Εμφάνιση 1-9 από 9
  1. #1
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    44
    Μηνύματα
    3.048
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    Επιτέλους έλυσα με ωραίο τρόπο το πρόβλημα του hairpin στα Mikrotik.
    Η λύση αποτελείτε από 2 μέρη.
    Α. Μέρος ένα script το οποίο δημιουργεί μια εγγραφή στο address list που περιεχέι την εξωτερική ip μας.
    Κώδικας:
    :local "wan-interface" "pppoe-out1"
    :local "address-list" "WAN"
    
    
    :global "old-wan-ip"
    :local "wan-ip" [ /ip address get [/ip address find interface=$"wan-interface"] address ]
    :set "wan-ip" [ :pick $"wan-ip" 0 [:find $"wan-ip" "/" ] ]
    
    
    :if ( [/ip firewall address-list find list=$"address-list" ] = "" ) do={
    /ip firewall address-list add address=$"wan-ip" list=$"address-list"
    :log warning "address list: $"address-list" added by script"
    
    
    } else={
    
    
    :if ($"wan-ip" != $"old-wan-ip") do={
    :foreach a in=[/ip firewall address-list find list=$"address-list"] do={
    /ip firewall address-list set $a address=$"wan-ip"
    :log warning "WAN IP address changed from: $"old-wan-ip" to $"wan-ip""
    :set "old-wan-ip" $"wan-ip"
      }
     }
    }
    στο Β μέρος δημιουργούμε τους εξής κανόνες:
    B1. τον γενικό κανόνα:
    Κώδικας:
    add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.1.0/24 \    src-address=192.168.1.0/24
    όπου κάνουμε masquarade τις εσωτερικές μας ip και
    Κώδικας:
    add action=dst-nat chain=dstnat comment="https Hairpin" dst-address-list=WAN \
        dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
        192.168.1.5 to-ports=443
    δημιουργούμε redirect για κάθε ένα από τα port που θέλουμε.

    έτσι για παράδειγμα όταν θέλουμε μέσα από το δίκτυο μας να ανοίξουμε τη σελίδα foobar.duckdns.org μας επιστρέφει την εξωτερική διεύθυνση μας.
    με αυτό τον τρόπο το ρουτερ στείλει τα πακέτα στην εσωτερική διεύθυνση που πρέπει.
    δηλαδή η διεύθυνση foobar.duckdns.org ανοίγει το ίδιο πράγμα είτε είμαστε σπίτι μας είτε είμαστε στο δρόμο!
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  2. #2
    Εγγραφή
    14-05-2004
    Περιοχή
    GR/Crete
    Ηλικία
    38
    Μηνύματα
    5.194
    Downloads
    25
    Uploads
    0
    Ταχύτητα
    24576/1024
    ISP
    OTEnet
    Router
    Siemens κάτι
    SNR / Attn
    9,1(dB) / 28(dB)
    Path Level
    Fastpath
    Απο τις πρώτες μου απορίες!
    Υλοποιήσιμο βέβαια μόνο αν δουλεύεις συγκεκριμένες πόρτες.


    Παράθεση Αρχικό μήνυμα από teodor_ch Εμφάνιση μηνυμάτων
    Απο τη στιγμή που το
    to-addresses=192.168.1.200
    είναι ένα και μοναδικό στο δίκτυο μου, δεν είναι πλεονασμός το in interface ether1?

    Άσε που ΑΝ το καταλαβαίνω σωστά, χωρίς το in interface θα μπορώ να δώ την κάμερα με το ίδιο link που θα χρειαζόμουν απο έξω.
    πχ. puplicIP:40080
    όχι?
    Άλλο workaround είναι static dns records αν δουλεύεις τον dns server του ΜΚ.

    Ο τρόπος σου βέβαια είναι πιο δυναμικός και "καθαρός"

  3. #3
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    44
    Μηνύματα
    3.048
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    Ειχα static dns για χρόνια. Ήταν η quick n dirty λύση. Ομως άρχισα να δουλεύω lets encrypt και το αυτόματο script τους είχε πρόβλημα με το static dns. Έτσι πηγα σε hairpin.
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  4. #4
    Εγγραφή
    28-07-2006
    Περιοχή
    Lios Angeles
    Ηλικία
    47
    Μηνύματα
    281
    Downloads
    32
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    4996/49998
    ISP
    COSMOTE
    DSLAM
    ΟΤΕ - ΠΕΤΡΟΥΠΟΛΗ
    Router
    951G-2HnD / Entry 2i
    SNR / Attn
    11.8(dB) / 4.9(dB)
    Path Level
    Interleaved
    Γιατί χρειάζεται να ξέρεις την εξωτερική IP για το nat loopback ?

