Hairpin 443 ssl

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
systemn17088
Сообщения: 8
Зарегистрирован: 18 апр 2018, 11:03

Добрый день, форумчане помоги решить один вопрос.
Суть проблемы:
Есть локальная сетка в ней сервачок (порты 80 и 443) до недавнего времени требовался только 80 порт , но теперь нужен и 443. Ip белый (в примере левый) и привязан к dns имени, на сервачке поднят один сервис с ssl сертификатом.
Проблема в следующим если заходить по доменному имени на сервис c ssl то заходит только, когда люди не в локалке находятся (то бишь не в подсети 192.168.1.0/24) только порт 443, если люди по 80 порту общаются но проблем не возникает (могут и с локалки и из дома) хотя правила настраивал одинаковые, да и в iptables правил на сервачке нету.

Пример конфига nat

Код: Выделить всё

ip firewall nat print
......
......
......
 ;;; defconf: masquerade
      	  chain=srcnat action=masquerade out-interface=pppoe-wan1 log=no 
	  chain=srcnat action=masquerade out-interface=pppoe-wan2 log=no 

;; WEB 
 
      	  chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=443 log=no
  	  chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=80 log=no log-prefix="" 
 
;;; Hairpin
	  chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=92.168.1.119 src-port="" dst-port=80 log=no 
      log-prefix="" 
	  chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.119 dst-port=443 log=no 
......
......
......


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

systemn17088 писал(а): 18 апр 2018, 11:28 Пример конфига nat
Проверьте еще правила forward.


Александр
systemn17088
Сообщения: 8
Зарегистрирован: 18 апр 2018, 11:03

algerka писал(а): 18 апр 2018, 15:57
systemn17088 писал(а): 18 апр 2018, 11:28 Пример конфига nat
Проверьте еще правила forward.
Привет, вот цепочка forward и на данный момент, пока 2-ой wan порт (ppoe-wan2) отключен

Код: Выделить всё

 ip firewall mangle print chain=forward 

D chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1441-65535 
D chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1441-65535 

D ;;; special dummy rule to show fasttrack counters
      chain=forward 

;;; 2 wan rules
      chain=forward action=mark-connection new-connection-mark=wan1-con passthrough=yes in-interface=pppoe-wan1 log=no 
      chain=forward action=mark-connection new-connection-mark=wan2-con passthrough=yes in-interface=pppoe-wan2 log=no 


systemn17088
Сообщения: 8
Зарегистрирован: 18 апр 2018, 11:03

хм, попробовал прокинуть 8080 порт тоже не вышло, возможно только один веб порт на один сервак можно через hairpin обрабатывать, завтра на другом серваке попробую, но мне кажется это дикостью.


systemn17088
Сообщения: 8
Зарегистрирован: 18 апр 2018, 11:03

хм, очень интересно если два порта посадить на одно правило , то срабатывает , тему можно закрыть

Код: Выделить всё

	;;; WEB 
chain=dstnat action=dst-nat to-addresses=192.168.1.119 protocol=tcp dst-address=80.284.39.28 dst-port=80,443 log=no log-prefix=""
	;;; Hairpin
chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.119 src-port="" dst-port=80,443 log=no  log-prefix="" 



Ответить