Проброс с внутреннего айпи адреса на внешний, как осуществить?

Question

[wexvellencex]

Добрый день. Подскажите, в чем затык.
Имеется сервер с внутренним айпи адресом например 192.168.1.25 и на микроте есть внешний айпи адрес например 91.23.118.74. Суть в чем, с сделал проброс с внутреннего на внешний
Chain dstnat > dst Address 91.23.118.74 > Protocol 6(tcp) > Dst. Port 443 > In. Interface ether 1.
Аналогично сделал и с 80 портом, во вкладке Action я указал соответственно локальный айпи и порт
Так же создал А запись на домене и присвоил ему имя указав внешний айпи. Но почему то не могу достучаться через DNS имя, как и через внешний айпи, по локальному спокойно захожу.
В чем может быть проблема?

Comments

[Артём]

Вы хотите с ПК в локальной сети заходить на сервер по внешнему(белому) IP? Тогда вам нужен Hairpin NAT

[Valentin Barbolin]

Команда возвращает нужный IP?

nslookup my.domain.com 1.1.1.1

[wexvellencex]

Valentin Barbolin, Да, возвращает name и address

[Valentin Barbolin]

wexvellencex, Если ты из той же локальной сети стучишся по внешнему IP то надо предварительно настроить harpinNAT на микротике. На 192.168.1.25 нет праивил firewall которые могут блокировать подключение из вне?

[Антон Южный]

wexvellencex, Привет, уже знакомы...)) Не понятна цель задачи, судя по портам и по последнему вопросу, который ранее вы спрашивали, вы хотите открыть доступ по DNS к веб морде почты из внешки и внутрянки? Так?

[wexvellencex]

Антон Южный, Привет)
Да все верно, хочу сделать, чтобы почта была доступна извне

[Антон Южный]

wexvellencex, ну тогда вам нужно:
1. Сделать проброс 80 и 443 порта с внешнего IP на внутрений IP. (Также будет нужно пробрасывать порты входящей и исходящей почты)
2. Во внешке должен быть статичный белый ip, купить DNS и сделать А запись на внешний ip...
3. Во внутрянке (наверняка имеется внутрений DNS) создаете А запись на внутрений ip...
По итогу по DNS, к примеру webmail.ru, пользователи внутри сети и из внешки увидят веб морду, просто будут разные ip за этими dns.

[wexvellencex]

Антон Южный, Проброс я сделал с внешнего на внутренний, запись в DNS я сделал так же, а вот 3 пункт не совсем понял, внутри сделать А запись на внутренний же?

[Антон Южный]

wexvellencex, да...
У всех пользователей должен быть роздан по средствам DHCP ip внутреннего DNS сервера... На нем создаешь, в твоем случае, зону и в ней А запись с тем же доменном что купил, только указываешь внутренний IP почтового сервера... В итоге при пинге webmail.ru, к примеру, внутри сети у тебя отобразится внутренний ip сервера, а из внешки если пинговать webmail.ru отобразится внешний ip...

[wexvellencex]

Антон Южный, Если пинговать по DNS которую я указал например mail.mymail.ru то пинги идут и айпи отображается мой, который я указал, но зайти по имени я не могу по прежнему, может ли это значить то, что некорретно указано что-то в самом nginx?

[Антон Южный]

wexvellencex, DNS который вы купили и значение которое вы указали в конфигурации nginx параметр server_name должны совпадать...

[wexvellencex]

Антон Южный, Совпадают

[Антон Южный]

wexvellencex, мой который внутрений или внешний?

[wexvellencex]

Антон Южный, dns имя и в параметре server_name названия совпадают

Answer 1

[akelsey]

Я так понял требуется реализовать HairpinNAT?

Comments

[wexvellencex]

Сделал по аналогии, трафик идет, но зайти все равно не получается

Answer 2

[Drno]

А Вы пробуете зайти в другого инета? DNS правильно резолвится?

Comments

[wexvellencex]

Попробовал с телефона, не заходит. Хотя DNS указан верно

Answer 3

[Ziptar]

Исходя из заголовка вам надо src-nat'ить, а не dst-nat'ить, только всё равно не очень ясно зачем.
Чтобы достучаться из интернета до узла за вашим nat - вам надо dst-nat'ить с внешнего адреса на внутренний, а не наоборот.

Comments

[Ziptar]

>Chain dstnat > dst-Address 91.23.118.74 > Protocol 6(tcp) > Dst. Port=443 > In.Interface ether 1
action=dst-nat to-address=192.168.1.25 ~при условии, что аплинк на ether1 интерфейсе, иначе убрать интерфейс

[Ziptar]

Если всё так и есть, но не работает - проверить фаервол. Трафик должен быть разрешён на цепочке forward между аплинком и целевым узлом в обе стороны для соответствующих портов

[wexvellencex]

Ziptar, У меня именно так и есть и пакеты отсылаются

Answer 4

[Антон Южный]

Не понятна цель задачи, судя по портам и по последнему вопросу, который ранее вы спрашивали, вы хотите открыть доступ по DNS к веб морде почты из внешки и внутрянки? Так?
1. Сделать проброс 80 и 443 порта с внешнего IP на внутрений IP. (Также будет нужно пробрасывать порты входящей и исходящей почты)
2. Во внешке должен быть статичный белый ip, купить DNS и сделать А запись на внешний ip...
3. Во внутрянке (наверняка имеется внутрений DNS) создаете А запись на внутрений ip...
По итогу по DNS, к примеру webmail.ru, пользователи внутри сети и из внешки увидят веб морду, просто будут разные ip за этими dns.