Mikrotik RB 951 problém s nastavením

[pelopones]

Snažím se trochu prokousat nastavením Mikrotiku a nemohu se dostat přes jeden problém.
Mikrotik mám nastaven prozatím úplně jednoduše v režimu ROUTER.
Pro nastavení jsem použil vestavěnou šablonu (Quick set).
V LAN portu 1 je připojena Internetová linka od mého ISP s pevnou IP adresou.
V LAN portu 2 je pak připojena vnitřní siť.
Zároveň je na routeru prostřednictvím WIFI rozhraní připojeno několik bezdrátových klientů.
Okamžitě po nastavení vše běží - všichni klienti ve vnitřní síti mají přístup na internet.

Následně jsem potřeboval z internetu zpřístupnit některé služby na některých počítačích ve vnitřní síti.
V konfiguraci Firewallu /NAT mám proto nastaveno několik jednoduchých pravidel, pomoci kterých zpřístupňuji z Internetu některé porty na počítačích běžících ve vnitřní síti. Například vzdálený přístup, atd.
Taky vše fungovalo okamžitě jak má.

Pak jsem ale narazil na to, že se na tyto služby dostanu z internetu, ale NE z vnitřní sítě.
Logicky bych řekl, že když zevnitř sítě volám svojí veřejnou internetovou adresu, tak by mne měl router nejprve poslat ven a následně dovnitř. To ale nefunguje.
Když zadám uvnitř LAN venkovní veřejnou IP adresu mojí sítě, tak se mi objeví přihlašovací stránka web rozhraní mikrotiku.

Už se s tím trápím x hodin - neměl by někdo nějakou radu ?? Díky všem.

[Reklama]

[Jose D]

ahoj, teď nejsem u žádného Mikrotikového boxu, takže nevyzkouším, ani nepopíšu superpodrobně, ale k vyřešení Tvého problému vedou IMHO dvě cesty:

1) pomocí DNS - přistupuj ke službám pomocí DNS jmen, z venku si nastav resolvování DNS na public IP, zevnitř na private IP.
2) pomocí DNAT pravidla:
výchozí podmínky (to už tam máš):
* služba S běžící na privátní adrese PIP, (rozhraní eth1)
* z vnějšku (rozhraní eth0) je provoz na veřejnou adresu VIP o portu VIPp přesměrováván na adresu PIP a port PIPp
co potřebuješ nastavit:
* DNat pravidlo, když přijde packet na eth1, destination IP=VIP, destination_port = VIPp, protokol=tvujprotokol(tcp/udp), změň destination IP a port na PIP a PIPp) pravidlo omezit pouze na provoz z LAN.

mělo by to fungovat.., akorát si nejsem jistý zda se musí omezit provoz na LAN pomocí rozhraní, nebo pomocí subnetu..

[Mirek Prýmek]

Logicky bych řekl, že když zevnitř sítě volám svojí veřejnou internetovou adresu, tak by mne měl router nejprve poslat ven a následně dovnitř.

Na tom není nic logického. Pokud má router veřejnou adresu A nastavenou na vnější rozhraní (k ISP), tak když na něj přijde paket s touhle adresou, vůbec neprochází chainem forward a jde do input. Přesně takhle to má fungovat, to je definice forward a input. Proto taky uvidíš to rozhraní routeru - protože ta adresa A JE adresou routeru.

Pokud chceš, aby se to chovalo jinak, musíš udělat něco v tom stylu, co radí Jose.

[Pavouk106]

Ve zkratce: Přístupem z LAN na vnější adresu to fungovat nebude, to se ten Mikrotik chová správně (a choval by se i jinej router). Musíš zevnitř přistupovat rovnou na vnitřní.

Řešení:
1. Všechny stroje uvnitř budou mít nstavené hosts
nebo
2. vlastní vnitřní DNS
nebo
3. jiná(-é) možnost(i)

[pelopones]

Samozřejmě, že je řešení volat jinak služby zevnitř sítě a jinak zvenčí - to funguje.

Před Mikrotikem jsem měl ASUS s DD WRT a tam to jsem tento problém neměl, takže mne to překvapuje.

[Reklama]

[Lol Phirae]

Njn, to je celkem normalni. Vygoogli se "NAT loopback". S Mikrotikem neporadím, umí to třeba pfSense (NAT Reflection). Jiná varianta, viz split DNS v příspěvku výš.

[pelopones]

vyexportoval jsem kompletní nastavení
https://dl.dropboxusercontent.com/u/2447009/konfig.txt

LOSAN je port připojený k providerovi
LAN je port připojený do vnitřní sítě

Co vidíte jako nejjednodušší řešení ?
Jestli Nat pravidlo jak radí první odpovídající - mohli byste mi ho pomoci napsat ?
Děkuji

[pelopones]

pro Lol Phirae : moc moc děkuji - ten problém se skutečně jmenuje NAT LOOPBACK

Našel jsem přesně stejný popis problému a také řešení.
http://forum.mikrotik.com/viewtopic.php?f=2&t=70020

Takže stačí přidat stejné pravidlo srcnat s maškarádou jako je pro výstupní rozhraní, ale dát tam vnitřní rozhraní, resp bridge.
Také je tam zmíněno, že klasické user routery mají fci loopback integrovánu automaticky.

Moc děkuji za pomoc všem a přeji všem zde vše nej do 2014.

 

[PANKapitanRUM]

To se poseru, dvakrát v jednom týdnu někdo, kdo se obtěžuje napsat result svého problému.
A dokonce i tak, aby to bylo použitelné pro někoho dalšího.

[pelopones]

A tak to od roku 2014 bude natrvalo