Как вывести виртуальный сервер в интернет через 2 роутера (Mikrotik+TP-Link)?

Question

[ctaxegg]

Здравствуйте!
Ситуация следующая:
Интернет приходит через PPPOE в микротик, распределяется по офису в диапазоне 192.168.5.100-192.168.5.200.
Из микротика кабель приходит в другой офис на роутер TP-Link и раздаёт интернет через статический IP-адрес 192.168.5.5 в локалку 192.168.0.xxx. Внутри сети TP-Link находится машина с IP-адресом 192.168.0.10 на которой стоит виртуальный сервер, к которому пользователи обращаются по порту 8080.
Собственно задача состоит в том, чтобы вывести эту машину в интернет. Микротик подключен к сервису DDNS и при обращении к доменному имени выводится веб-морда микротика. Пол-дня убил, чего только не перепробовал, не могу найти решение. Хелп :)

Answer 1

[Дмитрий Шицков]

Задача довольно простая. На Микротике dst-nat пробрасываете порт 8080 на порт IP TP-Link порт 8080. На TP-Link аналогично делаете Port Redirect 8080 на IP-сервера порт 8080. На каком этапе не получилось?

Comments

[ctaxegg]

Делал так:
1) На микротике в NAT создал правило dst-nat, протокол tcp, порт 8080.
2) Во вкладке action выбрал действие netmap, адрес 192.168.5.5 (сам TP-Link), порт 8080.
3) На ТП-Линке переадресация - виртуальный сервер - создано правило для порта 8080 с IP-адресом 192.168.0.10.
4) Так же прописал нужный порт в Port Trigering.
Перехожу на домен с портом, реакции ноль. Пробовал на микротике в нетмапе указывать сразу адрес 192.168.0.10 - результат, естественно, тот же.

[Дмитрий Шицков]

ctaxegg: хорошо! А в фаерволе на Микротике порт открыт?
Если да, то посмотрите трафик на микротике. На 8080 из интернета пакетики прилетают? А в сторону ТП-Линк улетают?

[ctaxegg]

Дмитрий Шицков: Да, порт открыт, пакетики и байтики тикают при попытке открыть нужную страницу. А где глянуть улетают ли в сторону ТП-Линк?

[Клёвый Админ]

я может не в тему, но action=netmap установить только одну связь внутри NAT, и сработает только один раз (в смысле это как DST нат, но он работает быстрее для ситуации 1:1, для ситуации Множество внешних ПК:1 он не работает). Поменяйте на dst-nat, возможно это решит вашу проблему, возможно нет, но сделать это нужно точно, иначе отхватите граблей.
wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

[ctaxegg]

Евгений Быченко: Для action и так выбран netmap, dstnat выбран во вкладке general-Chain.

[Дмитрий Шицков]

ctaxegg: дело вам говорят, netmap замените на dstnat.
Пакеты ищите в Tools -> Packet Sniffer

[Клёвый Админ]

ctaxegg: вот это и ошибка

[Дмитрий]

ctaxegg: >Перехожу на домен с портом, реакции ноль.
Переходите из внутренней сети? Тогда, возможно, вам нужно настраивать Hairpin HAT на микротике или, для начала, проверить из-вне.

[ctaxegg]

Дмитрий: Вот уж не подумал бы, спасибо! Из-вне всё работает, пол-дня угрохал на это дело.
Евгений Быченко: Что странно во всех инструкциях пишут, что желательно выбирать как-раз таки netmap, мол он более современный. Поменял на dst-nat.
Дмитрий Шицков: Спасибо, буду знать.

Пошёл гуглить по Hairpin HAT, если скините нужную инструкцию, буду весьма благодарен :)
Всем спасибо.

[Дмитрий Шицков]

ctaxegg: wiki.mikrotik.com/wiki/Hairpin_NAT

[Клёвый Админ]

ctaxegg: netmap более современный, но это отдельный способ NAT. Он в вашем случае не подходит.