Доступ на внешний интерфейс из локальной сети

@alterak · Регистрация: 08.07.2009

Студворк — интернет-сервис помощи студентам

Уважаемые гуру, выручайте.
В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через DDNS. Все работает норм. Но как получить к нему доступ просто напросто из локальной сети? Можно воспользоваться посредством Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется. Возможно ли пробросить маршрут из локальной сети сразу на интерфейс?

@Konev · 09.07.2017, 16:46

alterak, используйте Hairpin NAT совместно с адрес листом

@alterak · 09.07.2017, 17:43 **[ТС]**

Сообщение от Konev

используйте Hairpin NAT совместно с адрес листом

Если можно, киньте пример

Добавлено через 15 секунд

Сообщение от Konev

используйте Hairpin NAT совместно с адрес листом

Если можно, киньте пример

@Konev · 09.07.2017, 18:02

alterak,
add action=masquerade chain=srcnat out-interface=LAN dst-address=10.0.0.100 \
dst-address-list="external-name" dst-port=80 protocol=tcp src-address=10.0.0.0/24

Так выглядит адрес лист
ip firewall address-list add address=my.host.ru list=external-name

@alterak · 09.07.2017, 21:03 **[ТС]**

Сообщение от Konev

add action=masquerade chain=srcnat out-interface=LAN dst-address=10.0.0.100 \
dst-address-list="external-name" dst-port=80 protocol=tcp src-address=10.0.0.0/24
Так выглядит адрес лист
ip firewall address-list add address=my.host.ru list=external-name

к сожалению данная схема не сработала
Домен - home.ustim.ru
Адрес сервера - 192.168.1.5

@Konev · 09.07.2017, 21:17

alterak, значит неправильно делаете.
Во первых, корректно ли у вас работает dst-nat ?
Во вторых, какой интерфейс у вас является интерфейсом внутренней сети, то есть шлюзом по умолчанию ?

@alterak · 09.07.2017, 21:29 **[ТС]**

Сообщение от Konev

Во первых, корректно ли у вас работает dst-nat ?

вроде корректно, несколько других правил для проброса портов к серверу отрабатывает верно.

Сообщение от Konev

Во вторых, какой интерфейс у вас является интерфейсом внутренней сети, то есть шлюзом по умолчанию ?

1 порт (ether1-ext) к провайдеру
В бридже вся локальная сеть, со 2-5 порты + wlan

@Konev · 09.07.2017, 21:44

Значит в нат правиле меняйте ether1 на бридж

@alterak · 09.07.2017, 21:46 **[ТС]**

Сообщение от Konev

Значит в нат правиле меняйте ether1 на бридж

-) конечно же пробовал, ничего не меняется.

@Konev · 09.07.2017, 21:54

Полный конфиг выкладывайте. Ip адреса. Фильтр правила' нат и манго если ечть

@insect_87 · 10.07.2017, 08:10

сервисы типа:
dynDNS
no-ip

@Konev · 10.07.2017, 08:21

insect_87, у него уже есть DDNS, он не может разобраться с NAT.
В терминологии Микротика Hairpin NAT - доступ к локальному устройству через белый IP адрес.

@romsan · 10.07.2017, 09:00

Помнится, разбирали данную тему тыц (блин, когда же люди научатся пользоваться поиском!?)
Там, insect_87, давал ссыль как это работает на миркотиках тыц
Почитайте...

@alterak · 10.07.2017, 10:05 **[ТС]**

Сообщение от romsan

Помнится, разбирали данную тему тыц (блин, когда же люди научатся пользоваться поиском!?)
Там, insect_87, давал ссыль как это работает на миркотиках тыц
Почитайте...

Это все уже прочитано, перечитано и перегулено на несколько раз. Везде указывается ТОЛЬКО белый ip. В этом вся и проблема, потому что у меня динамический адрес и проброс нужно делать не на определенный белый IP а на интерфейс, либо на домен.
У меня создан поддомен, к которому привязан IP Cloud.

Сообщение от Konev

Полный конфиг выкладывайте. Ip адреса. Фильтр правила' нат и манго если ечть

Вечером буду дома и скину, поскольку не хочется проводить удаленные эксперименты-)

@NoNaMe · 10.07.2017, 11:54

Про основной вопрос, c интерфейса, на адрес:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-ext protocol=tcp to-addresses=192.168.1.5

2-ое првило в NAT что вы этим хотели сделать? Оно скорее всего неработает. Кто является шлюзом по умолчанию?

Тут отступление, про MasterPort и Bridge:
Вы скорее всего хотите управлять унутри своего сегмента сети, и для этого создали бридж. Тогда вам необходимо:
/interface bridge settings set use-ip-firewall=yes

Добавлено через 7 минут
С динамическим адресом на WAN борятся через ip-cloud. Получите доменное имя аля:
XXXXXXXXXXXX.sn.mynetname.net
Что позволит забиндить через CNAME в упровляемой доменной зоне.

Добавлено через 6 минут
Если вам необходимо поднять dynDNS для локальных адресов. Такое возможно сделать написав небольшой скрипт.
А на клиенской машине через MikroTik API обновлять DNS записи.

Добавлено через 2 минуты
Если Вам необходим редирект по URI, то вам поможет hotspot или webproxy.

@alterak · 10.07.2017, 12:27 **[ТС]**

Сообщение от NoNaMe

Про основной вопрос, c интерфейса, на адрес:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-ext protocol=tcp to-addresses=192.168.1.5

мне нужно наоборот с адреса (точнее со всей сети) НА интерфейс.

Сообщение от NoNaMe

2-ое првило в NAT что вы этим хотели сделать? Оно скорее всего неработает. Кто является шлюзом по умолчанию?

второе правило для того, что бы был доступ в сеть провайдера. Шлюзом является сам микрот 192.168.1.1

Сообщение от NoNaMe

Тут отступление, про MasterPort и Bridge:
Вы скорее всего хотите управлять унутри своего сегмента сети, и для этого создали бридж. Тогда вам необходимо:
/interface bridge settings set use-ip-firewall=yes

Можно чуть подробнее с этими настройками для бриджа? что-то не могу найти их...

Сообщение от NoNaMe

С динамическим адресом на WAN борятся через ip-cloud. Получите доменное имя аля:
XXXXXXXXXXXX.sn.mynetname.net
Что позволит забиндить через CNAME в упровляемой доменной зоне

Именно так и сделано, я писать чуть выше об этом.

Сообщение от NoNaMe

Если вам необходимо поднять dynDNS для локальных адресов. Такое возможно сделать написав небольшой скрипт.
А на клиенской машине через MikroTik API обновлять DNS записи.
Добавлено через 2 минуты
Если Вам необходим редирект по URI, то вам поможет hotspot или webproxy.

Не нужно пока-)

@NoNaMe · 10.07.2017, 14:55

Бред ну да ладно. И такое делал.
Смотрите в сторону switch rule.

Добавлено через 2 часа 3 минуты
Есть идея как можно по человечески такое сделать. Отпишу вечером.

Добавлено через 3 минуты
Точнее я понял в чем заключается идея)))

@alterak · 10.07.2017, 16:06 **[ТС]**

Сообщение от NoNaMe

Есть идея как можно по человечески такое сделать. Отпишу вечером.
Добавлено через 3 минуты
Точнее я понял в чем заключается идея)))

ок-) ждемс

Добавлено через 4 минуты

Сообщение от Konev

Полный конфиг выкладывайте. Ip адреса. Фильтр правила' нат и манго если ечть

Кстати вот полный конфиг

Кликните здесь для просмотра всего текста

# jul/10/2017 15:11:49 by RouterOS 6.39.2
# software id = RKQS-LBHM
#
/interface bridge
add name=bridge1-lan
/interface ethernet
set [ find default-name=ether1 ] name=ether1-ext
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name="wi-fi home" \
supplicant-identity="" wpa-pre-shared-key=Pass wpa2-pre-shared-key=\
Pass
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
mode=ap-bridge security-profile="wi-fi home" ssid=Home tx-power=20 \
tx-power-mode=all-rates-fixed wireless-protocol=802.11
/ip dhcp-client option
add code=55 name=parameter_request_list value=0x01F90321062A
/ip pool
add name=dhcp ranges=192.168.1.11-192.168.1.50
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1-lan lease-time=3d name=\
dhcp1
/ppp profile
add change-tcp-mss=yes name=beeline-L2TP remote-address=192.168.255.254 \
use-compression=no use-encryption=no use-mpls=no
/interface l2tp-client
add add-default-route=yes connect-to=tp.internet.beeline.ru \
default-route-distance=1 disabled=no name=l2tp-beeline password=\
Pass profile=beeline-L2TP user=UserLogin
/interface bridge port
add bridge=bridge1-lan interface=ether2
add bridge=bridge1-lan interface=ether3
add bridge=bridge1-lan interface=ether4
add bridge=bridge1-lan interface=ether5
add bridge=bridge1-lan interface=wlan1
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add default-route-distance=10 dhcp-options=\
hostname,clientid,parameter_request_list disabled=no interface=ether1-ext
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip firewall address-list
add address=home.ustim.ru list=external-name
/ip firewall filter
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=input connection-state=related
add action=drop chain=forward comment="invalid connections" connection-state=\
invalid
add action=drop chain=input connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-beeline src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-ext src-address=\
192.168.1.0/24
add action=dst-nat chain=dstnat comment="SERVER PROXMOX (ssh, web)" dst-port=\
2203,8006 protocol=tcp to-addresses=192.168.1.3
add action=dst-nat chain=dstnat comment="FS01 (ssh, ftp)" dst-port=\
2204,8384,21 protocol=tcp to-addresses=192.168.1.4
add action=dst-nat chain=dstnat comment="WS (ssh, web)" dst-port=2205,80 \
in-interface=l2tp-beeline protocol=tcp to-addresses=192.168.1.5
add action=dst-nat chain=dstnat comment="VM01 (rdp)" dst-port=3390 protocol=\
tcp to-addresses=192.168.1.6 to-ports=3390
add action=dst-nat chain=dstnat comment=TS3Server dst-port=30033,10011 \
protocol=tcp to-addresses=192.168.1.7
add action=dst-nat chain=dstnat comment=TS3Server dst-port=9987 protocol=udp \
to-addresses=192.168.1.7
/ip firewall service-port
set ftp disabled=yes
/ip route
add distance=1 dst-address=77.106.201.221/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.201.222/32 gateway=10.52.8.1
add distance=1 dst-address=77.106.202.0/24 gateway=10.52.8.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8080
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set init-delay=0s

@NoNaMe · 10.07.2017, 19:32

Как пример:
/ip firewall mangle add action=mark-routing chain=prerouting dst-port=80 new-routing-mark=COUT_ISP1 passthrough=yes protocol=tcp src-address=192.168.20.0/24
А в ip route Добавленны именные маршруты.

@alterak · 10.07.2017, 19:50 **[ТС]**

Сообщение от NoNaMe

Как пример:
/ip firewall mangle add action=mark-routing chain=prerouting dst-port=80 new-routing-mark=COUT_ISP1 passthrough=yes protocol=tcp src-address=192.168.20.0/24
А в ip route Добавленны именные маршруты.

Не хотит зараза-( По сути, мне нужно из локальной сети открыть доступ к IP Cloud, а его нет-(

Новые блоги и статьи Все статьи Все блоги /
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .

@alterak 11 / 11 / 3 Регистрация: 08.07.2009 Сообщений: 238

	Доступ на внешний интерфейс из локальной сети 09.07.2017, 07:52. Показов 9575. Ответов 51 Метки mikrotik (Все метки) Уважаемые гуру, выручайте. В локальной сети установлен сервер к примеру с адресом 192.168.1.5. Он имеет доступ с внешней сети через DDNS. Все работает норм. Но как получить к нему доступ просто напросто из локальной сети? Можно воспользоваться посредством Hairpin NAT, но тут возникает другая проблема - ведь адрес на внешнем интерфейсе динамический и постоянно меняется. Возможно ли пробросить маршрут из локальной сети сразу на интерфейс? 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	09.07.2017, 16:46
	alterak, используйте Hairpin NAT совместно с адрес листом 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	09.07.2017, 18:02
	alterak, add action=masquerade chain=srcnat out-interface=LAN dst-address=10.0.0.100 \ dst-address-list="external-name" dst-port=80 protocol=tcp src-address=10.0.0.0/24 Так выглядит адрес лист ip firewall address-list add address=my.host.ru list=external-name 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	09.07.2017, 21:17
	alterak, значит неправильно делаете. Во первых, корректно ли у вас работает dst-nat ? Во вторых, какой интерфейс у вас является интерфейсом внутренней сети, то есть шлюзом по умолчанию ? 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	09.07.2017, 21:44
	Значит в нат правиле меняйте ether1 на бридж 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	09.07.2017, 21:54
	Полный конфиг выкладывайте. Ip адреса. Фильтр правила' нат и манго если ечть 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	10.07.2017, 08:10
	сервисы типа: dynDNS no-ip 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	10.07.2017, 08:21
	insect_87, у него уже есть DDNS, он не может разобраться с NAT. В терминологии Микротика Hairpin NAT - доступ к локальному устройству через белый IP адрес. 0

@romsan 5605 / 2215 / 474 Регистрация: 17.10.2015 Сообщений: 9,403
	10.07.2017, 09:00
	Помнится, разбирали данную тему тыц (блин, когда же люди научатся пользоваться поиском!?) Там, insect_87, давал ссыль как это работает на миркотиках тыц Почитайте... 0

@NoNaMe Модератор 2609 / 747 / 160 Регистрация: 10.06.2009 Сообщений: 2,956
	10.07.2017, 11:54
	Про основной вопрос, c интерфейса, на адрес: /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-ext protocol=tcp to-addresses=192.168.1.5 2-ое првило в NAT что вы этим хотели сделать? Оно скорее всего неработает. Кто является шлюзом по умолчанию? Тут отступление, про MasterPort и Bridge: Вы скорее всего хотите управлять унутри своего сегмента сети, и для этого создали бридж. Тогда вам необходимо: /interface bridge settings set use-ip-firewall=yes Добавлено через 7 минут С динамическим адресом на WAN борятся через ip-cloud. Получите доменное имя аля: XXXXXXXXXXXX.sn.mynetname.net Что позволит забиндить через CNAME в упровляемой доменной зоне. Добавлено через 6 минут Если вам необходимо поднять dynDNS для локальных адресов. Такое возможно сделать написав небольшой скрипт. А на клиенской машине через MikroTik API обновлять DNS записи. Добавлено через 2 минуты Если Вам необходим редирект по URI, то вам поможет hotspot или webproxy. 0

@NoNaMe Модератор 2609 / 747 / 160 Регистрация: 10.06.2009 Сообщений: 2,956
	10.07.2017, 14:55
	Бред ну да ладно. И такое делал. Смотрите в сторону switch rule. Добавлено через 2 часа 3 минуты Есть идея как можно по человечески такое сделать. Отпишу вечером. Добавлено через 3 минуты Точнее я понял в чем заключается идея))) 0

@NoNaMe Модератор 2609 / 747 / 160 Регистрация: 10.06.2009 Сообщений: 2,956
	10.07.2017, 19:32
	Как пример: /ip firewall mangle add action=mark-routing chain=prerouting dst-port=80 new-routing-mark=COUT_ISP1 passthrough=yes protocol=tcp src-address=192.168.20.0/24 А в ip route Добавленны именные маршруты. 0