Доступ на внешний интерфейс из локальной сети

@alterak · Регистрация: 08.07.2009

Студворк — интернет-сервис помощи студентам

Уважаемые гуру, выручайте.
В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через DDNS. Все работает норм. Но как получить к нему доступ просто напросто из локальной сети? Можно воспользоваться посредством Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется. Возможно ли пробросить маршрут из локальной сети сразу на интерфейс?

@NoNaMe · 10.07.2017, 20:45

А что мешает создать псевдо адрес на WAN?

@alterak · 11.07.2017, 10:31 **[ТС]**

Сообщение от NoNaMe

А что мешает создать псевдо адрес на WAN?

Если не сложно, нарисуйте примерчик?

@NoNaMe · 12.07.2017, 07:10

Я могу предполагать, что проблема связана с pptp/l2tp dual access. Бездумно копировать то-же плохо.

Code
1
2
/ip dhcp-client option
add code=55 name=parameter_request_list value=0x01F90321062A

0x01F90321062A означает DHCP option 1;249;3;33;6;42. Например Винда(Win7-Win10) умеет получать DHCP option 1,3,6,15,31,33,43,44,46,47,121,249,252
Конкретно:
DHCP.op.1 - NetMask
DHCP.op.3 - Router Option / Default Gateway / Шлюз по умлочанию
DHCP.op.6 - DNS
DHCP.op.33 - Static Route
DHCP.op.42 - NTP
DHCP.op.51 - Lease Time
DHCP.op.58 - Renewal Time
DHCP.op.59 - Rebinding Time
DHCP.op.121 - Classless Static Route
DHCP.op.249 - Microsoft Classless Static Route
Что-бы посмотреть включите:

Code
1
/system logging add topics=dhcp

В логи пойдёт дебаг информация по опциям DHCP.

Например у меня запрашвает 1,15,3,6,44,46,47,31,33,121,249,252,43 (Порядок запроса соблюдён) а получает:
1,3,6,33,121,249,44
Я опускаю, что есть ещё Опции 51-59 и много других.

А попробуйте 0x0103062A2179 или 0x0103062A21F9 интересен результат!

Добавлено через 10 минут
Ксатати если вы владеете английским, то понятную документацию можно взять например у Томсона конкретно AppNote_DHCProuteoptions.pdf
Конкретнее данный мануал включает кратко описанную информацию про RFC2131, RFC2132, RFC3442

@alterak · 12.07.2017, 08:26 **[ТС]**

Сообщение от NoNaMe

А попробуйте 0x0103062A2179 или 0x0103062A21F9 интересен результат!

Спасибо за идею, вечером дома попробую... На данный момент значение выставлено в 0x01F90321062A, но чую оно не работает, поскольку с этим значением появился только 1 дополнительный маршрут. А интернет работает что с ним, что и без него. Пытался подключить кабель напрямую к компу и отследить parameter_request_list, но что-то пошло не так и забросил это дело-)

@NoNaMe · 12.07.2017, 08:41

Сообщение от alterak

А интернет работает что с ним, что и без него.

Значит это не dual access, эта опция лишняя.

Добавлено через 4 минуты
Кстати она какой из данных маршрутов добавляет?

Code
1
2
3
4
/ip route
add distance=1 dst-address=77.106.201.221/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.201.222/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.202.0/24 gateway=10.52.8.1

@alterak · 12.07.2017, 09:00 **[ТС]**

Сообщение от NoNaMe

Кстати она какой из данных маршрутов добавляет?
Код
/ip route
add distance=1 dst-address=77.106.201.221/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.201.222/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.202.0/24 gateway=10.52.8.1

Эти 3 маршрута вручную были добавлены, а какой точно добавляется при вводе параметра не могу сейчас подсказать

@NoNaMe · 12.07.2017, 09:59

А выложите скрин ip cloud

Добавлено через 47 минут
Хотя лучше в приват)

@alterak · 12.07.2017, 11:56 **[ТС]**

Сообщение от NoNaMe

А выложите скрин ip cloud
Добавлено через 47 минут
Хотя лучше в приват)

а ссылка-то для чего? Там кроме ссылки и динамического IP ничего нет-)

@alterak · 31.07.2017, 08:50 **[ТС]**

К сожалению проблема все еще актуальна... может будут еще идеи?

