Как организовать доступ к внутресетевому ресурсу по внешней ссылке?

Question

[ghostku]

Сложно было сформировать свой вопрос в одном приложении для заголовка поэтому сейчас распишу поподробнее.
Допустим есть сеть 192.168.1.0/24 в сети:
192.168.1.1 - Шлюз (Mikrotik)
192.168.1.2 - RDP Server (Windows 2008)
...
192.168.1.100 - Клиент (WIndows 7)

У роутера есть внешний статический АйПи к которому привязан домен вида 1c.site.com. На роутере настроен проброс портов 1c.site.com:8888 -> 192.168.1.2:3389. Поэтому у клиентов снаружи нет проблем с подключением к RDP. Но вот когда этот же клиент находится внутри сети - то он уже не может подключится к 1c.site.com:8888. Можно конечно создать отдельный ярлык к 192.168.1.2:3389 но данное решение не универсальное и должно біть біть более красивое решение.
Посему меня интересует несколько вопросов:
1 - Пробовал настроить внутренний ДНС но не смог заставить менять порт. Я так понял что средствами ДНС данную задачу не решить
2 - Пробовал настроить переадресацию портов но наверно не смог разобраться, сейчас проброс портов работает только если обращаются снаружи см скриншоты
3 - Может быть данная задача вообще решается не теми методами о которых я думаю?

PS RDP взят только как пример, на самом деле речь идет о самых разнообразных сервисах: RDP, DVR, Web-ресурсы, итд

Answer 1

[throughtheether]

Hairpin NAT.

Comments

[ghostku]

Почитал, Сделал, Спасибо. Даже понял в чём причина и как оно теперь работает.

[throughtheether]

ghostku:
Рад был помочь.

Answer 2

[Антон]

я так понимаю, что в примере подразумевается - пользователи шарятся со своими ноутами и т.д. в режиме свободного плавания?
тогда проще считаю сделать так:
/ip firewall mangle>
add chain=prerouting dst-address=1c.site.com d-port=8888 in-interface=bridge-local action=mark-connection new-connection-mark=to-rdp-from-local-conn
add chain=prerouting dst-address=1c.site.com d-port=8888 in-interface=bridge-local action=mark-packet new-packet-mark=to-rdp-from-local-pkt
раз RDP взято как пример
а потом уже фильтрами файервола перегнать такого пользователя куда требуется)

Comments

[Антон]

попробовал?
/ip firewall nat> add chain=dstnat packet-mark=to-rdp-from-local-pkt connection-mark=to-rdp-from-local-conn action=redirect to-ports=3389

[ghostku]

Решил по подсказке выше, но Ваш метод тоже заинтересовал, хотя бы потому что я половину параметров вообще не понял и соответственно принцип действия остался тайной. Пойду почитаю теорию по Микротикам их его Файерволу, может потом вернусь к Вашему методу. Спасибо.

Answer 3

[ghostku]

После того как я в принципе получил практический ответ на свой вопрос, у меня возник вопрос теоретический. А является ли предложенный мной и реализованный по подсказке throughtheether метод оптимальным для решения данной задачи? Ведь теперь каждый раз даже при работе из внутри сети клиенты будут нагружать своим трафиком процессор роутера?
Напомню что изначально задача была в том чтобы организовать доступ к внутрисетевому ресурсу по уникальной паре адрес:порт как с внутри сети так и снаружи.

Comments

[throughtheether]

Ведь теперь каждый раз даже при работе из внутри сети клиенты будут нагружать своим трафиком процессор роутера?

Да, если только у маршрутизатора обработка NAT не вынесена на специализированный ASIC.

Напомню что изначально задача была в том чтобы организовать доступ к внутрисетевому ресурсу по уникальной паре адрес:порт как с внутри сети так и снаружи.

Если использовать DNS-имена в качестве адреса, то вы можете по-разному разрешать их (символьные имена) в IPv4-адреса в зависимости от того, где находится клиент, если у вас свой DNS-сервер. Или на маршрутизаторе, если он поддерживает такую функциональность (DNS doctoring), на лету подменять ответы DNS-сервера, если DNS-сервер чужой.

[awgur]

Если указать микротик как dns-сервер для клиентов, то в настройках микротика /ip dns static можно создать запись 1c.site.com

/ip dns static print
Flags: D - dynamic, X - disabled, R - regexp
# NAME ADDRESS TTL
0 1c.site.com 192.168.1.2 1d

Но остаются вопросы с портами. Т.е. внутри сети RDP будет работать по стандартному порту, а снаружи по порту 8888.

[ghostku]

Где-то такое решение в результате и получилось, Плюс RDP на целевой машине повесил на порт 8888 чтобы порты тоже совпадали.