Ako presmerovat domenu na vnutornu IP adresu cez DNS

Mam siet, kde je branou Mikrotik. V sieti je linuxovy server, kde bezi postovy server. Na DNSku MT mam staticky zaznam, ktory presmerovava posta.firma.sk na IP linuxoveho servera. Zvonku je zabezpeceny vyber posty cez port forwarding na MT.
Mam jeden problem, ze ked ma klient vo firemnej sieti svoje vlastne DNSka na postu sa nedostane, pretoze poziadavka pride na MT, ktory ju uz dalej neposle. Nedava mi to logiku preco, ked vyber posty z vonku cez posta.firma.sk funguje.
Logika mi hovori, ze klient posle poziadavku na napriklad Google DNS, ten mu prelozi adresu a posle ho na verejnu IP MT. MT pride poziadavka na jeho IP a port napriklad IMAP servera, tak by mal presmerovat poziadavku na linux, tak ako to robi, ked pride poziadavka zvonku. No on to nespravi, necha si poziadavku u seba a vytimeoutuje ju.
Nerozumiem preco.
Teda myslel som si, ze rozumiem, poziadavka pride zvnutra, cize pre nu neplatia pravidla dsnat, takze som si spravil pravidlo srcnat, kde som presmeroval IMAP na linux a...a nic.

Předmět	Autor	Datum
pokud má klient ve vnitřní síti DNS server, proč tam nemá soukromou primární doménu pro svou doménu… touchwood 01.07.2015 09:49	touchwood	01.07.2015 09:49
Ved ma, dnsko na MT ma staticky zaznam na danu subdomenu. Problem je ak klient nepouzije dns pridele… fleg 02.07.2015 07:57	fleg	02.07.2015 07:57
v tom případě zakaž DNS forwarding na routeru, případně jej přesměruj na správný DNS server. To není… touchwood 02.07.2015 08:04	touchwood	02.07.2015 08:04
Jasne to je riesenie z hladiska firemnej politiky, ale ja to chcem vyriesit na urovni routingu, pret… fleg 02.07.2015 12:06	fleg	02.07.2015 12:06
no přece protože nemůžeš forwardovat pakety (alespoň ne tímtéž NAT pravidlem) přicházející z druhé s… touchwood 02.07.2015 12:27	touchwood	02.07.2015 12:27
No ved prave, ale zober si akoby to malo ist. Klient sa pyta dns na aku ip sa ma dotazovat. Odpovedo… fleg 02.07.2015 13:58	fleg	02.07.2015 13:58
máš to tam popsané. :-) Problémem je to, že: 1. přes MT se to proroutuje (takže NAPŘED se routuje… touchwood 02.07.2015 14:51	touchwood	02.07.2015 14:51
Nevím, jestli jsem to pochopil úplně přesně, ale nevyřešil by to Hairpin NAT ? TarasBulba 02.07.2015 14:30	TarasBulba	02.07.2015 14:30
vyřešil. ;-) to je to co popisuju výše. touchwood 02.07.2015 14:52	touchwood	02.07.2015 14:52
Ano to je to, co som hladal a co som robil akurat som nerobil maskaradu ale dst-nat (netusim preco).… poslední fleg 02.07.2015 16:39	fleg	02.07.2015 16:39

pokud má klient ve vnitřní síti DNS server, proč tam nemá soukromou primární doménu pro svou doménu s náležitě upravenými A a MX záznamy?

edit: je nesmysl z interní sítě přistupovat na veřejnou IP a forwardovat ji zpět. To fungovat nemůže, leda bys vytvořil jiné redirect pravidlo na vnitřní iface Mktiku. I tak je to ale složité, problém je vhodné řešit tam kde nastal.

Ved ma, dnsko na MT ma staticky zaznam na danu subdomenu.
Problem je ak klient nepouzije dns prideleny z dhcp servera, ale ma vlastny, pretoze potom request na danu subdomenu ide von a vracia sa spat na MT, ktory by ho mal teoreticky presmerovat zase dovnutra, ale nespravi to.
Pritom pokial je klient vonku je uplne jedno ake dns pouzije vsetko funguje.
Pokial je vo vnutri musi pouzit dns z MT inak sa na postovy server nedostane.

v tom případě zakaž DNS forwarding na routeru, případně jej přesměruj na správný DNS server. To není problém sítě, to je problém klienta, který nemá správně nastaven DNS. Analogická situace je např. v případě AD, kdy je pro správnou funkci podmínka použít DNS z AD.

Jasne to je riesenie z hladiska firemnej politiky, ale ja to chcem vyriesit na urovni routingu, pretoze mi nie je jasne, preco to zostane na tom MT v takomto pripade zaseknute.

no přece protože nemůžeš forwardovat pakety (alespoň ne tímtéž NAT pravidlem) přicházející z druhé strany..

edit: zcela explicitně: DNATuje se v PREROUTING, takže pokud se dohrabeš na WAN IP, už jsi prošel routingem.

edit2: http://www.netfilter.org/documentation/HOWTO/NAT-H OWTO-10.html

No ved prave, ale zober si akoby to malo ist.
Klient sa pyta dns na aku ip sa ma dotazovat. Odpovedou mu je wan ip brany. Posle poziadavku na branu a teraz ma dojst k presmerovaniu ip linuxu. Ako vytvorit taketo pravidlo na Mikrotiku?
Prave preto som pouzil srcnat, co je vlastne evivalent postroutingu v tvojom pripade. Ale pravidlo je nefunckne, nechapem, kde robim chybu.
Napriklad toto pravidlo by mi malo presmerovat ping nie?
Ping
chain=srcnat action=src-nat to-addresses=192.168.2.2 protocol=icmp dst-address=172.106.xxx.xxx
a takto som chcel vlastne aj zabalit imap packety cez urcenie protokolu a portu.
No nieco robim zle, viem, ze som blizko spravnemu rieseniu, ale niekde sa fatalne mylim.

Paradoxom je, ze rovnaky problem som riesil asi 4-5 rokov dozadu u zakaznika a spavil to vtedy, ale uz si za toho oneho neviem spomenut, ze ako len sa mi mari, ze cez srcnat.

máš to tam popsané.

Problémem je to, že:

1. přes MT se to proroutuje (takže NAPŘED se routuje a teprve PAK by se aplikovalo pravidlo, což je nesmysl). Musel bys mít další pravidlo na LAN straně, které by chytalo pakety ještě předtím, než by byly proroutovány
2. to ale má za následek to, že klientovi odpoví jiná IP, než posílal paket, takže takovou odpověď zahodí - viz ten link co jsem ti posílal, takže musíš ještě zařídit, aby to šlo vždy přes MT.

Nevím, jestli jsem to pochopil úplně přesně, ale nevyřešil by to Hairpin NAT ?

vyřešil. to je to co popisuju výše.

Ano to je to, co som hladal a co som robil akurat som nerobil maskaradu ale dst-nat (netusim preco). Mea culpa.

Zpět do poradny Odpovědět na původní otázku Nahoru