@NoNaMe · 31.07.2017, 11:42

add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5
add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24

@alterak · 31.07.2017, 13:40 **[ТС]**

Сообщение от NoNaMe

add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5
add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24

Вот теперь все норм, спасибо большууущее!

@NoNaMe · 31.07.2017, 13:59

Поправочка:
add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5
add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24 dst-port=2205,80 protocol=tcp

@alterak · 31.07.2017, 14:50 **[ТС]**

Сообщение от NoNaMe

Поправочка:
add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5
add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24 dst-port=2205,80 protocol=tcp

Да по второму правилу я сделал проще... Добавил action=masquerade, а так же для Входящих и Исходящих адресов добавил всю локальную сеть 192.168.1.0/24 без указания портов. Просто мне нужен был доступ из локальной сети через внешний интерфейс не только на 192.168.1.5, а так же и на другие адреса и другие порты.
Еще раз спасибо. Век живи, Век учись-)

@alterak · 18.08.2017, 00:35 **[ТС]**

Как оказалось - вышеуказанная схема так же не работает. В ней открывается доступ из всей локальной сети на адресс 192.168.1.5, но доступ и без данного правила существует.
Мне необходим доступ из локальной сети через ВНЕШНИЙ ИНТЕРФЕЙС на любой адрес локальной сети. Доступ из интернет работает, а из локальной сети по этой же ссылке зайти невозможно.
Вопрос все еще актуален!

@romsan · 18.08.2017, 09:07

alterak, вот тут очень подробно с рисунками разжеван Hairpin NAT. Посмотрите, может что упустили у себя?

@Konev · 18.08.2017, 09:11

romsan, На Packet Flow диаграму бы кинули ссылку.
Ему уже месяц присылают ссылки на конфиги.

@insect_87 · 18.08.2017, 09:59

https://wiki.mikrotik.com/wiki... acket_Flow
да пожалуйста, только смысл?

Сообщение от alterak

Мне необходим доступ из локальной сети через ВНЕШНИЙ ИНТЕРФЕЙС на любой адрес локальной сети. Доступ из интернет работает, а из локальной сети по этой же ссылке зайти невозможно.

а ответ уже дали:

Сообщение от romsan

вот тут очень подробно с рисунками разжеван Hairpin NAT

@alterak · 18.08.2017, 10:28 **[ТС]**

Сообщение от romsan

alterak, вот тут очень подробно с рисунками разжеван Hairpin NAT. Посмотрите, может что упустили у себя?

Да это все понятно, но у меня не постоянный адрес на wan интерфейсе, а динамический! Это же чертов билайн! Я же в теме указал про это

@NoNaMe · 18.08.2017, 10:35

Так что мешает сделать событее на соединение/разоединение и получать ip каждый раз, и маленький скрипт модифицирующий адрес лист?

@alterak · 18.08.2017, 10:43 **[ТС]**

Сообщение от NoNaMe

Так что мешает сделать событее на соединение/разоединение и получать ip каждый раз, и маленький скрипт модифицирующий адрес лист?

А разве более простого способа в супермикротике не предусмотрено? Просто раньше стоял Zyxel Giga2, там вообще никаких проблем с этим не было... Решил перейти на более современное и проф. устройство Mikrotik, и тут начались танцы и обходные пути решения-)

