mikrotik nat-redirect auf lokalen von lokalen

Ich bin mit Mikrotik 750GL und ich habe so ein problem:

Habe ich subnet 10.0.0.0/16

Router hat local ip 10.0.0.1 und external ip (e.g. 1.1.1.1)

Ich vorn paar ports auf meine lokale hosts (e.g. firewal nat dst-nat 1.1.1.1:444 -> 10.0.0.2:80)

Wenn ich auf 1.1.1.1:444 aus dem internet, bekomme ich Zugang zu meinen web-server auf 10.0.0.2, aber
wenn ich auf 1.1.1.1:444-from-LAN (z.B. 10.0.0.3), klebte ich auf das laden der Seite.

Verstehe ich, dass 10.0.0.2 kann die Antwort auf 10.0.0.3 nur von switch-routing, und ich Band es zu beheben durch neue src-nat-Regel wie 10.0.0.0/16 -> 2.2.2.2, aber alles geht gut

Wo habe ich Fehler?

InformationsquelleAutor red | 2013-11-23

  1. 4

    Ihre Frage nicht geben ein vollständiges Bild von der situation,
    die Exporte aus der Konsole wäre nützlich.

    Die einfache Nutzung von src-nat-und dst-nat unterstützt werden müssen,Anschluss-mark, dann können Sie maskerade Verkehr von der lokalen IP-Adressen Ihrer spezifisch lokalen ip mit einige Netzwerk-service.

    Im Beispiel:

    [admin@MikroTik] > ip address export
/ip address
add address=1.1.1.1/24 disabled=no interface=ether1-gateway network=1.1.1.0
add address=10.0.0.1/24 disabled=no interface=ether2-master-local network=10.0.0.0

[admin@MikroTik] > ip firewall mangle export
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no dst-address=1.1.1.1 dst-port=444 new-connection-mark=int_to_444 passthrough=no protocol=tcp src-address=10.0.0.0/24

[admin@MikroTik] > ip firewall nat export
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=1.1.1.1 dst-port=444 protocol=tcp to-addresses=10.0.0.2 to-ports=80
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway
add action=masquerade chain=srcnat connection-mark=int_to_444 disabled=no

    Können Sie sehen, dass Mangle-Regel Markierungen Verbindung (int_to_444), die angesprochen werden, von einem lokalen Subnetz zu 1.1.1.1:444 letzten Nat-Regel masquerade dieses connection-mark. Erklärung von ähnlichen Betrug ohne mikrotik

    Grüße, ich hoffe, es wird nützlich sein.

    Vielen Dank! Das ist die Antwort, die ich suchte. Aber deine Lösung benötigt, um eine weitere hinzuzufügen Mangle-Regel jedes mal, wenn Sie eine NAT-Regel. Ich machte masquerade Regel von allen lokalen auf alle lokalen ip-Adressen. Es erhöht die CPU-Last auf dem router, aber es wird keinen Grund zum hinzufügen von speziellen Regeln für lokale Arbeitspläne

    InformationsquelleAutor Mr. NoNe

  2. 0

    hier Ihre situation:

    1. sendet der client ein Paket mit einer Quell-IP-Adresse 10.0.0.3 zu einer Ziel-IP-Adresse 1.1.1.1 port tcp/444 auf Anfrage einige web-Ressource.

    2. den router destination-Nat das Paket auf 10.0.0.2 und ersetzt die IP-Zieladresse in dem Paket entsprechend. Die Quell-IP-Adresse bleibt die gleiche: 10.0.0.3.

    3. der server antwortet auf die Anfrage. Aber die Quell-IP-Adresse der Antrag ist auf dem gleichen Subnetz wie der server. Der web-server nicht senden die Antwort zurück an den router, sondern schickt ihn direkt zurück auf 10.0.0.3 mit einer Quell-IP-Adresse in der Antwort der 10.0.0.2.
      Die Lösung ist masquerade-Datenverkehr vom lokalen Subnetz 10.0.0.0/16, die Ausgänge aus lan-Schnittstelle mit der Sommerzeit-Adresse 10.0.0.2.

    Beispiel

    /ip firewall nat
add chain=srcnat src-address=10.0.0.0/16 \
  dst-address=10.0.0.2 protocol=tcp dst-port=80 \
  out-interface=LAN action=masquerade

    Ist hier die details über diese situation https://wiki.mikrotik.com/wiki/Hairpin_NAT

    InformationsquelleAutor Александр Лысенко

Schreibe einen Kommentar