Не открывается сайт из внутренней сети

Обсуждение ПО и его настройки
Ответить
universe5ht
Сообщения: 15
Зарегистрирован: 02 сен 2019, 10:06

Добрый день!

Просьба помочь решить проблему.

На роутер приходит белый адрес.1.1.1.1, проброшены порты до веб сервера 192.168.1.211. Из интернета на сайт "mysite.ru" попасть можно.
Если попробовать открыть ссылку "mysite.ru" из внутренней сети, то страница не открывается.

Пробовал делать по этой ссылке, не помогло. https://wiki.mikrotik.com/wiki/Hairpin_NAT

Конфиг фаервола пригалаю.

Адреса и домены изменены.

Код: Выделить всё

 /ip firewall filter
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat dst-address=192.168.1.211 dst-port=80 \
    out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment=HTTP dst-address=1.1.1.1 dst-port=\
    80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=80
add action=dst-nat chain=dstnat comment=HTTPS dst-address=1.1.1.1 dst-port=\
    443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=443
add action=dst-nat chain=dstnat comment=ISPManager dst-address=1.1.1.1 \
    dst-port=1500 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    192.168.1.211 to-ports=1500
add action=dst-nat chain=dstnat comment=SMTP dst-address=1.1.1.1 dst-port=\
    25 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=25
add action=dst-nat chain=dstnat comment=SMTPS dst-address=1.1.1.1 dst-port=\
    465 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=465
add action=dst-nat chain=dstnat comment=IMAP dst-address=1.1.1.1 dst-port=\
    143 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=143
add action=dst-nat chain=dstnat comment=IMAPS dst-address=1.1.1.1 dst-port=\
    993 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=993
add action=dst-nat chain=dstnat comment=POP3 dst-address=1.1.1.1 dst-port=\
    110 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=110
add action=dst-nat chain=dstnat comment=POP3S dst-address=1.1.1.1 dst-port=\
    995 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.211 \
    to-ports=995
add action=dst-nat chain=dstnat comment=FTP disabled=yes dst-address=\
    1.1.1.1 dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    192.168.1.211 to-ports=21
add action=dst-nat chain=dstnat comment=FTPS disabled=yes dst-address=\
    1.1.1.1 dst-port=22 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    192.168.1.211 to-ports=22
add action=dst-nat chain=dstnat comment=RDP dst-address=1.1.1.1 dst-port=\
    15000 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.213 \
    to-ports=3389


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Самое правильное, верное и не костыльное решение - перенести сервер в другую подсеть. Благо на Микротике это делается в полтора клика.
Все остальные способы решения или работают криво\не удобно, или подменяют IP адреса клиента в локальной сети.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Хорошим тоном считается подписывать правила фаервола коментариями, что бы другим пользователям было понятно что для чего.
В приведенном примере я не нашел работающих правил HairpinNAT. Все правила для dst-address=1.1.1.1 in-interface=pppoe-out1.
Самое простое решение сделать статическую ДНС запись mysite.ru =192.168.1.211

PS Не нашел правил так как я делаю по другой инструкции. И правило проброса порта у меня работает не только с внешнего интерфейса, а со всех нужных. Несколько раз замечал работающий HairpinNATпри дефолтном конфиге, возможно поправили возможно так звезды сошлись особо не вникал.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
universe5ht
Сообщения: 15
Зарегистрирован: 02 сен 2019, 10:06

Помогло добавить следующее правило

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.211
add action=masquerade chain=srcnat dst-address=192.168.1.211 dst-port=443 protocol=tcp src-address=192.168.1.0/2


Ответить