Port Fofward от локалната мрежа /Трафик редирект

[hgeorgiev]

Здравейте, на пръв поглед проблема едва ли е сериозен, но мен ме изпоти Имам редиректнат порт (443) от външния адрес (реален) към машина от вътрешната мрежа. Всичко работи както се очаква отвънка. (Microsoft push mail на 443 port). Проблема е когато обаче човек дойде в офиса и се закачи към безжичната мрежа и съответно си получава адрес от вътрешната мрежа. Тогава спира да достъпва порт 443 на реалния адрес. Предполагам че трябва да направя някакъв форуард на трафика към порт 443 от мрежа 192.168.2.0 към реалния адрес. Доста време вече се мъча но най доброто което постигнах беше да прихвана няколко пакета е едната посока. Няколко години бях с FreeBSD за рутер (и още куп неща) От няколко дена за рутер сложих Микротик с надеждата че ще се оправя по добре, но няма разлика в нещата които постигам. Някой ако има някаква идея ще съм благодарен. В нета има доста примери но никой не сработи.

 

Оборудване:

Микротик РБ951

Inetrface Out -> DHCP към доставчик

Останалите на бридж и към тях няколко компютъра и принтера в офис.

[Balthazar]

Нормално ти си го редиректнал към определено IP от вътрешната мрежа

[hgeorgiev]

Е това което искам да направя е мисията невъзможна ли? . Да се прихванат заявките към 443 и да се пратят на определеното вътрешно IP. ( говорим разбира се когато съм в вътрешната мрежа). В същност гледайки броячите, явно прихващам заявките, но не им е ясен обратния път......или на мен не са ми ясни нещата с микротика ( което е почти сигурно)

Sent from my iPad using Tapatalk

[gbdesign]

Проблема е че машините в локалната мрежа се виждат директно по между си и не отговарят през гетъуя си, който да промени сорс адреса на питащият с публичното IP. Така "питащият" получава отговор не от този от който очаква и го дропва.

 

Сещам се за 3 варианта за решение, базирани на рутинг:

1. Правиш втора частна мрежа, в която слагаш компа с майкрософските услуги.

2. Триеш рутинга към мрежата на майкрософската машина, за да отговаря на машини от собствената си мрежа през гетъуея си.

3. Ако мрежатата ти е примерно 192.168.0.0/24 и рутера ти е 192.168.0.1 слагаш на майкрософската адрес 192.168.0.2/29. Така услугата ще е достъпна от всичките частни адреси, с изключение на 192.168.0.3

 

Вторият не съм сигурен че е възможен на машина под Уиндоус. Правил съм го под Линукс и работи.

Редактирано 22 Декември, 2013 от gbdesign

[hgeorgiev]

Благодаря ти много за изчерпателния отговор! Според колега преди версия 4 това си е работело ( с маскарадинг, даже го видях на друг микротик) но на версии след 4 не дава да сложиш сорс и дестинейшън. Както и да е. Ще обмисля как да направя този вариант който предложи. Смених си едното FreeBSD с микротик (за рутерането само) и тепърва търся как да направя нещата които правя с бсд-то с микротика и ми е доста объркано....команди, форуарди и т.н

Още веднъж благодаря.

П.с някой от идеите се ограничават от това че микротика държи GRE тунел с FreeBSD отсреща съответно зад рутерите са два ексченджа които постоянно се налага да си говорят . Ще пробвам някой от идеите

Редактирано 22 Декември, 2013 от hgeorgiev

[Balthazar]

Маскарадинга няма нищо общо с това което се мъчиш да направиш има вариант в който можеш да направиш порт-а да слуша постоянно от кое ип от вътрешната мрежа ще бъде повикан и да се редиректва към него но това няма нищо общо с маскарадинга. И няма проблем да сложиш и сорс и дестинейшън не те знам кво си чел и кво си гледлал  

[Самуил Арсов]

@gbdesign е прав какво се случва но има решение, нарича се hairpin NAT 

 

http://wiki.mikrotik.com/wiki/Hairpin_NAT

 

(fun: как може от BSD да минеш на Mtik - ужассссс ...)

