Nastavenie Hairpin NAT

blast3r

Ahojte,

Som začiatočník, rozbalil som MikroTik router, spravil základný security setup:

https://wiki.mikrotik.com/wiki/Manual ... our_Router

A potom som sa snažil nastaviť Hairpin NAT, aby som mal prístupný WWW server aj z vnútornej LAN siete:

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Vnútorná LAN sieť je 192.168.88.0/24, WWW server beží na 192.168.88.248, má pridelenú statickú IP.

Je správne nastavený portforwarding, keď idem na public WAN IP 83.X.X.X tak sa ten WWW server dostanem, ale nie z vnútornej LAN siete, čiže mi nefunguje Hairpin NAT.

Konfigurácia Firewall rules

add action=accept chain=input comment="default configuration" connection-state=\

established,related

add action=accept chain=input src-address-list=allowed_to_router

add action=accept chain=input protocol=icmp

add action=drop chain=input

add action=fasttrack-connection chain=forward comment=FastTrack \

connection-state=established,related

add action=accept chain=forward comment="Established, Related" \

connection-state=established,related

add action=drop chain=forward comment="Drop invalid" connection-state=invalid \

log=yes log-prefix=invalid

add action=drop chain=forward comment=\

"Drop tries to reach not public addresses from LAN" dst-address-list=\

not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN \

out-interface=!bridge

add action=drop chain=forward comment=\

"Drop incoming packets that are not NATted" connection-nat-state=!dstnat \

connection-state=new in-interface=ether1 log=yes log-prefix=!NAT

add action=drop chain=forward comment=\

"Drop incoming from internet which is not public IP" in-interface=ether1 \

log=yes log-prefix=!public src-address-list=not_in_internet

add action=drop chain=forward comment=\

"Drop packets from LAN that do not have LAN IP" in-interface=bridge log=yes \

log-prefix=LAN_!LAN src-address=!192.168.88.0/24

Konfigurácia NAT

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\

out,none out-interface-list=WAN

add action=dst-nat chain=dstnat comment=http dst-port=80 in-interface=ether1 \

protocol=tcp to-addresses=192.168.88.248 to-ports=80

add action=dst-nat chain=dstnat comment=https dst-port=443 in-interface=ether1 \

protocol=tcp to-addresses=192.168.88.248 to-ports=443

add action=dst-nat chain=dstnat comment=torrent dst-port=35469 in-interface=\

ether1 protocol=tcp to-addresses=192.168.88.248 to-ports=35469

add action=dst-nat chain=dstnat comment="RDP - TCP" dst-port=3399 in-interface=\

ether1 protocol=tcp to-addresses=192.168.88.248 to-ports=3389

add action=dst-nat chain=dstnat comment="RDP - UDP" dst-port=3399 in-interface=\

ether1 protocol=udp to-addresses=192.168.88.248 to-ports=3389

add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\

192.168.88.248 dst-port=80 out-interface-list=LAN protocol=tcp src-address=\

192.168.88.0/24

Čo robím zle?

Díky.

mirek_k

To poslední pravidlo není maškaráda, ale dst-nat.

A dst adresa je veřejná adresa sítě.

To znamená slovně . pokud požaduješ z vnitřní sítě veřejnou adresu s danými porty, změň cílovou adresu na lokální adresu serveru.

blast3r

Tak ak som to pochopil spravne, tak som to nastavil takto, ale nefunguje to:

add action=dst-nat chain=dstnat comment="Hairpin NAT" dst-address=83.X.X.X \

dst-port=80 protocol=tcp src-address=192.168.88.0/24 to-addresses=\

192.168.88.248 to-ports=80

mirek_k

Tak ti to blokuje nějaké pravidlo ve firewallu. Stačí se dívat na countery při pokusech.

beny44

Já jsem to také nerozchodil. A jelikož používám Web Proxy (mám dva weby uvnitř sítě) využil jsem statické DNS. To jsem měl zaplé již dávno, ale něměl jsem ve win v nastavení sítě zaplý DNS server Mikrotik.

romanz

Hairpin NAT se mi taky nepodarilo rozchodit.

Zkousel sem asi 10 navodu kterej byl kazdej v nejaky drobnosti jinej a pristup na vnitrni IP pres eterni adresu nebo domenovy jmeno proste nejde.

