Задать вопрос
@Ozymandis
зелень

Как настроить стабильную работу с локальным сервером (по domain name) через Mikrotik?

Всем Привет,
Имеется веб-сервер (Bitrix24 коробка) внутри локальной сети, его внутренний ip-адрес
192.168.1.122
Внешний адрес сети
12.34.56.78

У веб-сервера (сайта) имя bitrix24.sitename.com
В dns-провайдере домена sitename.com, прописана запись
bitrix24.sitename.com A 12.34.56.78

Наружу смотрит и принимает в сеть роутер Mikrotik
Правила для направления пользователей на сервер настроены таким образом ( 80 и 443 настроил сразу) в интерфейс eth1 заходит провод провайдера

spoiler

1...

2. ip firewall nat:
chain=dstnat 
dst-port=80 
in-interface=eth1
action=dst-nat  
to-addr=192.168.1.122 
to-ports=80 

3. ip firewall nat:
chain=dstnat 
dst-port=443 
in-interface=eth1
action=dst-nat  
to-addr=192.168.1.122 
to-ports=443 

4. ip firewall nat:
chain=dstnat  
src-address=192.168.1.2-192.168.1.254 
dst-address=12.34.56.78 
dst-port=80
action=dst-nat  
to-addr=192.168.1.122 
to-ports=80 

5. ip firewall nat:
chain=dstnat  
src-address=192.168.1.2-192.168.1.254 
dst-address=12.34.56.78 
dst-port=443
action=dst-nat  
to-addr=192.168.1.122 
to-ports=443 

6. ip firewall nat:
chain=srcnat
src-address=192.168.1.2-192.168.1.254 
dst-address=192.168.1.122
dst-port=443
action=masquerade
to-ports=443 

7. ip firewall nat:
chain=srcnat
src-address=192.168.1.2-192.168.1.254 
dst-address=192.168.1.122
dst-port=80
action=masquerade
to-ports=80

8...



Проблема в том, что если подключаться изнутри сети по адресу bitrix24.sitename.com то подключается через раз, отваливается периодически
с ошибкой "ERROR CONNECTION TIME_OUT". Когда подключаешься снаружи то все ок, не отваливается

Пока настроил временный костыль на машинах пользователей в файле hosts (тупо, согласен)
192.168.1.122 bitrix24.sitename.com

Как лучше настроить мои правила в Mikrotik ?
  • Вопрос задан
  • 1105 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
Jump
@Jump
Системный администратор со стажем.
Пока настроил временный костыль на машинах пользователей в файле hosts (тупо, согласен)
192.168.1.122 bitrix24.sitename.com
Это не костыль, а грамотное решение.

Если нужен костыль - добавьте правил маскарадинга в микротик. Гуглите по "Hairpin NAT", примеров много.
Но повторю это костыль, а правильное решение - DNS. При обращении из локальной сети должен выдаваться локальный адрес сервера.

Вы делаете запрос из локальной сети по внешнему адресу, ваш запрос микротик честно перенаправляет на ваш сервер в локальной сети, сервер отвечает. Поскольку в качестве отправителя запроса указан локальный адрес - сервер вам напрямую на ваш адрес и отвечает. А ваш компьютер этот ответ дропает, поскольку он у сервера ничего не запрашивал, и не ждет от него ответа. И продолжает ждать ответа от роутера.

Поэтому и решений тут два - правильное настройка DNS, чтобы запросы к локальным ресурсам шли через локальную сеть, а не через роутер.
Костыльное решение - подменить адрес отправителя на адрес роутера, и для ответа подменить адрес сервера на адрес роутера. Два правила маскарадинга в микротик.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы