Veřejná IP, přesměrování portu na mikrotiku
Ahoj,
odešel mi můj dlouholetý linksys a rozdhodl jsem se pořídit si jako náhradu mikrotik RB952Ui.
Mé prvky jsou zpaojeny následnovně: mikrotik providera (který má na sobě veřejnou ip, nemám přástup) - můj mktk (přidělena privátní IP na rozhraní s mktk providera) - počítače + klienti na wifi.
Vše se mi na něm povedlo nastavit, jak jsem potřeboval, jen mě trápí přesměrování veřejné IP, ktreou mám od isp.
Můj prvek sice odstane vždy nějakou privátní ip adresu, nicméně porty jsou na prvku providera přesměrovány. Na původním linksysu stačilo nastavit přesměrování portů na konkrétní IP (např. virtuálu s CentOSem), přidělenou DHCP / nastavenou staticky. Vše fungovalo a "zvenku" jsem se připojil přes ssh, dostal na ftp atd.
Pokud jsem správně pochopil, v mikrotiku by se to mělo dělat přes Firewall - NAT a tam přes NAT rule "dstnat", kde se do Dst. Address vyplní veřejná IP. Bohužel toto nefunguje - vždy se přenes jen pár paketů na rozhraní (jak vidím přes winbox), ale pak mi to hodí timeout. Porty atd. ve virutálu povolené mám, z lokální sítě se na různé služby (ssh, http) normálně dostanu.
Pokud by někdo poradil, bych bych velmi vděčný
Majkl
dstnat nestačí, musíš zavést ještě srcnat, aby zařízení vědělo, kam má poslat odpověď.
Ne, srcnat ne. To je nesmysl. Zařízení snad má jako výchozí bránu tento router.
Překládat "veřejnou" adresu je blbost, protože ten mirkotik žádnou veřejnou nemá. Tu má poskytovatelův router. Ty musí překládát "z" té adresy, kterou má mikrotik smerem k tomu druhému mikrotiku a na kterou (snad) je přesměrovaný provoz z té veřejné.
Ano, to jsem si říkal taky. Jenže situace, kdy do dst.adress v dstnat chainu dám tu veřejku, je jediná kdy něco přibyde v počítadle paketů/bytů.
Ať už jsem se zkoušel připojit na http server (80), tak ssh (22), jediný stav kdy prošel nějaký paket, byl při nastavené veřejce 94.XX...
V pravidlech firewallu mikrotiku může být něco špatně?
Pravidlo "drop all from wan" snad zahazuje všechny příchozí pakety z ether1? Mělo by být až na konci, až se zpracujou všechny ostatní pravidla.
Na svým MTK (taky s veřejnou adresou) mám pravidlo:
(všimni si že nemám zadanou adresu)
a:
chodí mi to dobře.
Díky za tip, mírně pomohlo :).
Divný teď je, že se teď na tu veřejku 94.XXX dostanu zevnitř, ale zvenku (např. z mobilního připojení) ne (no route to host).
Zmíněná pravidla firewallu jsem zkoušel disbalovat, ale chová se to v tomto stále stejně.
Zkus zkontrolovat v MT v IP->Routes, jestli máš statickou routu 0.0.0.0/0 přes rozhraní ether1. Ale spíš tuším zradu v tom, že veřejná IP je přesměrovaná providerem na jednu konkrétní vnitřní IP, kterou dostával ten linksys na základě svojí MAC (nebo ji měl natvrdo nastavenou). Teď máš nastopro jinou vnitřní IP a tím pádem požadavky zvenčí jsou posílány někam dopryč. Zkus zjistit IP, kterou měl Linksys na WANu a tu nastav staticky na WAN mikrotiku.
Tak nakonec pomohlo nastavit, jak bylo uvedeno mia (díky!).
Nefungovalo to pak jen kvůli "drobnosti" - poskytovatel na prvku nastavil přesměrování na jednu konrkétní ip, která byla nastavena staticky. Takže stačilo změnit mac adresu wan na mém mikrotiku a vše již běží - můžete označit jako vyřešeno, děkuju za tipy.
kua než jsem to dopsal, tak jsi mě předběhl...