Forum » Omrežja in internet » Mikrotik in nat
Mikrotik in nat
Mackyb ::
Čau,
sem si omislil mikrotik RB2011UiAS-2HnD-IN in ga zvezal na port1 preko bridge-a na t2 router. Mikrotik je dobil tudi lasten statičen IP. Lan in wifi nastavljen. Ko sem pa nameraval naredit nekaj port fw, pa se zatakne. NAT imam nastavljen na posredovanje porta 80 in 443 na lokani strežnik v LAN-u preko dstnat iz WAN preko bridga, kot je to v navodilih (ločena rula za 80 in 443). Strežnik je priklopljen na switch ta pa na port4 na mikrotiku. Težava je da ni povratnega prometa v kolikor je request iz neta, vidim da pridejo paketi na to routo ampak ostalo se potem na masquarade broadcasta. Dodal še udp pa ni nič boljše. Router je prišel že z default firewall filtri, ki so videt smiselni. Preveril pri t2, ne blokirajo prometa v povratni smeri. Sicer nisem nek znalec ampak na ostalih routerjih to ni bil tak problem kot tukaj. Glede na vse možne poste in moje razumevanje se mi zdi da pravilno razumem koncept in ga poskušam implementirat na znan način. Dva dneva se ubijam s tem, grem pa skoraj stavit da je neka trivialna zadeva (mogoče kakšen filter preveč ali premalo). Ima kdo kako idejo?
Mogoče ločeno vprašanje... wifi signal mikrotika precej niha v hiši in slabo pokriva tudi relativne kratke razdalje (7m), kar se mi zdi malo nenavadno (v primerjavi z dafault telekom routerjem se zdi šibkejši). Se da to kako stabilizirati?
lp, mac
sem si omislil mikrotik RB2011UiAS-2HnD-IN in ga zvezal na port1 preko bridge-a na t2 router. Mikrotik je dobil tudi lasten statičen IP. Lan in wifi nastavljen. Ko sem pa nameraval naredit nekaj port fw, pa se zatakne. NAT imam nastavljen na posredovanje porta 80 in 443 na lokani strežnik v LAN-u preko dstnat iz WAN preko bridga, kot je to v navodilih (ločena rula za 80 in 443). Strežnik je priklopljen na switch ta pa na port4 na mikrotiku. Težava je da ni povratnega prometa v kolikor je request iz neta, vidim da pridejo paketi na to routo ampak ostalo se potem na masquarade broadcasta. Dodal še udp pa ni nič boljše. Router je prišel že z default firewall filtri, ki so videt smiselni. Preveril pri t2, ne blokirajo prometa v povratni smeri. Sicer nisem nek znalec ampak na ostalih routerjih to ni bil tak problem kot tukaj. Glede na vse možne poste in moje razumevanje se mi zdi da pravilno razumem koncept in ga poskušam implementirat na znan način. Dva dneva se ubijam s tem, grem pa skoraj stavit da je neka trivialna zadeva (mogoče kakšen filter preveč ali premalo). Ima kdo kako idejo?
Mogoče ločeno vprašanje... wifi signal mikrotika precej niha v hiši in slabo pokriva tudi relativne kratke razdalje (7m), kar se mi zdi malo nenavadno (v primerjavi z dafault telekom routerjem se zdi šibkejši). Se da to kako stabilizirati?
lp, mac
DamijanD ::
Ravnokar sem si postavil novega RB4011iGS+5HacQ2HnD-IN in sem naredil samo quicksetup (za wifi, ppoe) +
/ip firewall nat
add action=masquerade chain=srcnat comment="HAIRPIN NAT loopback" dst-address=192.168.88.0/24 src-address=192.168.88.0/24 ---- ta rule mora biti povsem prvi in skrbi za to, da lahko tudi lokalen promet z javnim IPjem gre preko NATa
add action=dst-nat chain=dstnat comment="SERVER: 80 - IIS" dst-address=213.250.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.88.xxx to-ports=80
in mi vse dela iz nule
A si preveril a ti do www serverja prideš, če je promet iz zunaj (npr preko telefona brez wifija)?
/ip firewall nat
add action=masquerade chain=srcnat comment="HAIRPIN NAT loopback" dst-address=192.168.88.0/24 src-address=192.168.88.0/24 ---- ta rule mora biti povsem prvi in skrbi za to, da lahko tudi lokalen promet z javnim IPjem gre preko NATa
add action=dst-nat chain=dstnat comment="SERVER: 80 - IIS" dst-address=213.250.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.88.xxx to-ports=80
in mi vse dela iz nule
A si preveril a ti do www serverja prideš, če je promet iz zunaj (npr preko telefona brez wifija)?
Mackyb ::
Najlepša hvala za odgovor. Takoj ko sem videl nat masquarade rule (in mikrotikov default 192.168.88.0 segment) sem se spomnil, da sem ip range premaknil na 192.168.1.xxx segment... takoj ko sem popravil srcnat, je zadeva začela delat. sranje... tako je to k buljiš cel dan v zaslon :P.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Domača mreža hardwareOddelek: Omrežja in internet | 2278 (576) | Invictus |
| » | MikroTik, UPnP, port forwarding, Amis, kamere...Oddelek: Omrežja in internet | 4384 (3911) | Daniel |
| » | Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )Oddelek: Omrežja in internet | 12454 (9734) | Invictus |
| » | MikroTik in default ruleOddelek: Omrežja in internet | 4262 (3499) | nejcsuha |
| » | pppoe+mikrotikOddelek: Omrežja in internet | 3546 (3124) | Senitel |