Vyresil jsem to taky statickym DNS zaznamem a je klid. Nechapu ze nekdo nemuze napsat normalni pouzitelnej navod pro blbce jako jsme my aby to fungovalo a bylo to jasny.

norg

to posledni pravislo:

add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\

192.168.88.248 dst-port=80 out-interface-list=LAN protocol=tcp src-address=\

192.168.88.0/24

ma byt maskarada

jediny rozdil oproti wiki vidim ze tam mas out-interface-list misto out-interface

a me to chodi resp mam jeste vice zjednoduseno:

add action=masquerade chain=srcnat dst-port=2048 protocol=tcp

a dst-nat nedelam pres interface ale IP:

add action=dst-nat chain=dstnat dst-address=!192.168.88.0/24

dst-port=2048 log=yes protocol=tcp to-addresses=\

192.168.88.155 to-ports=80

vypni firewall a zkousej :)

crazyape

Musíš do toho dst nat pravidla dat in interface=Fyzicky interface vnitřní sítě/bridge

Tzn. rict routeru ze když přijde paket z lanu a cílová ip je jehoverejka na portu xxx tak vrátit packet dovnitr na nějakou konkrétní vnitřní ip kde leží ta vec na kterou pristupujes (napr. 192.168.88.2 port xxx) pokud tak das 192.168.88.0/24 tak to nepojede.

Tady je priklad funkcniho DSTnatu u klienta ktery ma 1 natovanou verejku na adresu 10.80.37.8 a pristupuje z domu na svoje vlastni kamery po verejce a funguje to. Tzn. neleze z tech kamer provoz až na stroj, kde je provaden nat 1

<--- ia0 -->Výstřižek.PNG<--- ia0 -->

machca

hairpin má ale tu nevýhodu, že pak maskuje všechny adresy za adresu routeru, lepší je si udělat vlastní dns... a do dhcp vyplnit dns

hapi

maskuje jenom ty vnitřní pokud se pravidlo správně nastaví. Z venku maskovat nic nemusí.

beny44

Jak jsem již uvedl někde nahoře v tomto tématu, mám dva web servery za jednou veřejnou IP, používám webproxy a statické DNS.

Z venku vše OK, ale zevnitř nic.

je nějaký způsob, jak to nastavit na web proxi?

Díky za nápady

dwbmb

Můžu zkusit taky pobrečet a požádat o radu? Jsem v tomhle jelito, kdysi před léty jsem si to nakonfiguroval, ale nemůžu si vzpomenout, jak. Taky jsem googlil, ale buď mi to nepomohlo, nebo to to nepočítalo s tím, že mám v LAN dvě zařízení, na které chci přistupovat skrze veřejnou IP: NAS a webkameru. NAS na adrese 192.168.0.10 a kameru na 192.168.0.20

Mám tedy úplný základ pro port forwarding:

/ip firewall nat

add action=masquerade chain=srcnat comment="Default masq" out-interface-list=WAN

add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.0.10 to-ports=80

add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.0.20 to-ports=554(zjednodušeně, těch portů má NAS i kamera víc)

A jak za to zkusím dát cokoli, co jsem vygooglil pro hairpin, tak to neudělá vůbec nic. Firewall pravidla jsem na testování všechny vypnul. Třeba podle Mikortik wiki jsem přidal analogicky:

/ip firewall nat

add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.0.10 protocol=tcp dst-port=80 out-interface-list=LAN action=masquerade

add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.0.20 protocol=tcp dst-port=554 out-interface-list=LAN action=masquerade...ale bez úspěchu :( Co dělám špatně, co přehlížím? Jsem zoufalý. Za pomoc pošlu balík energeťáků

crazyape

Přehlížís můj prizpevek...

Uděláš Dst nat dst adress=verejka dst port=port in interface=LAN(bridge) dst adress=vnitřní adresa dst port =vnitřní port. A pro každý port sólo pravidlo.

kure05

/ip firewall nat

add action=dst-nat chain=dstnat comment="dovnitr pro NAS" dst-address=192.168.10.2 in-interface=WAN to-addresses=192.168.0.10

add action=src-nat chain=srcnat comment="ven pro NAS" out-interface=WAN src-address=192.168.0.10 to-addresses=192.168.10.2

add action=dst-nat chain=dstnat comment="dovnitr pro kameru" dst-address=192.168.10.2 in-interface=WAN to-addresses=192.168.0.20

add action=src-nat chain=srcnat comment="ven pro kameru" out-interface=WAN src-address=192.168.0.20 to-addresses=192.168.10.2

add action=src-nat chain=srcnat comment="maskarada pro vse ostatni" out-interface=WAN src-address=192.168.0.0/24 to-addresses=192.168.10.3

NATovaný veřejky děláme u lidí takhle. S tím, že na rozsah 192.168.0.0/24 je vnitřní síť a 192.168.10.0/24 je rozsah na WANu.

dwbmb

Já se právě snažil všemožně i nemožně vyhnout explicitnímu uvedení vnější IP adresy do pravidla, protože UPC ji sem tam mění. Mezitím jsem ale v novém firmwaru objevil úžasný IP>Cloud, který jsem si pak přidal do address listu a list pak do pravidla místo pevně napsané adresy a už to fičí :

Díky za pomoc každopádně, to se mi tak někdy stane, že se musím nejdřív někoho zeptat, aby mě pak řešení samo prásklo mezi oči.