Как настроить Mikrotik для доступа к локальному серверу по доменному имени из внутренней сети?

Question

[Захар Скороходов]

Исходные:
RouterOS v6.36
Подсеть: 192.168.88.0/24
Роутер: 192.168.88.1
Сервер: 192.168.88.8
Статический внешний IP: 10.10.10.10
Домен: domain.com

Домен привязан к IP и нормально работает извне внутренней сети. Однако, если попробовать достучаться изнутри, то соединение режется. При этом web-интерфейс роутера по домену легко доступен, а ssh из локальной сети до роутера отсутствует.

Не подскажет ли кто, как разрулить правила, чтобы можно было:
1. Достучаться до роутера через ssh. (Порт специально поменял)
2. Достучаться до локального сервера 192.168.88.8 из локальной сети по имени donain.com
и при этом не сломать всё остальное, что исправно работает?

/ip firewall filter> print 
0 chain=forward 

1 chain=input action=accept protocol=icmp log=no log-prefix="" 

2 chain=input action=accept connection-state=established,related log=no log-prefix="" 

3 chain=input action=accept protocol=tcp dst-port=8037 log=yes log-prefix="router_http" 

4 chain=input action=accept protocol=tcp dst-port=2237 log=yes log-prefix="router_ssh" 

5 chain=input action=accept protocol=tcp dst-port=2137 log=yes log-prefix="router_ftp" 

6 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix="" 

7 chain=input action=accept protocol=tcp dst-port=443 log=no 

8 chain=input action=accept protocol=tcp dst-port=22 log=no log-prefix="" 

9 chain=input action=accept protocol=tcp dst-port=21 log=no log-prefix="" 

10 chain=input action=accept protocol=tcp dst-port=64000-65000 log=no 

11 chain=input action=drop in-interface=vladlink log=no log-prefix="" 

12 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

13 chain=forward action=accept connection-state=established,related log=no log-prefix="" 

14 chain=forward action=drop connection-state=invalid log=no log-prefix="" 

15 chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=vladlink log=no log-prefix=""

/ip firewall nat> print 

0 chain=srcnat action=masquerade out-interface=vladlink log=no log-prefix="" 

1 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80 protocol=tcp in-interface=vladlink dst-port=80 log=yes log-prefix="local_http" 

2 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=443 protocol=tcp in-interface=vladlink dst-port=443 log=yes log-prefix="local_https" 

3 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=22 protocol=tcp in-interface=vladlink dst-port=22 log=yes log-prefix="local_ssh" 

4 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=21 protocol=tcp in-interface=vladlink dst-port=21 log=yes log-prefix="local_ftp" 

5 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=64000-65000 protocol=tcp in-interface=vladlink dst-port=64000-65000 log=yes log-prefix="local_ftp_over_ftp"

Answer 1

[Кирилл Васильев]

Привет, если нет возможности или желания менять IP с помощью DNS, то есть реализация которая решает данную проблему и называется она Hairpin NAT

wiki.mikrotik.com/wiki/Hairpin_NAT

Comments

[Захар Скороходов]

Доброго здоровья! Спасибо, что быстро присоединились к обсуждению. проблема в том, что подмена DNS не работает (отписался выше).
По Hairpin_NAT... Возможно, я недостаточно сообразительный, но правила, добавленные по этому мануалу, не дали эффекта. :(
Должен признаться, я и правда слабо понимаю эту магию, мог затупить.

[Кирилл Васильев]

Захар Скороходов: Добрый вечер, чтобы понять как работает harpin nat придётся разобраться в нём. вот хорошая статья spw.ru/solutions/natpart5

[Дмитрий]

Захар Скороходов: +1 за Hairpin_nat. Должно работать в вашем случае. Проверяйте конфигурацию внимательнее.

[Захар Скороходов]

Кирилл Васильев:
Правило из мануала
action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=192.168.0.10

в моём случае выглядит вот так:
action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.88.8 to-ports=80 in-interface=WAN

если исходить из статьи, то добавление правила
action=masquerade chain=srcnat dst-address=10.10.10.10 dst-port=80 protocol=tcp src-address=192.168.88.0/24
должно решить мои проблемы раз и навсегда, но этого не происходит. :( ЧЯДНТ

[Кирилл Васильев]

Захар Скороходов: нет не так, зачем вы указали входящий интерфейс? Либо не указывайте,либо укажите довольный интерфейс

[Кирилл Васильев]

Локальный*

[Захар Скороходов]

Кирилл Васильев: Если не указать интерфейс, то в локальной сети (Ноутбук через WiFi, с которого пишу) пропадает интернет, т.е. доступ к сайтам по 80 и 443 портам.

[Кирилл Васильев]

Захар Скороходов: правльно так как надо указать адрес назначения

[Захар Скороходов]

Кирилл Васильев: добавление адреса назначения решило проблему с пропадающим доступом. Теперь ключевые правила выглядят вот так:
1 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80 protocol=tcp dst-address=10.10.10.10 in-interface=intranet dst-port=80
2 chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=10.10.10.10 dst-port=80

3 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=443 protocol=tcp dst-address=10.10.10.10 in-interface=intranet dst-port=443
4 chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=10.10.10.10 dst-port=443

Но 192.168.88.8 всё ещё не работает. (((

Причём, если раньше запрос перехватывался nginx на 80 порту с и перенаправлялся на https://domain.com, то теперь вообще никакой реакции.

[Кирилл Васильев]

Захар Скороходов:
первое правило сделайте таким
chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80,443 protocol=tcp dst-address=10.10.10.10 in-interface=intranet

второе правило сделайте таким
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=80,443

вы даже не захотели понять. (

[Захар Скороходов]

Кирилл Васильев: осподь - свидетель, стараюсь на пределе возможностей. Правда теперь я уже окончательно перестал понимать, что происходит.

chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80 protocol=tcp dst-address=10.10.10.10 in-interface=intranet
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=80

chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=443 protocol=tcp dst-address=10.10.10.10 in-interface=intranet
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=443

1) 192.168.88.8 всё так же недоступен, хотя переадресуется до https://domain.com
2) Снаружи domain.com переадресуется nginx`ом на https://domain.com и обрывает соединение
3) Отвалилась web-админка роутера по адресу https://domain.com:8037 в которой я всё это время вносил правки. Благо, ssh-сессия пока висит, боюсь обрывать.

[Кирилл Васильев]

Захар Скороходов: покажите все правила NAT

[Кирилл Васильев]

Захар Скороходов: удали правила
chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=443 protocol=tcp dst-address=185.3.172.94 in-interface=intranet
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=443
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=80

измени правило
с
chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80 protocol=tcp dst-address=185.3.172.94 in-interface=intranet
на
chain=dstnat action=dst-nat to-addresses=192.168.88.8 dst-port=80,443 protocol=tcp dst-address=185.3.172.94 in-interface=intranet

создай правио
chain=srcnat action=src-nat protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.8 dst-port=80,443 to-addresses=192.168.88.1

Answer 2

[paxlo]

Это называется Hairpin NAT

В вашем случае делается так
/ip firewall nat
unset 0 out-interface
unset 1,2,3,4,5 in-interface
set 1,2,3,4,5 dst-address=10.10.10.10