1
MikroTik und Hairpin NAT
Hallo Zusammen,
ich verzweifel gerade am Hairpin NAT beim MikroTik Router OS:
Ich habe zwei Server, die ich von außerhalb problemlos erreichen kann.
Allerdings sind diese von intern nicht erreichbar.
Die externe IP-Adresse wird dynamisch vergeben, aber ist über den DynDNS Namen erreichbar.
Beide Server stehen in meiner DMZ, IP-Adressen 10.0.10.102, Ports 80, 443, 5222, 5223 und 10.0.10.103 Port 22 (beide in Bridge1)
Server .102 dient als Webserver, Server .103 dient als SSH Server.
Nun möchte ich aus meinem LAN (10.0.40.0/24, Bridge2) sowohl meinen Webserver als auch meinen SSH-Server per offiziellem Domainnamen erreichen.
Die Anleitung über Hairpin NAT im MikroTik-Wiki habe ich schon durchgearbeitet.
Allerdings lande ich bei der Eingabe der Domain-Adresse immer auf dem Webadministrationszugang der MikroTik Büchse und nicht auf meinem Webserver.
Gehe ich über einen externen Zugang funktioniert das wunderbar.
Was mache ich falsch.
Hier habe ich die Ausgabe des Print-Befehls gepostet:
0 chain=srcnat action=masquerade src-address=10.0.40.0/24
dst-address=10.0.10.102 out-interface=all-ethernet log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=10.0.10.102 protocol=tcp
in-interface=pppoe-out1 dst-port=80,443,5222,5223 log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=10.0.10.103 protocol=tcp
in-interface=pppoe-out1 dst-port=22 log=no log-prefix=""
3 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""
ich verzweifel gerade am Hairpin NAT beim MikroTik Router OS:
Ich habe zwei Server, die ich von außerhalb problemlos erreichen kann.
Allerdings sind diese von intern nicht erreichbar.
Die externe IP-Adresse wird dynamisch vergeben, aber ist über den DynDNS Namen erreichbar.
Beide Server stehen in meiner DMZ, IP-Adressen 10.0.10.102, Ports 80, 443, 5222, 5223 und 10.0.10.103 Port 22 (beide in Bridge1)
Server .102 dient als Webserver, Server .103 dient als SSH Server.
Nun möchte ich aus meinem LAN (10.0.40.0/24, Bridge2) sowohl meinen Webserver als auch meinen SSH-Server per offiziellem Domainnamen erreichen.
Die Anleitung über Hairpin NAT im MikroTik-Wiki habe ich schon durchgearbeitet.
Allerdings lande ich bei der Eingabe der Domain-Adresse immer auf dem Webadministrationszugang der MikroTik Büchse und nicht auf meinem Webserver.
Gehe ich über einen externen Zugang funktioniert das wunderbar.
Was mache ich falsch.
Hier habe ich die Ausgabe des Print-Befehls gepostet:
0 chain=srcnat action=masquerade src-address=10.0.40.0/24
dst-address=10.0.10.102 out-interface=all-ethernet log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=10.0.10.102 protocol=tcp
in-interface=pppoe-out1 dst-port=80,443,5222,5223 log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=10.0.10.103 protocol=tcp
in-interface=pppoe-out1 dst-port=22 log=no log-prefix=""
3 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 252040
Url: https://administrator.de/contentid/252040
Printed on: April 26, 2024 at 19:04 o'clock
1 Comment
Hallo Caraboules,
da bist du nicht der einzige der mit der Umsetzung der Hairpin-Regel scheitert. Ich bin damit auch mal auf die Fressleiste gefallen.
Das Problem tritt immer dann auf wenn mit Bridge-Interfaces in Verbindung mit älteren Firmware-Versionen und aktiver Firewall gearbeitet wird. Seit RouterOS 6.7RC1 gibt es dafür einen Fix
Siehe dazu auch den folgenden Thread im Mikrotik Forum:
http://forum.mikrotik.com/viewtopic.php?f=1&t=75811
Grüße Uwe
da bist du nicht der einzige der mit der Umsetzung der Hairpin-Regel scheitert. Ich bin damit auch mal auf die Fressleiste gefallen.
Das Problem tritt immer dann auf wenn mit Bridge-Interfaces in Verbindung mit älteren Firmware-Versionen und aktiver Firewall gearbeitet wird. Seit RouterOS 6.7RC1 gibt es dafür einen Fix
What's new in 6.7rc1 (2013-Nov-08 15:54):
*) fixed hairpin nat on bridge with use-ip-firewall=yes;
Siehe dazu auch den folgenden Thread im Mikrotik Forum:
http://forum.mikrotik.com/viewtopic.php?f=1&t=75811
Grüße Uwe
1