Przekazywanie portów z sieci wewnętrznej do sieci wewnętrznej (szpilka NAT)

16

Z powodzeniem skonfigurowałem przekierowanie portów na routerze Mikrotik, który tłumaczy każde żądanie przechodzące na adres IP WAN na porcie 8844 (powiedzmy: 20.20.20.22:8844) mikrotik na lokalny adres IP i ten sam port.

Ponieważ mam nazwę DNS dla adresu IP WAN (20.20.20.22), chciałbym, aby ta reguła działała również z sieci wewnętrznej:

192.168.111.77 -> 20.20.20.22:8844 -> 192.168.111.2:8844

Znalazłem stronę internetową Mikrotik opisującą tę sytuację: http://wiki.mikrotik.com/wiki/Hairpin_NAT Ale nie byłem w stanie osiągnąć tego samego.

Oto zrzut ekranu reguły

wprowadź opis zdjęcia tutaj

To tylko częściowy ekran drukowania, ale wszystko inne nie jest ustawione (puste).

EDYCJA: reguła przekierowania portów i klasyczna maskarada na routerze wygląda następująco:

/ip firewall nat
add chain=dstnat in-interface=ether1-gateway protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844
add chain=srcnat out-interface=ether1-gateway action=masquerade
Joudicek Jouda
źródło

Odpowiedzi:

16

Rozwiązaniem jest przepisanie przekierowania portów w taki sposób, aby nie używać bramki in-interface = ether1 , ale dst-address-type = local :

/ip firewall nat
add chain=dstnat dst-address-type=local protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844

Następnie dodaj NAT spinki do włosów, jak określono w oryginalnym poście:

/ip firewall nat
add chain=srcnat src-address=192.168.111.0/24 \
  dst-address=192.168.111.2 protocol=tcp dst-port=8844 \
  out-interface=bridge-local action=masquerade
Joudicek Jouda
źródło
Nie mogę tego uruchomić, jeśli korzystam z mostu. Jakieś pomysły?
pcunite,
@pcunite: właśnie przetestowałem to z mostem lokalnym RouterOS 6.24 + i działa idealnie!
lifeofguenter
@JoudicekJouda Postępowałem również zgodnie z instrukcjami na wiki wiki.mikrotik.com/wiki/Hairpin_NAT, ale nigdy nie mówiono, że używają dst-address-type = local w regule przekierowania portów zamiast in-interface = ether1-gateway . Zastanawiam się, dlaczego to robi różnicę?
Jonathan Komar
0

Nat Masquerade 192.168.111.0/24 do 192.168.111.0/24 działa to dla wszystkich usług jednocześnie. nie określaj interfejsów ani portu. port wewnętrzny musi być taki sam jak port zewnętrzny.

użytkownik721084
źródło
1
Witamy w Super User! Twoja odpowiedź może zostać ulepszona poprzez podanie nieco bardziej szczegółowych informacji na temat jej implementacji, szczególnie dla tych, którzy mogą być nowi w danym systemie.
Mówię: Przywróć Monikę