Помогите- Web server в локалной сети не увидится с его публичного адресса.

Тема в разделе "Маршрутизация", создана пользователем Galin Stoev, 1 дек 2015.

  1. Galin Stoev

    Galin Stoev Новый участник

    Здраствуйте,
    Извините для Руский език и ошибки. Я Болгар.
    Помогите пожалуста с конфигурации за мой MIKROTIK – RB751G-2HnD.Проблем:
    Не могу увидить web server из локалной с его публик адресс www.example.com.
    Что у меня :
    Router Mikrotik– RB751G-2HnD.
    Default gateway : 192.168.88.1
    Automatic раздают Адрессьi.
    За него есть :
    Web server - Связан с рутер с кабел.
    1. IP 192.168.88.254 - динамичной

    2. Laptop- связан с рутер с wi fi

      IP 192.168.88.100 - динамичной

    Web server увидится из внешней сети – интернет – с его публичной аддресс www.example .com. Но когда напишу на laptop(в локалной сети зад рутер)публичной аддресс www.example .com , сайт не откривается. На laptop есть Интернет, откриваем и смотрим Facebook, Google ….но неможем смотреть толька мой web server.

    Помогите пожалуста – какие NAT и Firewallзаписи добавит?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Последнее редактирование модератором: 6 фев 2019
  3. Galin Stoev

    Galin Stoev Новый участник

    Увидел- не работает ....прежде писать сдес я прочитал и попробовал многих такие советов.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Дайте вывод /ip firewall nat export
     
  5. Galin Stoev

    Galin Stoev Новый участник

    Здес вывод /ip firewall nat export :

    dec/02/2015 10:02:31 dhcp,critical,error dhcp-client on ether1-gateway lost IP address 85.11.190.215 - lease expired [admin@MikroTik] > /ipfirewallnatexport # dec/02/2015 19:27:33 by RouterOS 6.33.1 # software id = X8G5-CY5V # /ipfirewallnat addaction=masquerade chain=srcnat comment="default configuration"out-interface=ether1-gateway addaction=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.254 \ to-ports=80
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    И где здесь второй маскарад ? Вы не прочитали документацию на которую я дал ссылку.
    Добавляем
    Код:
    /ip firewall nat 
    add action=masquerade chain=srcnat src-address=192.168.88.0/24 out-interface=bridge-local  
     
  7. Galin Stoev

    Galin Stoev Новый участник

    я поставил премер из ссылку которой Вьi дали и вьiташчил из рутер потому что они не работает. Сейчас попробою ваш пример и надеюсь что рабаботает.
    Спосиба для помощ . Скоро вернусь с резултат.
     
  8. Galin Stoev

    Galin Stoev Новый участник

    1. Я сделел как описано . Патом - Папробовал свезаться (по IP ИМЯ сайта www.example.com/subdomain) через laptop - WIFI и получил :
    Error 404: Page not found

    сделал команду /ip firewall nat и резултат записан внизу:
    [admin@MikroTik] > /ipfirewallnatexport # dec/02/2015 20:41:28 by RouterOS 6.33.1 # software id = X8G5-CY5V # /ipfirewallnat addaction=masquerade chain=srcnat comment="default configuration"\ out-interface=ether1-gateway addaction=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway \ protocol=tcp to-addresses=192.168.88.254 to-ports=80 addaction=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway \ protocol=tcp to-addresses=192.168.88.254 to-ports=80 addaction=masquerade chain=srcnat out-interface=bridge-local \ src-address=192.168.88.0/24 [admin@MikroTik] >

    2. Если поделаю команду из laptop по аддресс локалного web server - 192.168.88.254 страниц появляетсьа но картинки из базу данньiх не появляеться.
    ........ что нада променить ? ....
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Да, невнимательно посмотрел.
    Уберите in-interface из dst-nat. Т.е. у вас должно быть 3 правила. Например внешний адрес 1.1.1.1. Тогда
    Код:
    /ip firewall nat
    add action=masquerade chain=srcnat comment="default configuration"out-interface=ether1-gateway
    add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=192.168.88.254 \
    to-ports=80
    add action=masquerade chain=srcnat src-address=192.168.88.0/24 out-interface=bridge-local 
     
    AlexAl нравится это.
  10. Galin Stoev

    Galin Stoev Новый участник

    Вьi Бог !!!Работает!!!! Большое спосибо Илья. Я остану в форум. Незнаю как отблагодоритсья. Могу помоч форумников с Joomla и Virtuemart customization . HTML customization, компонентов и так дале.
     
  11. web

    web Участник

    Добрый день, Илья.
    У меня похожая ситуация.
    Конфиг дефолтный, но hairpin упорно не работает.
    Вроде и перепровил все, но что-то лыжи не едут.
    Подскажите пожалуйста, куда копать ?

    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    add action=netmap chain=dstnat dst-port=65432 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=65432
    add action=netmap chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=443
    add action=netmap chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=80
    add action=netmap chain=dstnat dst-port=993 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=993
    add action=netmap chain=dstnat dst-port=465 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=465
    add action=netmap chain=dstnat dst-port=143 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=143
    add action=netmap chain=dstnat dst-port=20-21 in-interface=ether1 protocol=tcp to-addresses=192.168.1.105 to-ports=20-21
    add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1
    add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=443 protocol=tcp to-addresses=192.168.0.105 to-ports=443
    add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.1.0/24
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    А Netmap-то зачем? Его ошибочно вместо dst-nat использовать.
    Коннекшины сбрасывали?
     
  13. web

    web Участник

    Ошибся. Согласен. Изменил.
    Да. Конечно. Не работает ((
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Смотрите пакеты снифером и торчем.
    Как вариант у вас блокируется файрволом.
    Дайте вывод /ip firewall filter
     
  15. web

    web Участник

    Все по дефолту.
    Потому и непонятно.

    add action=accept chain=input dst-port=8291 protocol=tcp
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    На последнем правиле дропов нет?
     
  17. web

    web Участник

    нет

    upload_2019-5-12_18-28-4.png
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    а если инвалид отключить?
     
  19. web

    web Участник

    Попробовал откл. оба последних правила - все равно не работает.
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    ОК. На последнем правиле в NAT счетчик рвботает?