Помогите пробросить 80 порт к веб-серверу на Synology

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
OGA
Сообщения: 0
Зарегистрирован: 24 сен 2016, 16:44

Всем здравствуйте!
Сразу оговорюсь:
1. Микротик использую впервые.
2. Знания об устройстве сети - самые начальные.
3. Форум и другие ресурсы гуглил.

Что есть (распишу подробно):
1. Интернет от Онлайм (DHCP), IP белый динамический.
2. Дальше стоит свитч, к которому приходит кабель от интернет-розетки, от него провода: к роутеру и PS4 (чтобы на ней был NAT1).
3. Роутер Mikrotik hap ac, RouterOS 6.37(начальная конфигурация по умолчанию).
4. К роутеру подключены проводами:
ether1 - wan (кабель от свитча)
ether2-master - NAS Synology DS713+ (DSM 6) - IP Static 192.168.88.150
ether3 - TV Samsung
ether4 - Mediaplayer Dune
ether5 - свободен

На Синолоджи поднят веб-сервер (порты 80, 443), доступ из локальной сети в веб-серверу есть, все работает.
В службе DDNS Synology зарегистровано имя и присвоен адрес myname.synology.me

Что нужно:
Получить доступ к веб-серверу из Интернет.

Что сделано:
1. Изучена процедура проброса портов в микротике.
2. Порт 80 проброшен на локальный адрес 192.168.88.150
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.150 to-ports=80
3. Вот настройки файервола (там все по умолчанию, кроме третьей записи - это я пытался разрешить форвард на 80 порт :-):, так как это не помогло, правило отключено )
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=forward disabled=yes dst-address=192.168.88.150 \
dst-port=80 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
4. То что на 80 порту в микротике висит веб интефейс роутера знаю (см. ниже мои экспериметы)

Предпринятые попытки и результаты:
1. Если ничего трогать - при введении myname.synology.me попадаю на веб морду микротика.
2. Если отключаю сервис www или меняю его порт с 80 на другой - страница не доступна.
3. В файерволе отключал и удалял все правила - результат тот же.

Что-то мне подсказывает, что в файерволе надо что-то прописать.

Спасибо!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если отключить все правила фаерволла, то ничего нового прописать в него точно не надо. :-):
1. Шлюзом на микротике точно микротик??? Должен быть микротик. В синологи тоже есть фаерволл, там надо проверить, на всякий случай.
2. Как вы проверяете? Пытаетесь подключиться по доменному имени с компа из локальной сети??? Так не получится, нужно дополнительно настраивать микротик. Функция называется hairpin nat.
3. Вам провайдер выдает белый IP? Если серый, то доступ из внешнего интернета невозможен, даже если доменное имя вам синологи выдал.


OGA
Сообщения: 0
Зарегистрирован: 24 сен 2016, 16:44

gmx
Спасибо!
Действительно пытался подключиться по доменному имени с компа из локальной сети. Отключил wi-fi на телефоне и сразу попал на веб-сервер.
В принципе, это то, что нужно в итоге, но hairpin nat "покурю" для общего развития.
Ох сколько мне еще интересного предстоит узнать :-)


Ответить