Новые блоги и статьи Все статьи Все блоги /
[golang] Двоичная куча, min-heap alhaos 20.05.2026 Двоичная куча Двоичная куча — структура данных, которая всегда держит самый важный элемент наготове. Представьте очередь к хилеру в игре, и очередь из игроков в приоритете те у кого меньше. . .	[golang] Breadth-First Search alhaos 19.05.2026 BFS (Breadth-First Search) — это базовый алгоритм обхода графа в ширину, который поуровнево исследует все связанные вершины. Он начинает с выбранной точки и проверяет всех соседей, прежде чем. . .	[golang] Алгоритм «Хак Госпера» alhaos 17.05.2026 Алгоритм «Хак Госпера» Хак Госпера (Gosper's Hack) — алгоритм нахождения следующего по величине числа с тем же количеством установленных бит. Придуман Биллом Госпером в 1970-х, опубликован в. . .	Рисование бинарного древа до 6-го колена на js, svg. russiannick 17.05.2026 <svg width="335" height="240" viewBox="0 0 335 240" fill="#e5e1bb"> <style> <!]> </ style> <g id="bush"> </ g> </ svg> function fn(){ let rost;/ / высота древа let xx=165,yy=210,w=256;
FSharp: interface of module DevAlt 16.05.2026 Интерфейс модуля F# позволяет управлять доступностью членов, содержащихся в реализации модуля. По-умолчанию все члены модуля доступны: module Foo let x = 10 let boo () = printfn "boo" . . .	Хитросплетение родственных связей пантеона греческих богов. russiannick 14.05.2026 Однооконник, позволяющий узреть и изучить отдельных героев древней Греции. <!DOCTYPE html> <html lang="ru"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible". . .	[golang] Угол между стрелками часов alhaos 12.05.2026 По заданным значениям часа и минуты необходимо определить значение меньшего угла между стрелками аналогового циферблата часов. import "math" func angleClock(hour int, minutes int) float64 { . . .	Debian 13: Установка Lazarus QT5 ВитГо 09.05.2026 Эта инструкция моя компиляция инструкций volvo https:/ / www. cyberforum. ru/ blogs/ 203668/ 10753. html и его же старой инструкции по установке Lazarus с gtk2. . .

@alterak 11 / 11 / 3 Регистрация: 08.07.2009 Сообщений: 238

	Доступ на внешний интерфейс из локальной сети 09.07.2017, 07:52. Показов 9789. Ответов 51 Метки mikrotik (Все метки) Уважаемые гуру, выручайте. В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через DDNS. Все работает норм. Но как получить к нему доступ просто напросто из локальной сети? Можно воспользоваться посредством Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется. Возможно ли пробросить маршрут из локальной сети сразу на интерфейс? 0

@NoNaMe Модератор 2622 / 759 / 164 Регистрация: 10.06.2009 Сообщений: 2,982
	10.07.2017, 20:45
	А что мешает создать псевдо адрес на WAN? 0

@NoNaMe Модератор 2622 / 759 / 164 Регистрация: 10.06.2009 Сообщений: 2,982
	12.07.2017, 09:59
	А выложите скрин ip cloud Добавлено через 47 минут Хотя лучше в приват) 0

@alterak 11 / 11 / 3 Регистрация: 08.07.2009 Сообщений: 238
	31.07.2017, 08:50 [ТС]
	К сожалению проблема все еще актуальна... может будут еще идеи? 0

@NoNaMe Модератор 2622 / 759 / 164 Регистрация: 10.06.2009 Сообщений: 2,982
	31.07.2017, 11:42
	Сообщение было отмечено NoNaMe как решение Решение add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5 add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24 0

@NoNaMe Модератор 2622 / 759 / 164 Регистрация: 10.06.2009 Сообщений: 2,982
	31.07.2017, 13:59
	Поправочка: add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 protocol=tcp to-addresses=192.168.1.5 add action=masquerade chain=srcnat dst-address=192.168.1.5 src-address=192.168.1.0/24 dst-port=2205,80 protocol=tcp 1

@alterak 11 / 11 / 3 Регистрация: 08.07.2009 Сообщений: 238
	18.08.2017, 00:35 [ТС]
	Как оказалось - вышеуказанная схема так же не работает. В ней открывается доступ из всей локальной сети на адресс 192.168.1.5, но доступ и без данного правила существует. Мне необходим доступ из локальной сети через ВНЕШНИЙ ИНТЕРФЕЙС на любой адрес локальной сети. Доступ из интернет работает, а из локальной сети по этой же ссылке зайти невозможно. Вопрос все еще актуален! 0

@romsan 5880 / 2223 / 475 Регистрация: 17.10.2015 Сообщений: 9,422
	18.08.2017, 09:07
	alterak, вот тут очень подробно с рисунками разжеван Hairpin NAT. Посмотрите, может что упустили у себя? 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	18.08.2017, 09:11
	romsan, На Packet Flow диаграму бы кинули ссылку. Ему уже месяц присылают ссылки на конфиги. 0

@NoNaMe Модератор 2622 / 759 / 164 Регистрация: 10.06.2009 Сообщений: 2,982
	18.08.2017, 10:35
	Так что мешает сделать событее на соединение/разоединение и получать ip каждый раз, и маленький скрипт модифицирующий адрес лист? 0

Доступ на внешний интерфейс из локальной сети

Решение