst-address=192.168.88.251 protocol=tcp dst-port=80 \
  out-interface=bridge action=masquerade

ale stejně se na vlastní doménu co mám zaregistrovanou (kontrola ok) nedostanu..jo a compal má adresu mikrotiku jako dmz.
a když se snažím dostat na ovládání modemu 192.168.1.1 tak mě to hodí na web server ubuntu, tedy 192.168.88.251

[BobTheBuilder]

No, máte tam dvojitý překlad adres, takže je pěkné, že na Mikrotiku nastavíte hair-pin NAT, a co ten Compal? Má to taky? Vzhledem k pověstné kavlitě firmware Compalu bych si tím nebyl jistý.
Nebylo by lepší ten Compal přepnout do bridge mode a jednoho překladu adres se zbavit?
A jen předpokládám, že ten Apache je dostupný z internetu (tedy, že není problém ještě někde, v nastavení DMZ nebo tak a nelovíte duchy).

[5nik]

Taktéž bych doporučoval se zbavit dvojitého NATu. Compal by to měl umožňovat, pokud nemáte ovšem od UPC ten jejich dualstack-lite.
Pokud to budete provozovat ve stávajícím stavu, předpokládám, že máte na UPC routeru směrovaný adekvátní porty na Mtik.
Pak si ještě přidejte toto pravidlo:

/ip firewall nat
add chain=dstnat dst-address=verejna_ip protocol=tcp dst-port=80 \
  action=dst-nat to-address=192.168.88.251

[Reklama]

[Jiří Šachl]

Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
    80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.

[BobTheBuilder]

Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
    80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.

Jedno po druhém.
1) musí chodit přístup na ten web z venku - dokud nechodí, máte blbě buď nastavení Compalu, nebo Mikrotiku, nebo obojí.
2) Pak teprve řešte hair-pin NAT.
3) wifi je otázka cca 2 tisíc za Ubiqity AC Lite (nebo bez Lite o trochu dražší). Můžete ho umístit i na lepší místo, na rozdíl od routeru.
Když tedy tam ten Mikrotik musíte mít - otázka je, proč vlastně. Umí věci, které Compal neumí? No tak ten Compal ale musíte vyřadit (tj. přepnout do bridge mode). Jestli mu nevěříte, tak na něm neprovozujte ani to wifi. A rázem budete v daleko jednodušší situaci, návod na Mikrotik prostě přesně použijete a máte to.

[Jiří Šachl]

Compal je u stropu na chodbě ve skříni v malém racku a je tam s ním i MikroTik. V panelovém domě potřebuji silnou wifi. Přes nosné zdi a v Praze s těmi rušeními okolo neprostřelí signál celý byt. Mám tedy v obýváku jako AP wifi router od asusu, silný výkon, stabilní ale mizerné zabezpečení a když se zapne tak se provoz po LAN téměř zastaví. V ložnici nic a dětském pokoji MikroTik mAP, ta 100 mbit LAN holku donutí neponocovat koukáním na pitomé "výměna manželek" a podobné kraviny a jít spát (když je těhotná a má jít ráno do práce). Když už tak chci spravovat WiFi capsmanem, ten asus sice nejde ale zato jeho web administrace je na tohle dostatečná...potřebuju wifi bezpečné, těch šmejdů je okolo hafo...

[Jiří Šachl]

Zatím jako nejvhodnější řešení jak se zbavit wifi na Compalu a použít ho jen jako modem mi vychází nasazení https://www.i4wifi.cz/cs/211098-mikrotik-cap-ac

[5nik]

Odstřelil jsem ty 3 chainy z natu a dal tam jen jednu a to:
/ip firewall nat
add action=accept chain=dstnat comment="Accept Pi-Hole Server Traffic" port=\
    80 protocol=tcp src-address=192.168.88.251
a taky to nafachá. Rád bych dal Compala jen do role modemu, ale má silnou wifi a to v obou pásmech naráz. Kdybych mohl na stejné místo dát AP od mikrotiku co to zvládne taky a bude mít LAN na gbit pak ano, ale mám RB760iGS kvůli jeho hardware.

Ale ne, musí tam být více NAT pravidel:

/ip firewall nat
****přesměrování portů z WAN:
add chain=dstnat dst-address=192.168.1.1 protocol=tcp dst-port=80 \
  action=dst-nat to-address=192.168.88.251

****přesměrování portů z LAN pro dotazy na veřejnou IP:
add chain=dstnat dst-address=verejna_ip protocol=tcp dst-port=80 \
  action=dst-nat to-address=192.168.88.251

****odchozi src nat do internetu:
add chain=srcnat out-interface=ether1 action=masquerade

****hairpin src nat pro dotazy z lokalni site:
add chain=srcnat src-address=192.168.88.0/24 \
  dst-address=192.168.88.251 protocol=tcp dst-port=80 \
  out-interface=bridge action=masquerade

[M_D]

Pokud má Mikrotik na WAN portu 192.168.1.6, tak pravidlo pro přístup na interní web z Internetu musí být ve formě:
/ip firewall nat
add chain=dstnat dst-address=192.168.1.6 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
(Na compal ti dojde požadavek na veřejnou IP, třeba 198.51.100.222, compal udělá pomocí DMZ nat na 192.168.1.6 a na Mikrotiku následně musíš to 192.168.1.6 přenatovat a přeposlat na tu 192.168.88.251).
Také je třeba mít vedle nat pravidla i filter pravidlo, které dovolí paketům projít z wan do lan. Defaultní provedneí firewallu v ROSu to nedovolí. Čili něco jako:
/ip firewall filter
add chain=forward dst-address=192.168.88.251 protocol=tcp dst-port=80 action=accept

Pokud chceš i to, aby jsi z vnitřní LAN sítě při přístupu na tu veřejnou IP (např. 198.51.100.222) se dostla na ten lokální vnitřní web, tak k tomu potřebuješ ještě něco jako:
/ip firewall nat
add chain=dstnat dst-address=198.51.100.222 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade

A pak v NATu musí bít i obecná maškaráda pro odchozí provoz směrme do internetu, což tma asi máš (/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade).

Také bych volil variantu, že compal bude jen v bridge režimu a obsloužil to celé na tom Mikrotiku. Pro další APčka bych použil nějaký ten CAP dle volby (já mám hlavní rotuer RB4011 a k němu jako wifiny po bejváku 2x wAP ac).

[Jiří Šachl]

díky ale teď se v tom nějak ztrácím.
moje veřejná IP je 78.45.51.41

[M_D]

Nu, tak si jen oprav tu hairpin nat část z 198.51.100.222 na tu tvoji skutečnou IP:
/ip firewall nat
add chain=dstnat dst-address=78.45.51.41 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade

[5nik]

Blbne mi editace příspěvku, takže jen krátce. Souhlas s M_D, v pravidlech z mého příspěvku byly ještě chyby, prosím ignorujte.

[Jiří Šachl]

M-D.....díky, díky, královští verbíři.....
paráda, funguje......
jinak doména je kvetinkova345.info

server je rpi3 ale má zatím pidi sdhc kartu a línou jako šnek ale pracuje se na změně...zatím je tam jen apache v základu ale bude tam asi něco meteo...