118080
118080
Jun 01, 2016, updated at 05:33:28 (UTC)
view2107
view11
0
Goto Top

D-NAT auf Mikrotik

GermansolvedQuestionRouters, RoutingNetworks
Moin

Wie einige evtl. mitbekommen haben hatte ich mit meinem Mikrotik ein wenig Trubel und habe mich ein wenig verhedert in der ganzen Sache.
Ich schäme mich fast ein wenig das zu fragen, aber anscheinend krieg ichs nicht gebacken. Vielleicht habe ich gerade einfach den Kopf ein wenig zu voll.. Ich habe ja auch schon ein paar mal NAT eingerichtet, aber ja..
Wie kriege ich Anfragen von extern mit dem Port 80 auf unseren internen Server? Sagen wir mal auf den Server 111.111.111.111. Es könnte auch gut sein, dass ich gerade einfach die einfachsten und grundlegendsten Dinge vergesse. Habt bitte ein wenig Nachsicht mit mir und behandelt mich vlt. sogar als hätte ich noch nie eine D-NAT eingerichtet... face-confused

LG Luca
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 305886

Url: https://administrator.de/contentid/305886

Printed on: April 25, 2024 at 15:04 o'clock

11 Comments
Latest comment
Goto Top
Member: michi1983
michi1983 Jun 01, 2016 at 07:34:06 (UTC)
Goto Top
Hallo,

hast du dir das äußerst aussagekräftige Wiki von Mikrotik überhaupt mal richtig durchgelesen? face-smile

Gruß
Mitglied: 129413
129413 Jun 01, 2016 updated at 07:40:26 (UTC)
Goto Top
Wie ich gesagt habe, wenn du die FORWARD-Chain komplett dicht machst musst du bei einer Weiterleitung (DNAT) auch eine passende Forward-Regel erstellen die diesen Traffic passieren lässt...

Du solltest dir mal das Schaubild zum Traffic-Flow des Mikrotik ansehen.
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Gruß skybird
Mitglied: 118080
118080 Jun 01, 2016 updated at 07:42:35 (UTC)
Goto Top
Zitat von @michi1983:
hast du dir das äußerst aussagekräftige Wiki von Mikrotik überhaupt mal richtig durchgelesen? face-smile
Ja, ich sehe auch nicht so ganz den Unterschied zu meiner NAT Regel..

Zitat von @129413:
Wie ich gesagt habe, wenn du die FORWARD-Chain komplett dicht machst musst du bei einer Weiterleitung (DNAT) auch eine passende Forward-Regel erstellen die diesen Traffic passieren lässt...
Habe ich.... Ich habe testweise sogar mal allen forward traffic zugelassen..
Mitglied: 129413
129413 Jun 01, 2016 updated at 07:43:06 (UTC)
Goto Top
Und wie sehen deine Regeln nun aus ??
Oder müssen wir die uns hier zusammenreimen?
Mitglied: 118080
118080 Jun 01, 2016 at 07:43:23 (UTC)
Goto Top
Zitat von @129413:
Und wie sehen deine Regeln nun aus der Herr ??
Jetzt momentan wie oben geschrieben habe ich allen Forward Traffic zugelassen.
Mitglied: 129413
129413 Jun 01, 2016 updated at 07:49:03 (UTC)
Goto Top
auch von extern nach intern ? Oder hast du die generelle Block-Rule entfernt/deaktiviert.

Und wie sieht deine DNAT Regel aus?
Mitglied: 129413
129413 Jun 01, 2016 updated at 08:01:45 (UTC)
Goto Top
Guckt du hier

Mikrotik Router OS Port forward 8888 for TCP und 8081 for TCP and UPD trafic eingeben
und hier
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping.2Ffor ...
Nachmachen, geht 100%.
Mitglied: 118080
118080 Jun 01, 2016 updated at 08:08:37 (UTC)
Goto Top
Von extern nach intern hatte ich zu Testzwecken mal alles zugelassen.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=***.***.***.*** dst-port=80 protocol=tcp to-addresses=192.168.2.3 to-ports=80
add action=dst-nat chain=dstnat dst-address=***.***.***.*** dst-port=443 protocol=tcp to-addresses=192.168.2.3 to-ports=443

Dabie ist *.*.*.* unsere externe IP.

Zitat von @129413:
Mikrotik Router OS Port forward 8888 for TCP und 8081 for TCP and UPD trafic eingeben
und hier
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping.2Ffor ...
Nachmachen, geht 100%.
Ich habe es wie im WIki gemacht: Über die Dst. IP statt über das Interface.

Ich glaube ich brauche dringend einen Kaffee...
Mitglied: 90948
90948 Jun 01, 2016 updated at 08:13:37 (UTC)
Goto Top
Eigentlich brauchst eine

  • Firewall Regel: Forward Destination-Port 80, Destination-Address 111.111.111.111 erlaubt
Forward Source-Address 111.111.111.111
  • NAT-Regel: dstnat, protocoll tcp, destination-port 80, In-Interface <deine Interface>, action: dst-nat, to-addresses: 111.111.111.111, to-port 80

und natürlich den ausgehenden Datenverkehr Maskieren. Wenn die Firewall an deinem Webserver den Port 80 von irgendeiner Adresse akzeptiert sollte es so funktionieren. Ansonsten Webserver Firewall nochmals anschauen und auch die Connections im Mikrotik
Mitglied: 129413
129413 Jun 01, 2016 updated at 08:15:30 (UTC)
Goto Top
UDP??? Oh man... blind vom Thread übernommen.....
(gut du hast es wieder entfernt, Gott sei Dank face-smile)

Wie immer nutze die Debugging-Möglichkeiten des Mikrotik, wir können nur wiederholen das diese Regeln problemlos funktionieren, was dein Webserver macht können wir hier nicht ahnen, ob da virtual Hosts drauf laufen oder nicht, ob der externe Anfragen blockiert etc. pp

Und schau dir doch bitte mal das Traffic-Flow Diagramm was ich oben verlinkt habe an, das ist essentielles Wissen was man sich bei solchen Problemen immer wieder vor Augen halten sollte. Wenn du das verstanden hast geht der Rest von selbst.
Mitglied: 118080
118080 Jun 01, 2016 updated at 10:10:54 (UTC)
Goto Top
Ich habe hier wie beim letzten Problem einfach alles Platt gemacht und mit genau den gleichen Einstellungen neu eingerichtet. Siehe da:
Es klappt..
Habe ich evtl. ein Montagsmodell erwischt? (>_<)
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments