После проброса 443 порта не открываются некоторые https

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

До этого создавал тему, модератор очень быстро ее закрыл.
viewtopic.php?f=15&t=6958
опубликованный сервис не доступен с локальной сети.
Сообщение Andrey039 » Сегодня, 19:54
Следующая проблема. Опубликован сервис (проброшен порт на внутренний сервер), например сайт, xxxxxxx.sn.mynetname.net, который извне работает великолепно.
Но отказывается работать с локальной сети при обращении по адресу xxxxxxx.sn.mynetname.net.
Сделал как написано в мануале http://wiki.mikrotik.com/wiki/Hairpin_NAT

При включенных правилах не соединяется с инетом google диск и некоторые сайты работающие по https, но решается проблема "опубликованный сервис не доступен с локальной сети."
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-address=192.168.88.248

192.168.88.248 - локальный сервер.

Весь конфиг проброса портов.
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-address=192.168.88.248
add chain=srcnat out-interface=pppoe-out1 action=masquerade

/ip firewall nat
add chain=srcnat src-address=192.168.88.0/24 \
dst-address=192.168.88.248 protocol=tcp dst-port=443 \
out-interface=bridge action=masquerade


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если бездумно копировать правила, да еще и менять их, так же бездумно, то неудивительно, что перестало работать.
Ваше же первое правило - add chain=dstnat protocol=tcp dst-port=443 action=dst-nat to-address=192.168.88.248, читается как: "все что прилетело микроту, или пытается пролететь через него, с любой стороны, на любой адрес, по порту 443 - перенаправить на хост 192.168.88.248" и после этого вы удивляетесь, что перестал работать https.
А оригинал выглядел так - add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2, читаем как: "все что прилетело микроту на адрес 1.1.1.1, по порту 80, перенаправить на хост 192.168.1.2", чувствуете разницу?


Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

В мануале правило выглядит так
/ip firewall nat
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerade
у меня
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-address=192.168.88.248
add chain=srcnat out-interface=pppoe-out1 action=masquerade

разница в отсутствии у меня dst-addre=1.1.1.1, пи указании dst-addre=ip WAN все замечательно работает, ноу меня динамический IP.
пробовал вместо dst-address=x.x.x.x указать in interface pppoe-out1 , не работает.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Что не работает? Обращение к серверу из локалки? Так оно и не должно, это правило нужно для обращения со стороны интернета. За локалку должно отвечать правило - add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.248 protocol=tcp dst-port=443 out-interface=bridge action=masquerade


Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

да к серверу из локалки норм подключается все по внутреннему ip, проблема в том когда пытаюсь подключиться из локальной сети на локальный сервер через внешний интерфейс xxxxxxx.sn.mynetname.net по доменному имени.
Из вне по доменному тоже все подключается и порты весело пробрасываются без проблем.

Сразу скажу зачем мне это.

в сети развернут OwnCloud, прописываешь в настройках клиента xxxxxxx.sn.mynetname.net все работает при подключении из вне, в локалке не пашет, пропишешь локальный ip сервера то работает только из локалки -что логично.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Да извиняюсь, пока вот в этом правиле - add chain=dstnat protocol=tcp dst-port=443 action=dst-nat to-address=192.168.88.248 не укажете явный дст адрес, а не интерфейс, работать не будет. У вас два варианта, первый, правильный - приобретение услуги постоянного белого IP, второй не совсем правильный но рабочий - поиск или написание скрипта, который будет проверять адрес на внешнем интерфейсе и менять его в правиле фаервола, если он изменился.


Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

мой нат конфиг
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=pppoe-out1


1 chain=dstnat action=dst-nat to-addresses=192.168.88.248 to-ports=443 protocol=tcp in-interface=pppoe-out1 dst-port=443 log=no log-prefix=""
(первое правило отлично работает на проброс с снаружи в внутрь)
2 chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.248 out-interface=bridge dst-port=443 log=no log-prefix=""
(а второе не работает)
Вот ваше правило:
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.248 protocol=tcp dst-port=443 out-interface=bridge action=masquerade
по мне так одно и тоже со 2м


Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

Ок, спасибо за терпение и за то что в googl не отправили как некоторые модераторы. в общем лепить костыль придется))


Andrey039
Сообщения: 0
Зарегистрирован: 12 сен 2016, 20:47

В общем изменил порт 443 на 444, и оставил полное перенаправление всех запросов на 444 на локальный сервер.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Andrey039 писал(а):Ок, спасибо за терпение и за то что в googl не отправили как некоторые модераторы. в общем лепить костыль придется))

Некоторые модераторы к вашему сожалению не умеют читать между строк. Описание в вашем предыдущем топике полностью соответствовало Hairpin NAT, к описанию которого вас и отослали. Если некоторые посетители обладают вышеупомянутым даром, то мне удивительно видеть их здесь. Им бы на форум провидцев.
Слово поиск означает лишь поиск и к гуглу относится лишь опосредованно. На данном форуме достаточно информации о проблеме проброса, новая тема лишь множит сущности.
Правила в верхней части страницы достаточно продуманы и помогают избегать непонимания. Вы же их проигнорировали прямо с первого пункта. И до последнего. Дали описание кусочка проблемы, получили ссылку на решение. Открыли новую тему, обвинив меня при том в небрежении и невнимании. Так может быть лучше к себе присмотреться? И просто признать ошибку, а не искать оправдание собственной....(не могу подобрать корректное определение).


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Закрыто