Доступ из локальной сети по IPCloud к проброшенным портам

Обсуждение ПО и его настройки
Ответить
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через IPCloud. Из интернета все работает норм, например сайт ustim.ru открывается прекрасно. Но как получить к нему доступ просто напросто из локальной сети по этой же ссылке? Например с домашнего ПК (находится в одной сети и имеет адрес 192.168.1.242) если я введу в браузере http://ustim.ru то страница не открывается, а если введу напрямую IP адрес 192.168.1.5 то конечно же открывается нормально.
В лок. сети пинги по IPCloud проходят норм, значит доступ ДО микротика есть, но дальше до сервера маршрут из локальной сети пробиться не может-(
Уже советовали Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется и для этого активирован был IPCloud.

Выручайте! Бьюсь с этой проблемой уже очень давно-( Задавал подобный вопрос на cyberforum.ru, но решения так и не посоветовали.

 Выкладываю конфиг

Код: Выделить всё

/interface bridge
add admin-mac=6C:3B:6B:66:C1:57 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=alterak \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
    Password wpa2-pre-shared-key=Password
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge \
    security-profile=alterak ssid=ALTERAK tx-power=25 tx-power-mode=\
    all-rates-fixed wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.51-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 allow-fast-path=yes connect-to=\
    tp.internet.beeline.ru default-route-distance=1 dial-on-demand=yes \
    disabled=no name=Beeline password=Password profile=default user=\
    Login
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
add address=8.8.8.8 name=google
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list="dns spoofing" \
    address-list-timeout=1h chain=input dst-port=53 in-interface=Beeline \
    protocol=udp
add action=drop chain=input dst-port=53 in-interface=Beeline protocol=udp \
    src-address-list="dns spoofing"
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=Beeline
add action=dst-nat chain=dstnat comment="WS (web)" dst-port=80,443 \
    in-interface=Beeline protocol=tcp to-addresses=192.168.1.5
/ip firewall service-port
set ftp disabled=yes
/ip route
add distance=1 dst-address=77.106.201.221/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.201.222/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.202.0/24 gateway=10.52.8.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl port=444
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".

Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alterak писал(а):
Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".

Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.

Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.

P.S.
А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а):А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?

Это решение временное. Пока проблемы никакой нет, IPCloud обновляется мгновенно.
В управлении зоной днс для домена и поддоменов в качестве IP указана ссылка IPCloud и конечно же Тип выбран CNAME.

Vlad-2 писал(а):Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.

Возможно у меня вообще с правилами сильно намудрено, поскольку при использовании LoopBack у меня не только мой сайт не открывается, но и вообще выход на любые другие сайты пропадает.
Пробовал полностью очищать всю конфигурацию микротика и с чистого листа все маршруты настраивать - в итоге один и тот же результат-( Раньше стоял роутер Zyxel - никаких проблем не было, решил перейти на более продвинутое оборудование - проблемы появились-)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я бы порекомендовал бы
1) сделать копию конфигурации (и оставить её в виде файла, листочка)
2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
4) надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
5) правила в Filter Rules - лучше выключить (на время тестирование)
6) так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
7) шлюз у компов прописан адрес микротика?

P.S.
На счёт Cloud - штука удобная, функциональная, но вот вчера у товарища дома не сработала сразу.
Перегрузились после обновления,он работает, а Cloud - адресацию не обновил. Минут 9-10 подождали,
потом пришлось её отключить, включить, написала что-то про таймаут, и уже второй раз так проделав,
наконец-то получила она (служба) что IP изменился. Так что возможно Hairpin NAT с динамикой и не совместим.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а):7) шлюз у компов прописан адрес микротика?

Нет, на всех устройствах в сети (кроме серверов) адреса получают автоматом.

Vlad-2 писал(а):надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!

Если честно, то про это совсем забыл... попробую еще поиграться с приоритетами.

Vlad-2 писал(а):так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.

Тоже не знал, спасибо за совет... учту.

Vlad-2 писал(а):2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию

Уже есть такой бэкап, где все делало с нуля-). Попробую еще раз все с чистого листа сделать. Спасибо.


alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!

А поделиться, для будущих поколений?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а):
alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!

А поделиться, для будущих поколений?

так я же ссылку указал-)
за данное решение


Ответить