Exchange 2013 & Mikrotik: редирект на внутренний адрес из локальной сети?

Question

[Leva27]

Шлюз Mikrotik 751, статический внешний IP (7.7.7.7), внутренний 192.168.0.1. в локальной сети Exchange (внешниий домен mail.domain.ru, внутренний mail.domain.loc) на сервере (192.168.0.252). Все работает, но:

хотелось бы тупо сделать проброс на внутренний адрес сервера при обращении из этой же сетки по внешнему адресу. Т.е. с компа в сети я набираю в браузере: https://mail.domain.ru - и попадаю на веб-морду Exchange по SSL. В данный момент из сети на веб-интерфейс я могу попадать только по внутреннему: https://mail.domain.loc Как лучше сделать, через NAT проброс по IP или все же можно как-то конкретный домен пробросить средствами роутера?

Answer 1

[Дмитрий]

wiki.mikrotik.com/wiki/Hairpin_NAT

Answer 2

[Дмитрий]

Самый простой способ прописать в локальном DNS соответствие mail.domain.ru=192.168.0.25
Если DNS "поднят" (ну нет там пока полноценного DNS) на Mikrotik RouterOS можно прописать статику через терминал:
/ip dns static
add name mail.domain.ru address=192.168.0.25
или WinBOX

wiki.mikrotik.com/wiki/DNS

P.S. и не забыть почистить локальный кэш DNS на компе...

Comments

[Клёвый Админ]

вот да, в последнем пункте вс грабли и лежат. у кого то кеш остался, у кого то ДНС от гугла...

[Дмитрий]

Ну тут все проще..
У человека exchange следовательно есть AD, следовательно есть локальный DNS и DHCP
Проблема может быть если он не хочет создавать в локальном DNS зону domain.ru
Но есть обходной путь, в настройках локального AD DNS прописать "Сервер пересылки" ip 192.168.0.1 и уже на Mikrotik прописать статику...
Получиться цепочка запроса:
LocalComputer -> AD DNS -> Mikrotik -> Google/Yandex/Provider DNS
Причем для запроса mail.domain.ru запрос не уйдет дальше Mikrotik, то есть будет работать, даже если у пользователя нет выхода в интернет.

[Клёвый Админ]

@HomeDimoN это понятно, но всегда есть кто-то на не доменных ноутах, ради кого обычно вайфай и затевается, и вот они приходят такие, после установки, скажем, КОМОДО, который захерачил секьюрный ДНС сервер.

Answer 3

[Клёвый Админ]

Необходимо выделить EX сервере в другую подсеть. NAT не работае когда вы пробрасываете порт из сети в туже сеть.

Или организовать полноценную DMZ с маршрутизацией, белыми адресами, блекджеком и шл

UPD а попробуйте ещё добавить правило по аналогии с iptables, под рукой нет rOS не могу точно сказать команду.
iptables -t nat -A POSTROUTING -p tcp --dst $EX_IP --dport $EX_PORT -j SNAT --to-source $GW_LAN_IP
Если получится - киньте сюда потом точную нотацию в микротике.

Comments

[Дмитрий]

На Mikrotik как то так:
/ip firewall nat add chain=dstnat in-interface=INT dst-address=7.7.7.7 dst-port=443 action=dst-nat protocol=tcp to-address=192.168.0.25 to-port=443
Где INT имя внутреннего сетевого интерфейса, этот параметр можно попробовать пропустить...

wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#1:1_...
wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port...

[Клёвый Админ]

@HomeDimoN то что нужен нат - это понятно, здесь другое правило, оно в ветке прероутинга должно быть, оно делает заНАченый порт доступным из локальной сети.