Hairpin(Reverse NAT)

Обсуждение ПО и его настройки
Ответить
Logart
Сообщения: 4
Зарегистрирован: 20 мар 2013, 08:39

Здравствуйте! Прошу помощи в организации Hairpin'а. Ситуация стандартная Internet -- mikrotik -- subnet(web-server, pc's). Internet -- web-server проблем настроить не возникло, А вот pc's -- web-server ни в какую. Перелопатил большое количество форумов, статей (http://wiki.mikrotik.com/wiki/Hairpin_NAT, http://blog.klimin.net/?p=8, http://gregsowell.com/?p=4242), перепробовал все описанные способы, но ничего кроме static dns не помогает (К сожалению, не вариант под нашу ситуацию) Причина в том что pc ждет пакет (wan-ip - pc), а вместо него в ни куда долбится (web-server - pc). Masqurade насколько я понимаяю должен подменять в пакетах на ip mikrotik'а, но этого (!)возможно не происходит. Есть ли какие ни будь средства диагностики (в какое правило NAT'а упирается пакет, где останавливается) или, может, еще варианты решения проблемы. Заранее прошу прощения если что то написал не по правилам форума или в неудобной форме, это мое первое сообщение.


Logart
Сообщения: 4
Зарегистрирован: 20 мар 2013, 08:39

Способ описанный http://habrahabr.ru/qa/18642/, так же не помог.


Logart
Сообщения: 4
Зарегистрирован: 20 мар 2013, 08:39

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.10 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Если я правильно понимаю, правило NAT, созданное этой командой должно менять адрес источника на локальный адрес mikrotik'а в случае если пакет идет на web-server (192.168.1.10) из подсети. Тогда web-server, получив пакет с источником от mikrotik'а, ответит пакетом с нужными src и dst, соединение должно установится, ан нет...

/ip firewall nat
add chain=srcnat src-address=192.168.1.10 \
dst-address=192.168.1.0/24 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Попробовал наоборот, пакет, направленный с web-server'а в подсеть, при прохождении mikrotik'a получит src mikrotic'а, а значит соединение так же должно установится, облом...

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.0/24 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Казалось бы вариант "верняк" ВСЕ что идет из подсети в подсеть идет через mikrotik с присвоением src mikrotic'а, не тут то было.

Я что то не так понимаю или делаю вообще не то, поделитесь мыслями, пожалуйста.


Gudini
Сообщения: 36
Зарегистрирован: 14 янв 2013, 14:43

dst-nat = внешний ip ресурса (который прописан в ДНС зоне) - поможет ?
т.е. дст-нат =(внешний айпи) дсн-нат на внутренний айпи сервера

Ну и scr-nat = локальные адреса scr-nat = внешний айпи


Logart
Сообщения: 4
Зарегистрирован: 20 мар 2013, 08:39

Настроил еще на той неделе, поленился отписываться, но совесть замучила, вдруг кому поможет.
Перво на перво направил назначенные пакеты из подсети сразу на web-srv,
/ip firewall nat
add chain=dstnat src-address=192.168.1.0/24(sub-net) \
dst-address=WAN-IP protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.1.10(local-ip(web-srv)) to ports=80

Появились первые признаки жизни, по этому правилу шло по 4 пакета при каждом запросе сайта, но без ответа.

Осталось решить как исправить то что Pc ждет web-srv -- pc, а получает local-ip(web-srv) -- pc, а раз уже по тому правилу пакеты идут сразу на сервер, почему бы их уже не снабдить src'ом mikrotika, он уже разберется:
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24(sub-net) \
dst-address=192.168.1.10(local-ip(web-srv)) protocol=tcp dst-port=80 \
action=masquerade
В итоге и src и dst подменены, соединение есть. Удачи всем с настройкой этой загагулины!

P.S.: Работал в winbox'e, в графическом интерфейсе, команды сверху писал по образу и подобию, отображая лишь идею воплощенную в winbox'е, Просьба людей знающих подкорректировать если что не так в синтаксисе.


Ответить