Servers niet te benaderen vanuit intern netwerk

zondag 21 januari 2018 15:13

Acties:

0 Henk 'm!

Anoniem: 1031439

Topicstarter

Beste Tweakers

Mijn vraag
Ik heb ziggo zakkelijk met 5 vaste ip adressen
ik heb twee servers nu elk met een eigen public ip adres
Alleen kan ik mijn websites alleen bereiken bij een ander of alleen via het lan adres bijv 192.168.88.33

...

Relevante software en hardware die ik gebruik
...Het gaat om een Mikrotik router

Wie weet hoe ik dit kan oplossen ?

bvd
JW
...

dinsdag 23 januari 2018 19:25

Xtremer

Voor de mensen die dit probleem ook oplopen met Multiwan IP, de standaard rules (Hairpin) die je vind op internet vind werken niet.

Ik heb het als volgt opgelost :

code:

/ip firewall nat
add action=src-nat chain=srcnat comment="Server1 via (WANIP2)" \
    src-address=192.168.168.10 to-addresses=(WANIP1)
add action=src-nat chain=srcnat comment="Mail-Server via (WANIP3)" \
    src-address=192.168.168.20 to-addresses=(WANIP2)
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)
add action=dst-nat chain=dstnat comment=\
    " Server1 open poorten op (WANIP2)" dst-address=(WANIP1) \
    dst-port=80,443 protocol=tcp to-addresses=192.168.168.10
add action=dst-nat chain=dstnat comment=\
    "Server2 open poorten op (WANIP3)" dst-address=WANIP \
    dst-port=80,443 protocol=tcp to-addresses=\
    192.168.168.20

De grap zit hem in regel 3 :

code:

1 2	add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \ src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)

met name on dit klein stukje

code:

1	src-address-type=!local

[ Voor 12% gewijzigd door Xtremer op 23-01-2018 19:32 ]

zondag 21 januari 2018 15:21

Acties:

0 Henk 'm!

shure-fan

Zoek eens op "nat loopback"

Voip enthousiastelling, Liever een kabel dan wifi

zondag 21 januari 2018 15:24

Acties:

0 Henk 'm!

Cpt.Morgan

Dit is voor veel routers normaal gedrag (op je interne netwerk benader je servers via hun interne IP adres). Als je router NAT loopback of hairpin NAT o.i.d. ondersteunt (zie ook https://en.wikipedia.org/wiki/Hairpinning) kun je het soms wel laten werken, maar dat hangt van de router af. Wat is de reden dat je de server niet via het interne adres wilt benaderen?

[ Voor 22% gewijzigd door Cpt.Morgan op 21-01-2018 15:25 ]

zondag 21 januari 2018 15:50

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

DNS server instellen die je servers op hun interne IP adressen resolved. Klaar.

Eerst het probleem, dan de oplossing

zondag 21 januari 2018 16:28

Acties:

+1 Henk 'm!

Thralas

MikroTik

Cpt.Morgan schreef op zondag 21 januari 2018 @ 15:24:
Als je router NAT loopback of hairpin NAT o.i.d. ondersteunt (zie ook https://en.wikipedia.org/wiki/Hairpinning) kun je het soms wel laten werken, maar dat hangt van de router af.

Dat doet 'ie zeker. Sterker nog: een uitgebreide beschrijving van het probleem en de bijbehorende oplossing staat in de handleidng van 't beestje zelf: Hairpin NAT

zondag 21 januari 2018 21:43

Acties:

+1 Henk 'm!

Xtremer

Ik spreek uit ervaring van mijn eigen Ziggo zakelijk verbinding met 5 vaste ip adressen.
Standaard hairpin werkt niet.
Morgen post ik even een uitdraai van mijn config.
Ik gebruik zelf de Mikrotik CCR1009-7G-1C-1S+Pc.

Ik kan helaas niet nu nog de export uitdraaien.

Stuur me anders eventueel een PB als herinnering.

maandag 22 januari 2018 09:54

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

@Anoniem: 1031439 welkom op Tweakers.

Op Tweakers wordt toch net wat meer eigen inzet verwacht dan je nu hebt laten zien. Lees even Het algemeen beleid #quickstart door en voeg dan het volgende toe:
- Wat heb je zelf al gevonden, geprobeerd en gedaan?
- Waarom lukte het niet?

Daarnaast heb ik je titel even aangepast, zodat het wat duidelijker is.

[ Voor 11% gewijzigd door rens-br op 22-01-2018 09:55 ]

dinsdag 23 januari 2018 19:15

Acties:

0 Henk 'm!

Anoniem: 1031439

Topicstarter

Probleem opgelost samen met Xtremer had met regels in firewal te maken
bedankt voor de reacties

dinsdag 23 januari 2018 19:25

Acties:

Beste antwoord ✓
+1 Henk 'm!

Xtremer

Voor de mensen die dit probleem ook oplopen met Multiwan IP, de standaard rules (Hairpin) die je vind op internet vind werken niet.

Ik heb het als volgt opgelost :

code:

/ip firewall nat
add action=src-nat chain=srcnat comment="Server1 via (WANIP2)" \
    src-address=192.168.168.10 to-addresses=(WANIP1)
add action=src-nat chain=srcnat comment="Mail-Server via (WANIP3)" \
    src-address=192.168.168.20 to-addresses=(WANIP2)
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)
add action=dst-nat chain=dstnat comment=\
    " Server1 open poorten op (WANIP2)" dst-address=(WANIP1) \
    dst-port=80,443 protocol=tcp to-addresses=192.168.168.10
add action=dst-nat chain=dstnat comment=\
    "Server2 open poorten op (WANIP3)" dst-address=WANIP \
    dst-port=80,443 protocol=tcp to-addresses=\
    192.168.168.20

De grap zit hem in regel 3 :

code:

1 2	add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \ src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)

met name on dit klein stukje

code:

1	src-address-type=!local

[ Voor 12% gewijzigd door Xtremer op 23-01-2018 19:32 ]

dinsdag 23 januari 2018 19:58

Acties:

+1 Henk 'm!

Thralas

MikroTik

Hoe kom je daarbij?

Je legt niet uit waarom je dat doet, maar ik vermoed dat de oorzaak is dat je src-nat rules geen interface specificeren.

Stel dat je nu nog een extra uplink interface zou hebben, dan wordt al het verkeer vanaf het LAN (192.168.168.0/24) wat daaruit vertrekt óók geNAT naar een irrelevant WANIP.

De juiste oplossing lijkt me dus om geen src-nat rules te zetten zonder dat je daarbij ook een out-interface specificeert. Of misschien nog mooier: waarom is die derde regel niet gewoon een MASQUERADE?

Onderwerpen

Vraag

Beste antwoord (via rens-br op 23-01-2018 20:38)

Alle reacties