Задать вопрос

Как настроить Mikrotik для доступа к локальному серверу по доменному имени из внутренней сети?

Исходные:
RouterOS v6.36
Подсеть: 192.168.88.0/24
Роутер: 192.168.88.1
Сервер: 192.168.88.8
Статический внешний IP: 10.10.10.10
Домен: domain.com

Домен привязан к IP и нормально работает извне внутренней сети. Однако, если попробовать достучаться изнутри, то соединение режется. При этом web-интерфейс роутера по домену легко доступен, а ssh из локальной сети до роутера отсутствует.

Не подскажет ли кто, как разрулить правила, чтобы можно было:
1. Достучаться до роутера через ssh. (Порт специально поменял)
2. Достучаться до локального сервера 192.168.88.8 из локальной сети по имени donain.com
и при этом не сломать всё остальное, что исправно работает?

/ip firewall filter> print 
0 chain=forward 

1 chain=input action=accept protocol=icmp log=no log-prefix="" 

2 chain=input action=accept connection-state=established,related log=no log-prefix="" 

3 chain=input action=accept protocol=tcp dst-port=8037 log=yes log-prefix="router_http" 

4 chain=input action=accept protocol=tcp dst-port=2237 log=yes log-prefix="router_ssh" 

5 chain=input action=accept protocol=tcp dst-port=2137 log=yes log-prefix="router_ftp" 

6 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix="" 

7 chain=input action=accept protocol=tcp dst-port=443 log=no 

8 chain=input action=accept protocol=tcp dst-port=22 log=no log-prefix="" 

9 chain=input action=accept protocol=tcp dst-port=21 log=no log-prefix="" 

10 chain=input action=accept protocol=tcp dst-port=64000-65000 log=no 

11 chain=input action=drop in-interface=vladlink log=no log-prefix="" 

12 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

13 chain=forward action=accept connection-state=established,related log=no log-prefix="" 

14 chain=forward action=drop connection-state=invalid log=no log-prefix="" 

15 chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=vladlink log=no log-prefix=""


/ip firewall nat> print 

0 chain=srcnat action=masquerade out-interface=vladlink log=no log-prefix="" 

1 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=80 protocol=tcp in-interface=vladlink dst-port=80 log=yes log-prefix="local_http" 

2 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=443 protocol=tcp in-interface=vladlink dst-port=443 log=yes log-prefix="local_https" 

3 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=22 protocol=tcp in-interface=vladlink dst-port=22 log=yes log-prefix="local_ssh" 

4 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=21 protocol=tcp in-interface=vladlink dst-port=21 log=yes log-prefix="local_ftp" 

5 chain=dstnat action=dst-nat to-addresses=192.168.88.8 to-ports=64000-65000 protocol=tcp in-interface=vladlink dst-port=64000-65000 log=yes log-prefix="local_ftp_over_ftp"
  • Вопрос задан
  • 5818 просмотров
Подписаться 5 Оценить Комментировать
Решения вопроса 1
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
Привет, если нет возможности или желания менять IP с помощью DNS, то есть реализация которая решает данную проблему и называется она Hairpin NAT

wiki.mikrotik.com/wiki/Hairpin_NAT
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@paxlo
Это называется Hairpin NAT

В вашем случае делается так
/ip firewall nat
unset 0 out-interface
unset 1,2,3,4,5 in-interface
set 1,2,3,4,5 dst-address=10.10.10.10
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы