В локальной сети есть два устройства:
192.168.5.100 - прокси сервер
192.168.5.101 - база данных и ряд приложений для работы с БД.
На первом 192.168.5.100 был проброшен диапазон портов из мира в локальную сеть правилом: chain dst-nat, action dst-nat.
Для того чтобы устройство 192.168.5.100 было доступно для устройства 192.168.5.101 по внешнему статическому адресу, было создано правило chain src-nat action masquerade. Все работает.
Но проблема встала на том, чтобы устройство 192.168.5.101 могло подключиться само к себе по внешнему IP адресу, потому что в конфигах разных приложений указывается именно внешний адрес, и чтобы не лопатить конфиги и не менять ни чего хочется сделать перенаправление.
Все инструкции которые я нашел в сети пишут в конце profit - но profit не получается, так как уже перешел на метод тыка.
Hairpin NAT Mikrotik не получается настроить
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну по логике вещей, тогда для этого самого устройства надо сделать исключение в этом hairpin nat правиле, так чтобы запрос приходил не от адреса микротика, а от него самого себе же.
Хотя сама идея гонять трафик для localhost туда и обратно через роутер... ну вы поняли.
Может просто создать на этом устройстве loopback-интерфейс и повесить тоже на него этот внешний IP? :)
Хотя сама идея гонять трафик для localhost туда и обратно через роутер... ну вы поняли.
Может просто создать на этом устройстве loopback-интерфейс и повесить тоже на него этот внешний IP? :)
Telegram: @thexvo
-
- Сообщения: 4
- Зарегистрирован: 09 мар 2021, 18:02
Тогда для 192.168.5.101 нужен свой dst-nat, со своим номером порта и порт-мапом (action dst-nat или action netmap). Если для chain src-nat action masquerade указаны конкретные интерфейсы или dst addr (внешний ip для 5.100 и 5.101 один или разные?) то и еще одно правило для маскарадинга.bigloafer писал(а): ↑28 июн 2021, 10:54 В локальной сети есть два устройства:
192.168.5.100 - прокси сервер
192.168.5.101 - база данных и ряд приложений для работы с БД.
...
Но проблема встала на том, чтобы устройство 192.168.5.101 могло подключиться само к себе по внешнему IP адресу, потому что в конфигах разных приложений указывается именно внешний адрес, и чтобы не лопатить конфиги и не менять ни чего хочется сделать перенаправление...
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 4
- Зарегистрирован: 09 мар 2021, 18:02
С указанием порта, поведение при dst-nat ничем не отличается от netmap, так-же подменяется адрес при обращении к конкретному порту. Раньше во многих мануалах по настройке проброса портов, встречал именно netmap (типа как "улучшеную" версию dst-nat). Хотя сейчас понимаю, что назначение у них разное.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
По такой логике можно и masquerade использовать вместо src-nat при статическом адресе.
Внешне поведение различаться не будет.
Вот именно, что этот бред про "улучшенную версию dst-nat" пошёл от какого-то одного особо одаренного писателя "мануалов", а потом это дело растиражировали.
Иначе никому бы и в голову не пришло использовать netmap для проброса портов.
Как результат, оно до сих пор гуляет и по этим "мануалам", и по умам (и конфигам) тех, кто по этим "мануалам" настраивает.
Так что абсолютно незачем продолжать тиражировать мнение, что это абсолютно нормально, и "так тоже можно".
Telegram: @thexvo
-
- Сообщения: 4
- Зарегистрирован: 09 мар 2021, 18:02
Не, в этом случае отличается логика работы кон-трекера, а в случае наличия нескольких маршрутов, работать будет совсем по разному в момент их перестройки.
Но ведь правда можно, и каких либо отличий в работе действительно нет
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва