Επιτέλους έλυσα με ωραίο τρόπο το πρόβλημα του hairpin στα Mikrotik.
Η λύση αποτελείτε από 2 μέρη.
Α. Μέρος ένα script το οποίο δημιουργεί μια εγγραφή στο address list που περιεχέι την εξωτερική ip μας.
στο Β μέρος δημιουργούμε τους εξής κανόνες:Κώδικας::local "wan-interface" "pppoe-out1" :local "address-list" "WAN" :global "old-wan-ip" :local "wan-ip" [ /ip address get [/ip address find interface=$"wan-interface"] address ] :set "wan-ip" [ :pick $"wan-ip" 0 [:find $"wan-ip" "/" ] ] :if ( [/ip firewall address-list find list=$"address-list" ] = "" ) do={ /ip firewall address-list add address=$"wan-ip" list=$"address-list" :log warning "address list: $"address-list" added by script" } else={ :if ($"wan-ip" != $"old-wan-ip") do={ :foreach a in=[/ip firewall address-list find list=$"address-list"] do={ /ip firewall address-list set $a address=$"wan-ip" :log warning "WAN IP address changed from: $"old-wan-ip" to $"wan-ip"" :set "old-wan-ip" $"wan-ip" } } }
B1. τον γενικό κανόνα:
όπου κάνουμε masquarade τις εσωτερικές μας ip καιΚώδικας:add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.1.0/24 \ src-address=192.168.1.0/24
δημιουργούμε redirect για κάθε ένα από τα port που θέλουμε.Κώδικας:add action=dst-nat chain=dstnat comment="https Hairpin" dst-address-list=WAN \ dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=\ 192.168.1.5 to-ports=443
έτσι για παράδειγμα όταν θέλουμε μέσα από το δίκτυο μας να ανοίξουμε τη σελίδα foobar.duckdns.org μας επιστρέφει την εξωτερική διεύθυνση μας.
με αυτό τον τρόπο το ρουτερ στείλει τα πακέτα στην εσωτερική διεύθυνση που πρέπει.
δηλαδή η διεύθυνση foobar.duckdns.org ανοίγει το ίδιο πράγμα είτε είμαστε σπίτι μας είτε είμαστε στο δρόμο!
Εμφάνιση 1-9 από 9
-
25-01-17, 21:50 Mikrotik Hairpin NAT και dynamic IP #1See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
26-01-17, 17:14 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #2
-
26-01-17, 19:12 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #3
Ειχα static dns για χρόνια. Ήταν η quick n dirty λύση. Ομως άρχισα να δουλεύω lets encrypt και το αυτόματο script τους είχε πρόβλημα με το static dns. Έτσι πηγα σε hairpin.
See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
28-01-17, 13:25 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #4
Γιατί χρειάζεται να ξέρεις την εξωτερική IP για το nat loopback ?
Εγώ το έχω υλοποιήσει με τον παρακάτω τρόπο.
Κώδικας:add action=masquerade chain=srcnat comment=CORE-Harpin dst-address=192.168.2.254 dst-port=8090 out-interface="ether2 - LocalNetwork" protocol=tcp src-address=192.168.2.0/24 add action=dst-nat chain=dstnat comment=Core dst-address-type=local dst-port=8090 protocol=tcp to-addresses=192.168.2.254 to-ports=8090
-
28-01-17, 13:41 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #5
γιατί τα πακέτα φεύγουν από το pc για παράδειγμα, με προορισμό τη WAN ip.
See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
29-06-17, 21:17 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #6
τελικά έκανα revisit τη διαδικασία και νομίζω ότι έχω την ιδανική λύση για ενα σύνηθες σενάριο.
συγκεκριμένα θέλω να κάνω ενημέρωση σε duckdns και ταυτόχρονα να λειτουργεί και το hairpin.
οπότε έχουμε το script:
Κώδικας:# Set your DuckDns subdomain and token :local duckDnsSubdomain "xxxxxxx" :local duckDnsToken "xxxx-xxx-xxxx-xxxx-xxxxxxxxxx" # Do not edit below :local duckDnsHost "$duckDnsSubdomain.duckdns.org" :global wanIP; :global dnsIP; :set wanIP [/ip cloud get public-address]; :if ($wanIP != $dnsIP) do={ :log info ("DuckDNS: Old IP: $dnsIP -> New IP: $wanIP") :local urlIPv4 "https://www.duckdns.org/update?domains=$duckDnsSubdomain&token=$duckDnsToken&ip=$wanIP" /tool fetch url=$urlIPv4 mode=https dst-path="/DuckDNS.$duckDnsHost" :delay 1 :local urlIPv4 [/file find name="DuckDNS.$duckDnsHost"]; /file remove $urlIPv4 :set dnsIP $wanIP; :log info ("duckDNS Updated to: $wanIP") :ip firewall address-list set list=wan address=$wanIP numbers=1 :log info ("Hairpin NAT Updated to: $wanIP") }
Στη συνέχεια έχουμε τον εξής κανόνα στο firewall:
Κώδικας:add action=netmap chain=dstnat comment=Hairpin dst-address-list=wan in-interface=bridge log-prefix="HairPin NAT" to-addresses=192.168.1.5
αν θέλουμε και διαφορετικά πορτ να πάνε αλλού βάζουμε νωρίτερα τροποποιησεις του κανόνα.
Κοιτάζω και το εξής firewall rule:
Κώδικας:add action=netmap chain=dstnat comment=Hairpin dst-address-list=wan log-prefix="HairPin NAT" src-address=192.168.1.0/24 to-addresses=192.168.1.5
See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
15-10-18, 00:21 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #7
Ok.
Ευχαριστω τον Nikiforo.
Ολα εντάξει τώρα.
-
18-10-18, 11:48 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #8
-
21-10-18, 15:22 Απάντηση: Mikrotik Hairpin NAT και dynamic IP #9
Ναι το 1# post του Xchaos.
Παρόμοια Θέματα
-
Ξεκίνησε να μοιράζει ip διευθύνσεις μέσω nat η wind?
Από socstamatiou στο φόρουμ WindΜηνύματα: 296Τελευταίο Μήνυμα: 03-02-21, 09:40 -
Ζητείται Mikrotik routerboard για ανταλλαγή με Cisco 876
Από RoyBatty στο φόρουμ ΖήτησηΜηνύματα: 0Τελευταίο Μήνυμα: 24-01-17, 15:24 -
MediaAccess TG589vn v3 NAT και DNS
Από spyhap στο φόρουμ Nova VDSLΜηνύματα: 15Τελευταίο Μήνυμα: 14-08-16, 17:16 -
MikroTik training sessions
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 0Τελευταίο Μήνυμα: 11-04-16, 17:44 -
Ποιό mikrotik για router και hotspot?
Από kavouras στο φόρουμ NetworkingΜηνύματα: 38Τελευταίο Μήνυμα: 17-02-16, 00:16
Bookmarks