Russian Users MikroTik | Форум пользователей MikroTik

Добрый день, форумчане помоги решить один вопрос.
Суть проблемы:
Есть локальная сетка в ней сервачок (порты 80 и 443) до недавнего времени требовался только 80 порт , но теперь нужен и 443. Ip белый (в примере левый) и привязан к dns имени, на сервачке поднят один сервис с ssl сертификатом.
Проблема в следующим если заходить по доменному имени на сервис c ssl то заходит только, когда люди не в локалке находятся (то бишь не в подсети 192.168.1.0/24) только порт 443, если люди по 80 порту общаются но проблем не возникает (могут и с локалки и из дома) хотя правила настраивал одинаковые, да и в iptables правил на сервачке нету.

Пример конфига nat

Код: Выделить всё

ip firewall nat print
......
......
......
 ;;; defconf: masquerade
      	  chain=srcnat action=masquerade out-interface=pppoe-wan1 log=no 
	  chain=srcnat action=masquerade out-interface=pppoe-wan2 log=no 

;; WEB 
 
      	  chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=443 log=no
  	  chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=80 log=no log-prefix="" 
 
;;; Hairpin
	  chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=92.168.1.119 src-port="" dst-port=80 log=no 
      log-prefix="" 
	  chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.119 dst-port=443 log=no 
......
......
......

systemn17088 писал(а): ↑18 апр 2018, 11:28 Пример конфига nat

Проверьте еще правила forward.

algerka писал(а): ↑18 апр 2018, 15:57
systemn17088 писал(а): ↑18 апр 2018, 11:28 Пример конфига nat
Проверьте еще правила forward.

Привет, вот цепочка forward и на данный момент, пока 2-ой wan порт (ppoe-wan2) отключен

Код: Выделить всё

 ip firewall mangle print chain=forward 

D chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1441-65535 
D chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1441-65535 

D ;;; special dummy rule to show fasttrack counters
      chain=forward 

;;; 2 wan rules
      chain=forward action=mark-connection new-connection-mark=wan1-con passthrough=yes in-interface=pppoe-wan1 log=no 
      chain=forward action=mark-connection new-connection-mark=wan2-con passthrough=yes in-interface=pppoe-wan2 log=no

хм, попробовал прокинуть 8080 порт тоже не вышло, возможно только один веб порт на один сервак можно через hairpin обрабатывать, завтра на другом серваке попробую, но мне кажется это дикостью.

хм, очень интересно если два порта посадить на одно правило , то срабатывает , тему можно закрыть

Код: Выделить всё

	;;; WEB 
chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=80,443 log=no log-prefix=""
	;;; Hairpin
chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.119 src-port="" dst-port=80,443 log=no  log-prefix=""

Russian Users MikroTik | Форум пользователей MikroTik

Hairpin 443 ssl

Hairpin 443 ssl

Re: Hairpin 443 ssl

Re: Hairpin 443 ssl

Re: Hairpin 443 ssl

Re: Hairpin 443 ssl