Mikrotik od zera – Przekierowanie portów #03
Przekierowanie portów
Jak pamiętasz ze wstępu konfigurujemy router Mikrotika do pracy w małym biurze. Nasze biuro wyposażone jest w kilka kamer oraz rejestrator. Naszym zadaniem jest przekierowanie portów, tak, aby rejestrator był widoczny z zewnątrz. Z bocznego memu wybieramy IP->Firewall i przechodzimy na zakładkę NAT. Znakiem plusa dodajemy nowy wpis. Rejestrator posiada statyczny adres IP 10.10.0.100 oraz nasłuchuje na domyślnym porcie tcp 8000. W nowym oknie uzupełniamy:
- Dst. Address: jeżeli mamy kilka publicznych adresów IP, możemy wskazać precyzyjnie na jaki adres ma zostać przekierowany port. W naszym przypadku mamy jeden adres, dlatego to pole może zostać puste.
- Protocol: wskazujemy w zależności od rodzaju usługi, w tym przypadku wybieramy tcp
- Dst. Port: 8000
- Action: dst-nat
- To Addresses: 10.10.0.100, czyli adres rejstratora
- To Ports: 8000
Hairpin NAT
W niektórych przypadkach zwykłe przekierowanie portów, to za mało. Problem pojawia się w kiedy będą podłączony do sieci lokalnej chcemy podłączyć się do rejestratora używając publicznego adresu IP, czyli skorzystać z utworzonego wcześniej przekierowania. Niestety bez zastosowania tak zwanego Hairpin Nat, nie będziemy w stanie podłączyć się do rejestratora. Rozwiązaniem jest dodanie kolejnej reguły w Firewallu. Ponowanie przechodzimy na IP->Firewall, zakładka NAT i dodajemy nowy wpis. Uzupełniamy pola:
- Src. Address:podajemy adres lokalnej podsieci
- Dst. Address:podajemy adres routera, z włączonym wykrzyknikiem, który spowoduje, iż reguła zostania zastosowana dla wszystkich adresów oprócz adresu routera
- Action:maskarada
Reguły w Firewallu przetwarzane są z górny na dół, dlatego bardzo ważne jest, aby nowa reguła Hairpin NAT była pod główną reguła z maskaradą.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6
Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+
A jak powinna wyglądać konfiguracja dla hairpin NAT gdy mamy dwa VLAN’y w sieci?
Dzięki wielkie za Hairpin NAT straciłem na to 2 dni 😀
Trzeba czytać artykuły do końca !
W odniesieniu do powyzszego tematu prosze o pomoc: nie mam stalego adresu IP ( Neostrada z FunBoxem ) dlatego prosze o pomoc jak skonfigurowac router na publiczne IP i jak w tym celu wykorzystac ddns ( moze z No-IP)
Przygotowuje na ten temat materiał. Niedługo pojawi się na blogu i yt
Fajny post, ale kiepsku pomysł z upublucznianiem wideorejestratora do internetu. Sprawny informatyk szybko wejdzie Ci na rejestrator i kto wie co dalej może się wydarzyć. Dlatego takie usługi jak zdalny dostęp do widerejestratora należy wystawiać za pomocą VPN-a, dobrze jakbyś taką uwagę umieścił w poście.
Czasami nie ma innej opcji, ale dzięki za uwagę:)
A czy przy przekierowaniu portów nie powinno być w General->Chain->dstnat, a nie srcnat? Mnie przynajmniej z srcnat Mikrotik wyrzuca błąd… I drugie pytanie co z portami wykorzystywanymi przez rejestrator do komunikacji z chmurą lub ddns-em producenta rejestratora/kamery? Przy „zwykłych” routerach zwykle pomaga włączenie upnp, albo otwieranie wszystkich portów widocznych w zakładce „porty” w konfiguracji rejestratora. Niestety w skrajnych przypadkach pomagało tylko włączenie DMZ dla adresu rejestratora.
I jeszcze jedno pytanie. Router jest skonfigurowany dla dwóch sieci – LAN(np. 192.168.1.0/24) biura i monitoring(192.168.6.0/24). Z każdej sieci jest dostęp do internetu – NAT skonfigurowany. Jak zapewnić widoczność rejestratora dajmy na to z adresem 192.168.5.50 i zmienionym portem www na 8080 z sieci LAN?
Srcnat jest dla adresów źródłowych, czyli np. jak masz kilka publicznych adresów, i chciałbyś, aby konkretne lokalne IP(np. 192.168.0.10) wychodziło dedykowanym adresem publicznym, to chain ustawiamy na srcnat. W przypadku DDNSa, to jest tak, że rejestrator łączy się do chmury, także nic na MT nie powinieneś ustawiać. Zostaw rejestrator w podsieci monitoringu, i zrób Hairpin NAT.
Własnie zaczynam przygodę z microtikiem. Dziękuje za dawkę wiedzy.
Ciesze się, że materiały są przydatne.
Mam problem z trzema mikrotik’ami. Mimo zaimplementowania tych samych reguł dotyczących przekierowania portów (NAT) na trzech wymienionych nie działają (v6.35 vs. v6.49). Nie wiem dlaczego tak się dzieje?
a czy jakieś pakiety pojawiają się na tych regułach?
W moim przypadku po włączniu reguły Hairpin NAT Kiedy próbuję połączyć się z moim wifi pojawia się captive portal z ekranem logowania do mojego nasa którego chciałem wywalić na zewnątrz po przez mynetname.net
Troszke jeszcze pogrzebałem …
Mój konfig wygląda następująco
0 chain=dstnat action=dst-nat to-addresses=192.168.0.80 to-ports=80 protocol=tcp
dst-address-list=MyDDNS in-interface=pppoe-out1 in-interface-list=WAN dst-port=80 log=no
log-prefix=””
1 chain=srcnat action=masquerade src-address=192.168.0.0/24 dst-address=!192.168.0.1 log=no
log-prefix=””
Ale mimo wszystko nie działa – Prawdopodobnie powodem jest niepubliczny adres po stronie WAN