Доброго дня!
Может я не по адресу обращаюсь, но вдруг кто невооруженным глазом заметит в чем косяк:)
Имеется Микротик с NATом и внешним статическим адресом, также извне проброшен порт (80). Так вот извне и из VPN ресурс доступен по внешнему адресу, а внутри - только по внутреннему. Остановка файрвола на ресурсе ситуацию не меняет. Я так понимаю МТ должен сначала делать SNAT, потом DNAT? или сразу форвардить на внешний адрес? вообще должно работать?
Спасибо
нет доступа к ресурсу по внешнему адресу изнутри
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Всё верно.
Если не хотите заморочек и топоров, то обращайтесь по внутренним адресам, или пропишите в DNS микротика правильные записи.
Если хотите топоры, то суть в том, что нужно маскарадить LAN eht, исключая адрес самого сервера.
Пример моих топоров:
Где 192.168.0.100 - HTTP сервер.
Минус таких топоров в том, что все запросы внутри сети будут идти от адреса микротика.
Если не хотите заморочек и топоров, то обращайтесь по внутренним адресам, или пропишите в DNS микротика правильные записи.
Если хотите топоры, то суть в том, что нужно маскарадить LAN eht, исключая адрес самого сервера.
Пример моих топоров:
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.10-192.168.0.99
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.101
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.102
Где 192.168.0.100 - HTTP сервер.
Минус таких топоров в том, что все запросы внутри сети будут идти от адреса микротика.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 44
- Зарегистрирован: 10 авг 2012, 13:44
- Откуда: Самара
Благодарю за подсказку, сделаю через ДНС