Страница 1 из 1
Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 14:05
alterak
В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через IPCloud. Из интернета все работает норм, например сайт
ustim.ru открывается прекрасно. Но как получить к нему доступ просто напросто из локальной сети по этой же ссылке? Например с домашнего ПК (находится в одной сети и имеет адрес 192.168.1.242) если я введу в браузере
http://ustim.ru то страница не открывается, а если введу напрямую IP адрес 192.168.1.5 то конечно же открывается нормально.
В лок. сети пинги по IPCloud проходят норм, значит доступ ДО микротика есть, но дальше до сервера маршрут из локальной сети пробиться не может-(
Уже советовали Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется и для этого активирован был IPCloud.
Выручайте! Бьюсь с этой проблемой уже очень давно-( Задавал подобный вопрос на cyberforum.ru, но решения так и не посоветовали.
Код: Выделить всё
/interface bridge
add admin-mac=6C:3B:6B:66:C1:57 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=alterak \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
Password wpa2-pre-shared-key=Password
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=alterak ssid=ALTERAK tx-power=25 tx-power-mode=\
all-rates-fixed wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.51-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 allow-fast-path=yes connect-to=\
tp.internet.beeline.ru default-route-distance=1 dial-on-demand=yes \
disabled=no name=Beeline password=Password profile=default user=\
Login
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
add address=8.8.8.8 name=google
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list="dns spoofing" \
address-list-timeout=1h chain=input dst-port=53 in-interface=Beeline \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=Beeline protocol=udp \
src-address-list="dns spoofing"
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=Beeline
add action=dst-nat chain=dstnat comment="WS (web)" dst-port=80,443 \
in-interface=Beeline protocol=tcp to-addresses=192.168.1.5
/ip firewall service-port
set ftp disabled=yes
/ip route
add distance=1 dst-address=77.106.201.221/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.201.222/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.202.0/24 gateway=10.52.8.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl port=444
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 14:27
Vlad-2
Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 14:56
alterak
Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 15:09
Vlad-2
alterak писал(а):Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.
Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.
P.S.А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 15:20
alterak
Vlad-2 писал(а):А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?
Это решение временное. Пока проблемы никакой нет, IPCloud обновляется мгновенно.
В управлении зоной днс для домена и поддоменов в качестве IP указана ссылка IPCloud и конечно же Тип выбран CNAME.
Vlad-2 писал(а):Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.
Возможно у меня вообще с правилами сильно намудрено, поскольку при использовании LoopBack у меня не только мой сайт не открывается, но и вообще выход на любые другие сайты пропадает.
Пробовал полностью очищать всю конфигурацию микротика и с чистого листа все маршруты настраивать - в итоге один и тот же результат-( Раньше стоял роутер Zyxel - никаких проблем не было, решил перейти на более продвинутое оборудование - проблемы появились-)
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 15:54
Vlad-2
Я бы порекомендовал бы
1) сделать копию конфигурации (и оставить её в виде файла, листочка)
2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
4) надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
5) правила в Filter Rules - лучше выключить (на время тестирование)
6) так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
7) шлюз у компов прописан адрес микротика?
P.S.
На счёт Cloud - штука удобная, функциональная, но вот вчера у товарища дома не сработала сразу.
Перегрузились после обновления,он работает, а Cloud - адресацию не обновил. Минут 9-10 подождали,
потом пришлось её отключить, включить, написала что-то про таймаут, и уже второй раз так проделав,
наконец-то получила она (служба) что IP изменился. Так что возможно Hairpin NAT с динамикой и не совместим.
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 07 окт 2017, 18:00
alterak
Vlad-2 писал(а):7) шлюз у компов прописан адрес микротика?
Нет, на всех устройствах в сети (кроме серверов) адреса получают автоматом.
Vlad-2 писал(а):надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
Если честно, то про это совсем забыл... попробую еще поиграться с приоритетами.
Vlad-2 писал(а):так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
Тоже не знал, спасибо за совет... учту.
Vlad-2 писал(а):2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
Уже есть такой бэкап, где все делало с нуля-). Попробую еще раз все с чистого листа сделать. Спасибо.
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 08 окт 2017, 09:27
alterak
Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart
за данное решение!!!
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 08 окт 2017, 11:18
Vlad-2
alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart
за данное решение!!!
А поделиться, для будущих поколений?
Re: Доступ из локальной сети по IPCloud к проброшенным портам
Добавлено: 09 окт 2017, 09:22
alterak
Vlad-2 писал(а):alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart
за данное решение!!!
А поделиться, для будущих поколений?
так я же ссылку указал-)
за данное решение