 

Принципно за да не стават грешки и да си изясниш някои неща в света на iptables първо трябва да научиш веригите. Избягваи термини от рода порт форвардинг, редирект и подобни. Това не е BSD да има три вериги. За да разбират всички какво имаш вдпредвид пиши имената им:

 

source nat

destination nat

input

forward

output

mangle

prerouting

postrouting

redirect

 

Защото на практика такава верига redirect има но тя не ти върши работа, използва се основно да редиректва пакети само към рутера.

 

Ина gre тунела на Mikrotik-a да сложиш едно:

/ip firewall mangle
add action=change-mss chain=postrouting new-mss=clamp-to-pmtu out-interface=gre-tunnel1 protocol=tcp tcp-flags=syn

Редактирано 22 Декември, 2013 от samyil

[hgeorgiev]

@SlaSerX: при опит да сложа src-nat към dst-nat получавам: Couldn't add nat rule. Srcnat chain can not contain redirect/dnat action.

Както и да е. Наясно съм, че аз не съм наясно с микротика

@samyil: минах само от едната страна на Мтик .....и като гледам май ще се връщам обратно

А минах защото имам интересен казус с sendmail. Ще използвам темата да попитам и тук.

Имам два офиса с две Freebsd-та и зад тях два ексченджа. ГРЕ тунел между BSD-тата. Мейла е настроен по следния начин: идва маил, сендмейла го поема и го подава на ексчейнджа който обаче е в отдалечения офис (вече всичко става през тунела) ....да ама не...меил пакетите не минават. След десетки проби и врътки стигнах до извода че сендмейл пакетите не минават когато МТУ е по малко от 1500, което ме навежда на мисълта че проблема е в тунела между бсд-тата. Днес колега за проба клампна мсс между два линукса на 1200 и каза че и при него е спрял мейл трафика.

За това взех миктотик за да пробвам ако вдигна тунела с него дали ще мине мейл.

П.с: и да....има телнет на 25 порт през тунела

Sent from my iPad using Tapatalk

[Balthazar]

Кой ти е офиса и аз съм от Бургас можем да се видим и да оправим болката ти

[hgeorgiev]

Ако не за друго - поне бира ще черпя Без майтап, след последните тестове утре ще кажа резултата.

[hgeorgiev]

Така, след тест днес, мейловете между два тунела с миктотик минават а когато са Фбсд не ще. Съответно пинга между мрежите зад бсд-тата 1448 байта минават а през тунела на микротиците -1472. Явно тук е разковничето. Не знам по каква причина бсд-то не пуска мейла изходящо.

[Самуил Арсов]

Според мен никой не ти отговаря защото не можем да рзберем какво питаш ? Малко хаотични са както обясненията така и въпросите.

 

1. за hairpin NAT предполагам разбра, ако не си да се опитам да изясня.

2. за MTU само да го сетнеш на интерфейса не е решение трябва да го клампнеш и то в postrouting на изходящия интерфейс и на двата рутера в тунела.

 

За gre има други две решения които не изискват сетване на MTU

а) два микротика от двете страни в бридж с eop тунели

б) два debian, или направо две vyatta, VyOS, EdgeOS : set interfaces tunnel tun0 bridge-group bridge br0  (странно добре работят гре тунелите в бридж но едва ли този вариант ще те зайнтересува)

Редактирано 23 Декември, 2013 от samyil

[hgeorgiev]

Да да....ясно че ако са два микротика варианти много. Не исках да си развалям рахатлъка с ФриБСД-тата

Hairpin NAT направих - не сработва. Там има "кръпка" която ще свърши работа за сега.

Отново благодаря за идеите. Ще разуча явно микротика за сега като имам повече време. Ще питам и тук като закъсам

[kokaracha]

GRE  (free)бсд-то си го пуска по дефаулт на 1476 мту.Пробвай да го свалиш примерно на   1472 или по надолу. За НАТ какво ползваш  ? Не би трябвало да имаш проблем с постановката по схемата която описваш,поне с бсд-то. Локалния редирект можеш да го отделиш и опишеш по мрежа.БСД-то какво е ?

[hgeorgiev]

FreeBSD 8.0. Да по дефолт е толкова мту-то, но реално минават 1448. Нямам обеснение защо е така. Ipnat ползвам за нат.