Страница 1 из 1
Hairpin NAT Mikrotik не получается настроить
Добавлено: 28 июн 2021, 10:54
bigloafer
В локальной сети есть два устройства:
192.168.5.100 - прокси сервер
192.168.5.101 - база данных и ряд приложений для работы с БД.
На первом 192.168.5.100 был проброшен диапазон портов из мира в локальную сеть правилом: chain dst-nat, action dst-nat.
Для того чтобы устройство 192.168.5.100 было доступно для устройства 192.168.5.101 по внешнему статическому адресу, было создано правило chain src-nat action masquerade. Все работает.
Но проблема встала на том, чтобы устройство 192.168.5.101 могло подключиться само к себе по внешнему IP адресу, потому что в конфигах разных приложений указывается именно внешний адрес, и чтобы не лопатить конфиги и не менять ни чего хочется сделать перенаправление.
Все инструкции которые я нашел в сети пишут в конце profit - но profit не получается, так как уже перешел на метод тыка.
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 28 июн 2021, 11:18
xvo
Ну по логике вещей, тогда для этого самого устройства надо сделать исключение в этом hairpin nat правиле, так чтобы запрос приходил не от адреса микротика, а от него самого себе же.
Хотя сама идея гонять трафик для localhost туда и обратно через роутер... ну вы поняли.
Может просто создать на этом устройстве loopback-интерфейс и повесить тоже на него этот внешний IP? :)
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 11:32
MAD-Kuzia
bigloafer писал(а): ↑28 июн 2021, 10:54
В локальной сети есть два устройства:
192.168.5.100 - прокси сервер
192.168.5.101 - база данных и ряд приложений для работы с БД.
...
Но проблема встала на том, чтобы устройство 192.168.5.101 могло подключиться само к себе по внешнему IP адресу, потому что в конфигах разных приложений указывается именно внешний адрес, и чтобы не лопатить конфиги и не менять ни чего хочется сделать перенаправление...
Тогда для 192.168.5.101 нужен свой dst-nat, со своим номером порта и порт-мапом (action dst-nat или action netmap). Если для chain src-nat action masquerade указаны конкретные интерфейсы или dst addr (внешний ip для 5.100 и 5.101 один или разные?) то и еще одно правило для маскарадинга.
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 11:35
xvo
MAD-Kuzia писал(а): ↑29 июн 2021, 11:32
или action netmap
Вот даже интересно, зачем тут может быть нужен netmap?
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 11:44
MAD-Kuzia
xvo писал(а): ↑29 июн 2021, 11:35
MAD-Kuzia писал(а): ↑29 июн 2021, 11:32
или action netmap
Вот даже интересно, зачем тут может быть нужен netmap?
Порт можно и нетмапом прокинуть
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 11:46
xvo
MAD-Kuzia писал(а): ↑29 июн 2021, 11:44
Порт можно и нетмапом прокинуть
Можно, да. Но... зачем?!
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 11:58
MAD-Kuzia
xvo писал(а): ↑29 июн 2021, 11:46
MAD-Kuzia писал(а): ↑29 июн 2021, 11:44
Порт можно и нетмапом прокинуть
Можно, да. Но... зачем?!
С указанием порта, поведение при dst-nat ничем не отличается от netmap, так-же подменяется адрес при обращении к конкретному порту. Раньше во многих мануалах по настройке проброса портов, встречал именно netmap (типа как "улучшеную" версию dst-nat). Хотя сейчас понимаю, что назначение у них разное.
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 12:10
xvo
MAD-Kuzia писал(а): ↑29 июн 2021, 11:58
С указанием порта, поведение при dst-nat ничем не отличается от netmap
По такой логике можно и masquerade использовать вместо src-nat при статическом адресе.
Внешне поведение различаться не будет.
MAD-Kuzia писал(а): ↑29 июн 2021, 11:58
Раньше во многих мануалах по настройке проброса портов, встречал именно netmap (типа как "улучшеную" версию dst-nat).
Вот именно, что этот бред про "улучшенную версию dst-nat" пошёл от какого-то одного особо одаренного писателя "мануалов", а потом это дело растиражировали.
Иначе никому бы и в голову не пришло использовать netmap для проброса портов.
Как результат, оно до сих пор гуляет и по этим "мануалам", и по умам (и конфигам) тех, кто по этим "мануалам" настраивает.
Так что абсолютно незачем продолжать тиражировать мнение, что это абсолютно нормально, и "так тоже можно".
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 12:31
MAD-Kuzia
xvo писал(а): ↑29 июн 2021, 12:10
По такой логике можно и masquerade использовать вместо src-nat при статическом адресе.
Внешне поведение различаться не будет...
Не, в этом случае отличается логика работы кон-трекера, а в случае наличия нескольких маршрутов, работать будет совсем по разному в момент их перестройки.
xvo писал(а): ↑29 июн 2021, 12:10
...Так что абсолютно незачем продолжать тиражировать мнение, что это абсолютно нормально, и "так тоже можно"...
Но ведь правда можно, и каких либо отличий в работе действительно нет
Re: Hairpin NAT Mikrotik не получается настроить
Добавлено: 29 июн 2021, 12:50
xvo
MAD-Kuzia писал(а): ↑29 июн 2021, 12:31
Но ведь правда можно, и каких либо отличий в работе действительно нет
Для пользователя нет, а роутер все равно высчитывает какой адрес в какой "мапить".
Понятно, что не бог весть какая нагрузка.
Но тем не менее это бессмысленное действие.