Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Mikrotik ip zewnetrzne nie nie widoczne z wewnatrz w środowiskach vlan

18 May 2016 21:51 1542 10
  • Level 8  
    Witam,

    Mam pewien problem dotyczący mikrotika. Mianowicie mam strukturę następującą.
    Na bramie mikrotik z trunkowany jednym portem z cisco. Stworzonych jest kilka vlanów. Jeden z Vlanów X ma adresacje 192.168.0.0/24. Bramą dla tej sieci oczywiscie jest mikrotik 192.168.0.254. Posiadam w tym Vlanie X zabbixa pod adresacją 192.168.0.70.

    Problem polega na tym że:

    zwykły dst nat z zewnątrz do wewnątrz działa. czyli jak ktoś odpytuje adres zewnetrzny 2.2.2.2 po porcie 8081 to wbija na adres 192.168.0.70 na port 80.

    za to wewnątrz vlanu x jak próbuje wywołać adresacje zewnątrzną 2.2.2.2 to nie działa przekierowanie. Doczytywałem na forach ponieważ do tej pory konfigurowałem wiele routerów w tym Firtigate-y i nie spotkałem się z takim problem. Wyczytałem że należy zrobić cos na zasadzie maskowania lanu ( vlan x) samego siebie.

    Wiem że jest wiele wątków poruszanych na forum ale nie wyszukałem w środowiskach vlan.

    Próbowałem następujący wpis i wiele podobnych:

    ip firewall nat
    add chain=srcnat src-address=192.168.0.0/24 \
    dst-address=192.168.0.70 protocol=tcp dst-port=80 \
    out-interface=Vlan x action=masquerade

    Co robie źle? czy ktoś jest w stanie to wytłumaczyć? miał z tym styczność?
  • Level 16  
    Poczytaj o Hairpin nat w Mikrotiku bo to jest problemem
  • Level 8  
    Właśnie ze strony mówiącej o Hairpin NAT wziąłem regułkę NAT.
    strona: http://wiki.mikrotik.com/wiki/Hairpin_NAT

    Niestety nadal nie działa...

    Jedynie co mnie różni od konfiguracji ze strony mikrotika to to że ja u siebie nie maskuje wszystkich vlanów na ether-WAN tylko jest reguła mówiąca o tym że dla każdego z VLANów jest oddzielny src nat na ether-WAN.
    No ale to nie powinno mieć znaczenia...
  • Level 43  
    zamiast masq użyj src-nat

    add action=src-nat chain=srcnat dst-address=10.228.0.0/16 \
    out-interface=vlan1 src-address=10.228.0.0/16 to-addresses=10.228.10.10

    10.228.10.10 to jest IP routera na vlan1
  • Level 8  
    Ustawione

    add action=src-nat chain=srcnat dst-address=192.168.0.70 \
    out-interface=vlanX src-address=192.168.0.0/24 to-addresses=192.168.0.254

    do tego dodatkowo porty
    src-port 8081
    dst-port 80

    O to chodziło? jeżeli tak to nadal nie działa ;p
    daje zestawienie z nata po wpisaniu powyższej komendy.

    0 ;;; ....:::::::::::::::::: XXXX:::::::.......
    chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1-gateway- SUPERMEDIA log=no log-prefix=""

    1 chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=1723 protocol=tcp dst-address=212.x.x.x dst-port=1723 log=yes log-prefix=""

    2 chain=dstnat action=dst-nat to-addresses=192.168.0.74 to-ports=80 protocol=tcp dst-address=212.x.x.x dst-port=80 log=no log-prefix=""

    3 ;;; Zabbix przekierowanie
    chain=dstnat action=dst-nat to-addresses=192.168.0.70 to-ports=80 protocol=tcp dst-address=212.x.x.x dst-port=8081 log=no log-prefix=""

    4 chain=srcnat action=src-nat to-addresses=192.168.0.254 to-ports=80 protocol=tcp src-address=192.168.0.0/24 dst-address=192.168.0.70 out-interface=VLAN 10 src-port=8081

    już zgłupiałem od tych reguł i może gdzieś popełniam głupi błąd...
  • Level 43  
    Spróbuj ustawić to jako 1sza regułę.
  • Level 20  
    Witam,

    Proponuje spróbować tego rozwiązania:


    1. Pierwsza reguła przekierowuje ruch wychodzący na 2.2.2.2:8081 do prywatnego IP: 192.168.0.70:80

    add action=dst-nat chain=dstnat dst-address=2.2.2.2 dst-port=8081 in-interface=vlanX protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.70 to-ports=80


    2. Druga reguła NAT-uje przekierowany ruch:
    add action=src-nat chain=srcnat out-interface=vlanX src-address=192.168.0.0/24 to-addresses=2.2.2.2

    Pozdrawiam,
    Slawek
  • Level 8  
    Niestety ale:
    -ustawienie tego jako pierwsze reguły nie działa
    -wpisy z posta wyżej od "slawi" też nie działa...

    daje printa z NAT-a

    ;;; ZABBIX
    0 chain=dstnat action=dst-nat to-addresses=192.168.0.70 to-ports=80 protocol=tcp dst-address=2.2.2.2 dst-port=8081 log=yes log-prefix=""

    1 chain=dstnat action=dst-nat to-addresses=192.168.0.70 to-ports=80 protocol=tcp src-address=192.168.0.0/24 dst-address=2.2.2.2 in-interface=VLAN 10 dst-port=8081
    log=no log-prefix=""

    2 chain=srcnat action=src-nat to-addresses=2.2.2.2 src-address=192.168.0.0/24 out-interface=VLAN 10 log=no log-prefix=""

    Nie mogłem w zeszłym tygoniu ogarniac tematu bo miałem wdrożenie ale teraz wróciłem do żywych... brak mi pomysłu. Ogólnie wydaje mi się że to co pisał Slawi juz kiedyś robiłem ale przy tylu regułach nie jestem pewien.
  • Level 20  
    Witam,

    Spróbuj bez portów 8081 i 80. Zostaw te pola puste i próbuj łączyć się po porcie 80.

    Firewall nie blokuje połączeń?

    Pozdrawiam!
  • Level 8  
    nie mogę tak zrobić bo już coś działa po porcie 80... i przekierowanie jest 80 do 80.
  • Level 19  
    Wywal interfejs z regułki maskarady i ruszy. Chyba, że do czegoś tego potrzebujesz (np. działa hotspot). Pozostałe reguły też wtedy będziesz mógł wywalić(poza oczywiście przekierowaniami).