Доброго времени суток! Помогите разобраться с проблемой. Имеется Mikrotik с белым ip 2.2.2.2, за ним находится сервер с гипервизором esxi с локальным ip 192.168.88.249. Хочу достучаться до сервера пока по вебу на порты 80, 443, но настройка файрвола и фильтров ни к чему не привела. Подсткажите, пожалуйста, чего я не учел.
Ниже настройка НАТ (пробросил порты 80, 443)
[root@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-wan
1 ;;; esxi
chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=80 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=80
2 ;;; esxi_https
chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=443 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=443
Фильтры (разрешил проходящий трафик по портам 80, 443 и перенес правила повыше 2 и 3 в списке):
[root@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 chain=forward action=accept protocol=tcp dst-port=80
3 chain=forward action=accept protocol=tcp dst-port=443
4 ;;; default configuration
chain=input action=accept connection-state=related
5 ;;; default configuration
chain=input action=accept in-interface=ether1-wan
6 ;;; default configuration
chain=forward action=accept connection-state=established
7 ;;; default configuration
chain=forward action=accept connection-state=related
8 ;;; default configuration
chain=forward action=drop connection-state=invalid
9 chain=forward action=accept out-interface=ether1-wan
Не видно сервер по http за Mikrotik
-
kukuruku11
- Сообщения: 4
- Зарегистрирован: 08 фев 2016, 18:45
Готов заплатить за потраченное время тому, кто поможет разобраться с настройкой и расскажет, как получить доступ извне на ESXI хосты через микротик. Почта для связи cpkiov@gmail.com
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Если бы хорошо поискали по форуму, нашли бы тему, которая поднималась буквально на днях. Пробросить 80 и 443 порты не получится пока на них висит вэбморда микротика. Смените порт вэбмоды микротика на отличный от 80 и 443 и пробрасывайте эти порты себе на здоровье.
З.Ы. только что проверил на себе, все пробросилось.
З.Ы. только что проверил на себе, все пробросилось.
-
kukuruku11
- Сообщения: 4
- Зарегистрирован: 08 фев 2016, 18:45
Спасибо за ответ. Да, забыл указать что стандартный порт вебморды управления сменил
[root@MikroTik] /ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 800
3 ssh 22
4 X www-ssl 443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 none
Однако, это никак не повлияло на доступность вебстраницы esxi.
[root@MikroTik] /ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 800
3 ssh 22
4 X www-ssl 443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 none
Однако, это никак не повлияло на доступность вебстраницы esxi.
-
gmx
- Модератор
- Сообщения: 3295
- Зарегистрирован: 01 окт 2012, 14:48
Я уже устал писать одно и тоже.
1. Port Mapping на Микротике работает и работает хорошо, проверено. И это аксиома.
В простейшем случае:
2. Микротик должен быть обязательно шлюзом на сервере, на который пробрасывается трафик. Убеждаемся, что на порту WAN в Микротике тот IP адрес, который вам выдал провайдер и он БЕЛЫЙ! (С серым тоже можно, но нужно четко понимать, что делаете.)
3. Временно отключаем ВСЕ правила Firewall Filters.
4. Правила NAT делаем как можно общими, не указываем In и Out интерфейсы. Когда все заработает добавите все, что нужно.
5. Отключаем на сервере антивирусы, фаерволлы и так далее. Убеждаемся, что из локальной сети порты работают.
6. Пробрасываем по портам не только TCP, но и UDP трафик. Хотя бы временно.
7. Проверку работы port mapping выполняем не из локальной сети, обращаясь по внешнему адресу, а из реального интернета, например, с мобильного. Чтобы можно было обращаться из локальной сети по внешнему адресу нужно настраивать Hairpin NAT.
Если ничего не получается, то прокручиваем страницу ниже и нажимаем на баннер, и тогда осознание простоты процесса приходит через деньги, хотя вы это уже и сами предложили.
1. Port Mapping на Микротике работает и работает хорошо, проверено. И это аксиома.
В простейшем случае:
2. Микротик должен быть обязательно шлюзом на сервере, на который пробрасывается трафик. Убеждаемся, что на порту WAN в Микротике тот IP адрес, который вам выдал провайдер и он БЕЛЫЙ! (С серым тоже можно, но нужно четко понимать, что делаете.)
3. Временно отключаем ВСЕ правила Firewall Filters.
4. Правила NAT делаем как можно общими, не указываем In и Out интерфейсы. Когда все заработает добавите все, что нужно.
5. Отключаем на сервере антивирусы, фаерволлы и так далее. Убеждаемся, что из локальной сети порты работают.
6. Пробрасываем по портам не только TCP, но и UDP трафик. Хотя бы временно.
7. Проверку работы port mapping выполняем не из локальной сети, обращаясь по внешнему адресу, а из реального интернета, например, с мобильного. Чтобы можно было обращаться из локальной сети по внешнему адресу нужно настраивать Hairpin NAT.
Если ничего не получается, то прокручиваем страницу ниже и нажимаем на баннер, и тогда осознание простоты процесса приходит через деньги, хотя вы это уже и сами предложили.
-
kukuruku11
- Сообщения: 4
- Зарегистрирован: 08 фев 2016, 18:45
gmx писал(а):Я уже устал писать одно и тоже.
1. Port Mapping на Микротике работает и работает хорошо, проверено. И это аксиома.
В простейшем случае:
2. Микротик должен быть обязательно шлюзом на сервере, на который пробрасывается трафик. Убеждаемся, что на порту WAN в Микротике тот IP адрес, который вам выдал провайдер и он БЕЛЫЙ! (С серым тоже можно, но нужно четко понимать, что делаете.)
3. Временно отключаем ВСЕ правила Firewall Filters.
4. Правила NAT делаем как можно общими, не указываем In и Out интерфейсы. Когда все заработает добавите все, что нужно.
5. Отключаем на сервере антивирусы, фаерволлы и так далее. Убеждаемся, что из локальной сети порты работают.
6. Пробрасываем по портам не только TCP, но и UDP трафик. Хотя бы временно.
7. Проверку работы port mapping выполняем не из локальной сети, обращаясь по внешнему адресу, а из реального интернета, например, с мобильного. Чтобы можно было обращаться из локальной сети по внешнему адресу нужно настраивать Hairpin NAT.
Если ничего не получается, то прокручиваем страницу ниже и нажимаем на баннер, и тогда осознание простоты процесса приходит через деньги, хотя вы это уже и сами предложили.
Спасибо за ответ.
Ваши рекомендации выполнил еще до публикации темы на форуме. Примерно знал, что делать, но наверняка чего-то не учел.
Думаю, нужно поменять путь получени белого адреса от провайдера и все будет ок. сейчас я нахожусь еще за натом провайдера, хочу органиховать впн. до конца недели разберусь и отпишу тут. Всем ответишим большое спасибо