нет доступа к ресурсу по внешнему адресу изнутри

Обсуждение ПО и его настройки
Ответить
Валентина
Сообщения: 44
Зарегистрирован: 10 авг 2012, 13:44
Откуда: Самара

27 ноя 2012, 10:47

Доброго дня!

Может я не по адресу обращаюсь, но вдруг кто невооруженным глазом заметит в чем косяк:)
Имеется Микротик с NATом и внешним статическим адресом, также извне проброшен порт (80). Так вот извне и из VPN ресурс доступен по внешнему адресу, а внутри - только по внутреннему. Остановка файрвола на ресурсе ситуацию не меняет. Я так понимаю МТ должен сначала делать SNAT, потом DNAT? или сразу форвардить на внешний адрес? вообще должно работать?

Спасибо


Аватара пользователя
Dragon_Knight
Сообщения: 1684
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

27 ноя 2012, 12:49

Всё верно.
Если не хотите заморочек и топоров, то обращайтесь по внутренним адресам, или пропишите в DNS микротика правильные записи.
Если хотите топоры, то суть в том, что нужно маскарадить LAN eht, исключая адрес самого сервера.
Пример моих топоров:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.10-192.168.0.99
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.101
add action=masquerade chain=srcnat disabled=no out-interface=Main-Bridge src-address=192.168.0.102

Где 192.168.0.100 - HTTP сервер.

Минус таких топоров в том, что все запросы внутри сети будут идти от адреса микротика.



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Валентина
Сообщения: 44
Зарегистрирован: 10 авг 2012, 13:44
Откуда: Самара

28 ноя 2012, 14:15

Благодарю за подсказку, сделаю через ДНС


Ответить