Reverse proxy и Mikrotik, как запустить?

Question

[renikrenik]

Доброго!

Имеется:
- Микротик с внешним ип-адресом;
- nginx-proxy + два веб-сервера (всё на одной машине).

nginx-proxy получает HTTPS запрос и разруливает его по портам веб-серверов на 8090 и 8080.
Локально всё работает исправно, обращаемся на сайт1.ру попадаем на веб-сервер с портом 8080, обращаемся на сайт2.ру попадаем на сервер с портом 8090.

Дальше пробуем всё запустить через интернет.
На Микротике пробрасываем порт 443 на nginx-proxy.
Перенастраиваем DNS на внешний ип-адрес.
Прокси работает исправно, сайт1 и сайт2 открываются.

Но, на всех машинах в локальной сети Микротика перестают работать HTTPS сайты.

Моя гипотеза:
- клиент отправляет пакет по порту 443;
- https сайт отвечает на порт 443;
- Микротик адресует его nginx-прокси;
- прокси не вкуривает, почему к ней прилетел трафик и куда его редиректить, потому что домен не запрашивали.

Подскажите, как сделать, чтобы всё работало нормально, и прокси и интернет? :)

Встречал в интернете, что многие так делают и работает. Что очень странно.
Я проверил дважды, на двух разных Микротиках, один из них был в заводских настройках.

Comments

[Valentin Barbolin]

Но, на всех машинах в локальной сети Микротика перестают работать HTTPS сайты.

любые сайты или только твои?

[Alexey Dmitriev]

Вариантов как минимум 2.
1 - вы криво настраиваете редирект порта СНАРУЖИ на nginx и в него подпадают пакеты изнутри.
2 - вы ломаете какой-то сервис на 443 порту микротика - который как-то обрабатывает пакеты изнутри.

[renikrenik]

Valentin Barbolin, любые https сайты, которые пытаюсь открыть из локальной сети Микротика. http работают исправно. Мои сайты работают исправно.

[renikrenik]

Alexey Dmitriev, команда довольно простая, сложно ошибиться, но прошу, пожалуйста, проверить:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp to-addresses=192.168.10.100 to-ports=443

Дополнительно выгрузил текстовый конфиг Микротика и прошелся поиском, порт 443 больше ни где не встречается.

[Valentin Barbolin]

renikrenik, Значит ты не правильно написал правило.

Привяжи текущее правила к WAN интерфейсу, а для запросов из локальной сети сделай так.

/ip firewall mangle
add chain=prerouting comment="NAT Loopback detect" dst-address=WAN_IP dst-port=443 in-interface-list=LAN connection-state=new action=mark-packet new-packet-mark=nat-loopback passthrough=yes

/ip firewall nat
add chain=srcnat packet-mark=nat-loopback action=masquerade comment="NAT Loopback replace address" 

/ip firewall nat
add chain=dstnat dst-address=WAN_IP protocol=tcp dst-port=443 action=dst-nat to-addresses=LAN_IP to-port=443

[Valentin Barbolin]

renikrenik,

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp to-addresses=192.168.10.100 to-ports=443

без указания интерфейса он ловит все пакет на 443 порт и из локальной сети в мир тоже)

[Drno]

renikrenik, правило неправильно.. не указан внешний IP или интерфейс для привязки, как уже указали...

[renikrenik]

Alexey Dmitriev, вы были правы, при настройке я не указывал какой интерфейс требуется слушать. Добавил, теперь работает.

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.10.100 to-ports=443

[Valentin Barbolin]

renikrenik, Из локальной сети можеш на него зайти?)

Answer 1

[Юрий MikroTik]

Указать какой внешний ip слушаем (если hairpin nat)
Иначе можно указать интерфес wan

В вашей ситуации вы ВЕСЬ трафик 443 порта заворачиваете из lan в lan

Comments

[renikrenik]

Огромное спасибо! Добавил ether1, всё заработало.