В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через IPCloud. Из интернета все работает норм, например сайт ustim.ru открывается прекрасно. Но как получить к нему доступ просто напросто из локальной сети по этой же ссылке? Например с домашнего ПК (находится в одной сети и имеет адрес 192.168.1.242) если я введу в браузере http://ustim.ru то страница не открывается, а если введу напрямую IP адрес 192.168.1.5 то конечно же открывается нормально.
В лок. сети пинги по IPCloud проходят норм, значит доступ ДО микротика есть, но дальше до сервера маршрут из локальной сети пробиться не может-(
Уже советовали Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется и для этого активирован был IPCloud.
Выручайте! Бьюсь с этой проблемой уже очень давно-( Задавал подобный вопрос на cyberforum.ru, но решения так и не посоветовали.
Доступ из локальной сети по IPCloud к проброшенным портам
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
alterak писал(а):Vlad-2 писал(а):Попробуйте ТОЛЬКО для правил Hairpin NAT Вашу локальную сеть (откуда Вы заходите) объявить как "внешнюю".
Если можно, чуть подробнее, использовать входящий интерфейс в качестве LAN? Пробовал - ошибка при сохранении настроек.
Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.
P.S.
А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Vlad-2 писал(а):А как Вы в будущем планируете давать доступ к сайту при динамическом адресе, тем более что он может
меняться при каждой сессии? Не проще уже сейчас для сайта и для подключения взять в аренду статический адрес?
Это решение временное. Пока проблемы никакой нет, IPCloud обновляется мгновенно.
В управлении зоной днс для домена и поддоменов в качестве IP указана ссылка IPCloud и конечно же Тип выбран CNAME.
Vlad-2 писал(а):Сложно давать конкретику, сделайте так, что когда приходят запросы с Вашей локальной сети, и именно
на 80 порт веб-сервера, то, чтобы они попадали в эти правила и расценивались как будто это внешние запросы.
Возможно удобнее будет создать отдельный адрес-лист, туда добавить локальные адреса(кому нужен доступ на сайт),
и уже этот адрес-лист использовать явно в правилах Hairpin NAT.
Возможно у меня вообще с правилами сильно намудрено, поскольку при использовании LoopBack у меня не только мой сайт не открывается, но и вообще выход на любые другие сайты пропадает.
Пробовал полностью очищать всю конфигурацию микротика и с чистого листа все маршруты настраивать - в итоге один и тот же результат-( Раньше стоял роутер Zyxel - никаких проблем не было, решил перейти на более продвинутое оборудование - проблемы появились-)
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я бы порекомендовал бы
1) сделать копию конфигурации (и оставить её в виде файла, листочка)
2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
4) надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
5) правила в Filter Rules - лучше выключить (на время тестирование)
6) так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
7) шлюз у компов прописан адрес микротика?
P.S.
На счёт Cloud - штука удобная, функциональная, но вот вчера у товарища дома не сработала сразу.
Перегрузились после обновления,он работает, а Cloud - адресацию не обновил. Минут 9-10 подождали,
потом пришлось её отключить, включить, написала что-то про таймаут, и уже второй раз так проделав,
наконец-то получила она (служба) что IP изменился. Так что возможно Hairpin NAT с динамикой и не совместим.
1) сделать копию конфигурации (и оставить её в виде файла, листочка)
2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
4) надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
5) правила в Filter Rules - лучше выключить (на время тестирование)
6) так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
7) шлюз у компов прописан адрес микротика?
P.S.
На счёт Cloud - штука удобная, функциональная, но вот вчера у товарища дома не сработала сразу.
Перегрузились после обновления,он работает, а Cloud - адресацию не обновил. Минут 9-10 подождали,
потом пришлось её отключить, включить, написала что-то про таймаут, и уже второй раз так проделав,
наконец-то получила она (служба) что IP изменился. Так что возможно Hairpin NAT с динамикой и не совместим.
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Vlad-2 писал(а):7) шлюз у компов прописан адрес микротика?
Нет, на всех устройствах в сети (кроме серверов) адреса получают автоматом.
Vlad-2 писал(а):надо учитывать и иметь ввиду, что правила внутри файрвола - имеют приоритет,
кто выше, тот сработает раньше. ЭТО важно!
Если честно, то про это совсем забыл... попробую еще поиграться с приоритетами.
Vlad-2 писал(а):так как DST цепочка срабатывает раньше (согласно схеме прохождения пакетов внутри микротиков)
то разумнее правила DST делать выше, а маскарадинг после них.
Тоже не знал, спасибо за совет... учту.
Vlad-2 писал(а):2) обнулить роутер, сделать его чистым БЕЗ загрузки пре-конфигурации
3) и уже на чистый роутер руками забить конфигурацию
Уже есть такой бэкап, где все делало с нуля-). Попробую еще раз все с чистого листа сделать. Спасибо.
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!
А поделиться, для будущих поколений?
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Vlad-2 писал(а):alterak писал(а):Все сбросил и сделал все заново, результат нулевой. Но на вашем форуме нашел решение... Огромное спасибо Logart за данное решение!!!
А поделиться, для будущих поколений?
так я же ссылку указал-)
за данное решение