Vraag


Acties:
  • 0 Henk 'm!

Anoniem: 1031439

Topicstarter
Beste Tweakers

Mijn vraag
Ik heb ziggo zakkelijk met 5 vaste ip adressen
ik heb twee servers nu elk met een eigen public ip adres
Alleen kan ik mijn websites alleen bereiken bij een ander of alleen via het lan adres bijv 192.168.88.33

...

Relevante software en hardware die ik gebruik
...Het gaat om een Mikrotik router

Wie weet hoe ik dit kan oplossen ?

bvd
JW
...

Beste antwoord (via rens-br op 23-01-2018 20:38)


  • Xtremer
  • Registratie: Maart 2002
  • Laatst online: 08-06 11:57
Voor de mensen die dit probleem ook oplopen met Multiwan IP, de standaard rules (Hairpin) die je vind op internet vind werken niet.

Ik heb het als volgt opgelost :

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
/ip firewall nat
add action=src-nat chain=srcnat comment="Server1 via (WANIP2)" \
    src-address=192.168.168.10 to-addresses=(WANIP1)
add action=src-nat chain=srcnat comment="Mail-Server via (WANIP3)" \
    src-address=192.168.168.20 to-addresses=(WANIP2)
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)
add action=dst-nat chain=dstnat comment=\
    " Server1 open poorten op (WANIP2)" dst-address=(WANIP1) \
    dst-port=80,443 protocol=tcp to-addresses=192.168.168.10
add action=dst-nat chain=dstnat comment=\
    "Server2 open poorten op (WANIP3)" dst-address=WANIP \
    dst-port=80,443 protocol=tcp to-addresses=\
    192.168.168.20


De grap zit hem in regel 3 :
code:
1
2
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)


met name on dit klein stukje

code:
1
src-address-type=!local

[ Voor 12% gewijzigd door Xtremer op 23-01-2018 19:32 ]

Alle reacties


Acties:
  • 0 Henk 'm!

  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 21:56
Zoek eens op "nat loopback"

Voip enthousiastelling, Liever een kabel dan wifi


Acties:
  • 0 Henk 'm!

  • Cpt.Morgan
  • Registratie: Februari 2001
  • Laatst online: 25-05 22:06
Dit is voor veel routers normaal gedrag (op je interne netwerk benader je servers via hun interne IP adres). Als je router NAT loopback of hairpin NAT o.i.d. ondersteunt (zie ook https://en.wikipedia.org/wiki/Hairpinning) kun je het soms wel laten werken, maar dat hangt van de router af. Wat is de reden dat je de server niet via het interne adres wilt benaderen?

[ Voor 22% gewijzigd door Cpt.Morgan op 21-01-2018 15:25 ]


Acties:
  • 0 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 10-06 15:42

lier

MikroTik nerd

DNS server instellen die je servers op hun interne IP adressen resolved. Klaar.

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 20:30
Cpt.Morgan schreef op zondag 21 januari 2018 @ 15:24:
Als je router NAT loopback of hairpin NAT o.i.d. ondersteunt (zie ook https://en.wikipedia.org/wiki/Hairpinning) kun je het soms wel laten werken, maar dat hangt van de router af.
Dat doet 'ie zeker. Sterker nog: een uitgebreide beschrijving van het probleem en de bijbehorende oplossing staat in de handleidng van 't beestje zelf: Hairpin NAT

Acties:
  • +1 Henk 'm!

  • Xtremer
  • Registratie: Maart 2002
  • Laatst online: 08-06 11:57
Ik spreek uit ervaring van mijn eigen Ziggo zakelijk verbinding met 5 vaste ip adressen.
Standaard hairpin werkt niet.
Morgen post ik even een uitdraai van mijn config.
Ik gebruik zelf de Mikrotik CCR1009-7G-1C-1S+Pc.

Ik kan helaas niet nu nog de export uitdraaien.

Stuur me anders eventueel een PB als herinnering.

Acties:
  • 0 Henk 'm!

  • rens-br
  • Registratie: December 2009
  • Laatst online: 06:55

rens-br

Admin IN & Moderator Mobile
@Anoniem: 1031439 welkom op Tweakers.

Op Tweakers wordt toch net wat meer eigen inzet verwacht dan je nu hebt laten zien. Lees even Het algemeen beleid #quickstart door en voeg dan het volgende toe:
- Wat heb je zelf al gevonden, geprobeerd en gedaan?
- Waarom lukte het niet?


Daarnaast heb ik je titel even aangepast, zodat het wat duidelijker is.

[ Voor 11% gewijzigd door rens-br op 22-01-2018 09:55 ]


Acties:
  • 0 Henk 'm!

Anoniem: 1031439

Topicstarter
Probleem opgelost samen met Xtremer had met regels in firewal te maken
bedankt voor de reacties

Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • Xtremer
  • Registratie: Maart 2002
  • Laatst online: 08-06 11:57
Voor de mensen die dit probleem ook oplopen met Multiwan IP, de standaard rules (Hairpin) die je vind op internet vind werken niet.

Ik heb het als volgt opgelost :

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
/ip firewall nat
add action=src-nat chain=srcnat comment="Server1 via (WANIP2)" \
    src-address=192.168.168.10 to-addresses=(WANIP1)
add action=src-nat chain=srcnat comment="Mail-Server via (WANIP3)" \
    src-address=192.168.168.20 to-addresses=(WANIP2)
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)
add action=dst-nat chain=dstnat comment=\
    " Server1 open poorten op (WANIP2)" dst-address=(WANIP1) \
    dst-port=80,443 protocol=tcp to-addresses=192.168.168.10
add action=dst-nat chain=dstnat comment=\
    "Server2 open poorten op (WANIP3)" dst-address=WANIP \
    dst-port=80,443 protocol=tcp to-addresses=\
    192.168.168.20


De grap zit hem in regel 3 :
code:
1
2
add action=src-nat chain=srcnat comment="Normaal-Netwerk via (WANIP1)" \
    src-address=192.168.168.0/24 src-address-type=!local to-addresses=(WANIP1)


met name on dit klein stukje

code:
1
src-address-type=!local

[ Voor 12% gewijzigd door Xtremer op 23-01-2018 19:32 ]


Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 20:30
Hoe kom je daarbij?

Je legt niet uit waarom je dat doet, maar ik vermoed dat de oorzaak is dat je src-nat rules geen interface specificeren.

Stel dat je nu nog een extra uplink interface zou hebben, dan wordt al het verkeer vanaf het LAN (192.168.168.0/24) wat daaruit vertrekt óók geNAT naar een irrelevant WANIP.

De juiste oplossing lijkt me dus om geen src-nat rules te zetten zonder dat je daarbij ook een out-interface specificeert. Of misschien nog mooier: waarom is die derde regel niet gewoon een MASQUERADE?
Pagina: 1