Как настроить стабильную работу с локальным сервером (по domain name) через Mikrotik?

Question

[V A]

Всем Привет,
Имеется веб-сервер (Bitrix24 коробка) внутри локальной сети, его внутренний ip-адрес
192.168.1.122
Внешний адрес сети
12.34.56.78

У веб-сервера (сайта) имя bitrix24.sitename.com
В dns-провайдере домена sitename.com, прописана запись
bitrix24.sitename.com A 12.34.56.78

Наружу смотрит и принимает в сеть роутер Mikrotik
Правила для направления пользователей на сервер настроены таким образом ( 80 и 443 настроил сразу) в интерфейс eth1 заходит провод провайдера

spoiler

1...

2. ip firewall nat:
chain=dstnat 
dst-port=80 
in-interface=eth1
action=dst-nat  
to-addr=192.168.1.122 
to-ports=80 

3. ip firewall nat:
chain=dstnat 
dst-port=443 
in-interface=eth1
action=dst-nat  
to-addr=192.168.1.122 
to-ports=443 

4. ip firewall nat:
chain=dstnat  
src-address=192.168.1.2-192.168.1.254 
dst-address=12.34.56.78 
dst-port=80
action=dst-nat  
to-addr=192.168.1.122 
to-ports=80 

5. ip firewall nat:
chain=dstnat  
src-address=192.168.1.2-192.168.1.254 
dst-address=12.34.56.78 
dst-port=443
action=dst-nat  
to-addr=192.168.1.122 
to-ports=443 

6. ip firewall nat:
chain=srcnat
src-address=192.168.1.2-192.168.1.254 
dst-address=192.168.1.122
dst-port=443
action=masquerade
to-ports=443 

7. ip firewall nat:
chain=srcnat
src-address=192.168.1.2-192.168.1.254 
dst-address=192.168.1.122
dst-port=80
action=masquerade
to-ports=80

8...

Проблема в том, что если подключаться изнутри сети по адресу bitrix24.sitename.com то подключается через раз, отваливается периодически
с ошибкой "ERROR CONNECTION TIME_OUT". Когда подключаешься снаружи то все ок, не отваливается

Пока настроил временный костыль на машинах пользователей в файле hosts (тупо, согласен)
192.168.1.122 bitrix24.sitename.com

Как лучше настроить мои правила в Mikrotik ?

Answer 1

[Dmitry]

Comments

[V A]

Спасибо, я так сделал, сейчас проверю, у вас кстати не выставлен mikrotik в качестве DNS-сервера, а только 8.8.4.4 ?

[Dmitry]

V A, это ип адресл резолв сервера. Обычно там должен быть ип днс сервера провайдера. Почему у меня не так, хз. не я делал.

Answer 2

[АртемЪ]

Пока настроил временный костыль на машинах пользователей в файле hosts (тупо, согласен)
192.168.1.122 bitrix24.sitename.com

Это не костыль, а грамотное решение.

Если нужен костыль - добавьте правил маскарадинга в микротик. Гуглите по "Hairpin NAT", примеров много.
Но повторю это костыль, а правильное решение - DNS. При обращении из локальной сети должен выдаваться локальный адрес сервера.

Вы делаете запрос из локальной сети по внешнему адресу, ваш запрос микротик честно перенаправляет на ваш сервер в локальной сети, сервер отвечает. Поскольку в качестве отправителя запроса указан локальный адрес - сервер вам напрямую на ваш адрес и отвечает. А ваш компьютер этот ответ дропает, поскольку он у сервера ничего не запрашивал, и не ждет от него ответа. И продолжает ждать ответа от роутера.

Поэтому и решений тут два - правильное настройка DNS, чтобы запросы к локальным ресурсам шли через локальную сеть, а не через роутер.
Костыльное решение - подменить адрес отправителя на адрес роутера, и для ответа подменить адрес сервера на адрес роутера. Два правила маскарадинга в микротик.

Comments

[V A]

Спасибо, а если например при записи в hosts 192.168.1.122 bitrix24.sitename.com у сотрудника будет желание поработать из дома, допустим это ноутбук

[V A]

Я так понял, что нужно поднимать свой DNS сервер, или например можно воспользоваться стандартной функцией микротика IP - DNS - Static ?

[АртемЪ]

V A, В таком случае можете использовать оба решения.
Правильно настроить DNS, а если уж все-таки пошло обращение из локалки по внешнему адресу, то добавить правила Hairpin NAT.

По поводу DNS - как удобней. Можно поднять DNS, можно назначить микротик DNS сервером и внести туда запись.