    Εγώ το έχω υλοποιήσει με τον παρακάτω τρόπο.
    Κώδικας:
    add action=masquerade chain=srcnat comment=CORE-Harpin dst-address=192.168.2.254 dst-port=8090 out-interface="ether2 - LocalNetwork" protocol=tcp src-address=192.168.2.0/24
    add action=dst-nat chain=dstnat comment=Core dst-address-type=local dst-port=8090 protocol=tcp to-addresses=192.168.2.254 to-ports=8090

  5. #5
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    44
    Μηνύματα
    3.048
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    γιατί τα πακέτα φεύγουν από το pc για παράδειγμα, με προορισμό τη WAN ip.
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  6. #6
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    44
    Μηνύματα
    3.048
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    τελικά έκανα revisit τη διαδικασία και νομίζω ότι έχω την ιδανική λύση για ενα σύνηθες σενάριο.
    συγκεκριμένα θέλω να κάνω ενημέρωση σε duckdns και ταυτόχρονα να λειτουργεί και το hairpin.

    οπότε έχουμε το script:
    Κώδικας:
    # Set your DuckDns subdomain and token
    :local duckDnsSubdomain "xxxxxxx"
    :local duckDnsToken "xxxx-xxx-xxxx-xxxx-xxxxxxxxxx"
    
    # Do not edit below
    :local duckDnsHost "$duckDnsSubdomain.duckdns.org"
    
    :global wanIP;
    :global dnsIP;
    :set wanIP [/ip cloud get public-address];  
    
    :if ($wanIP != $dnsIP) do={
       :log info ("DuckDNS: Old IP: $dnsIP -> New IP: $wanIP")
       :local urlIPv4 "https://www.duckdns.org/update?domains=$duckDnsSubdomain&token=$duckDnsToken&ip=$wanIP"
            
            /tool fetch url=$urlIPv4 mode=https dst-path="/DuckDNS.$duckDnsHost"
            :delay 1
            :local urlIPv4 [/file find name="DuckDNS.$duckDnsHost"];
            /file remove $urlIPv4
    
    
       :set dnsIP $wanIP;
       :log info ("duckDNS Updated to: $wanIP")
       :ip firewall address-list set list=wan address=$wanIP numbers=1
       :log info ("Hairpin NAT Updated to: $wanIP")
    }
    στην ουσία αυτό που κάνω είναι να διαβάσω τη wan IP από το cloud και στη συνέχειά να ενημερώσω το firewall address list wan για την διεύθυνση.


    Στη συνέχεια έχουμε τον εξής κανόνα στο firewall:
    Κώδικας:
    add action=netmap chain=dstnat comment=Hairpin dst-address-list=wan in-interface=bridge log-prefix="HairPin NAT" to-addresses=192.168.1.5
    αυτό λειτουργεί σαν default που τα γυρίζει πίσω στο 1.5
    αν θέλουμε και διαφορετικά πορτ να πάνε αλλού βάζουμε νωρίτερα τροποποιησεις του κανόνα.

    Κοιτάζω και το εξής firewall rule:
    Κώδικας:
    add action=netmap chain=dstnat comment=Hairpin dst-address-list=wan log-prefix="HairPin NAT" src-address=192.168.1.0/24 to-addresses=192.168.1.5
    ο οποίος κάποιες φορές μου φαίνεται ταχύτερος, αλλά κάποιες όχι.
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  7. #7
    Εγγραφή
    28-10-2005
    Περιοχή
    Κατερίνη
    Μηνύματα
    112
    Downloads
    2
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    COSMOTE
    Router
    FRITZ!Box 5590
    Path Level
    Fastpath
    Ok.

    Ευχαριστω τον Nikiforo.

    Ολα εντάξει τώρα.

  8. #8
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Παράθεση Αρχικό μήνυμα από nikos201 Εμφάνιση μηνυμάτων
    Ok.

    Ευχαριστω τον Nikiforo.

    Ολα εντάξει τώρα.
    καλημέρα, παρακαλω, αλλά δεν εκανα κατι εγω.
    Τελικα πως τα εφτιαξες ετσι από περιεργεια. Όπως τα λεει από πανω ο xhaos?

  9. #9
    Εγγραφή
    28-10-2005
    Περιοχή
    Κατερίνη
    Μηνύματα
    112
    Downloads
    2
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    COSMOTE
    Router
    FRITZ!Box 5590
    Path Level
    Fastpath
    Ναι το 1# post του Xchaos.

Παρόμοια Θέματα

  1. Μηνύματα: 296
    Τελευταίο Μήνυμα: 03-02-21, 09:40
  2. Μηνύματα: 0
    Τελευταίο Μήνυμα: 24-01-17, 15:24
  3. MediaAccess TG589vn v3 NAT και DNS
    Από spyhap στο φόρουμ Nova VDSL
    Μηνύματα: 15
    Τελευταίο Μήνυμα: 14-08-16, 17:16
  4. MikroTik training sessions
    Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDs
    Μηνύματα: 0
    Τελευταίο Μήνυμα: 11-04-16, 17:44
  5. Ποιό mikrotik για router και hotspot?
    Από kavouras στο φόρουμ Networking
    Μηνύματα: 38
    Τελευταίο Μήνυμα: 17-02-16, 00:16

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας