Mikrotik firewall nat rule

Gebruikersavatar
willem2
Member
Member
Berichten: 63
Lid geworden op: 31 Mei 2011
Locatie: 2830
Bedankt: 11 keer
Uitgedeelde bedankjes: 9 keer

Mikrotik firewall nat rule

Berichtdoor willem2 » 22 Jan 2015, 22:29

Een mikrotik beginnersvraagje.
Ik heb in ip - firewall - nat de volgende rule (om een lokale webserver remote toegankelijk te maken):

Code: Selecteer alles

chain=dstnat action=dst-nat to-addresses=192.168.x.x to-ports=443 protocol=tcp in-interface=ether1-gateway dst-port=xxxxx log=no log-prefix=""

Remote is de webserver dan benaderbaar via de URL:

Code: Selecteer alles

https://mijnwebserver.be:xxxxx

en lokaal via:

Code: Selecteer alles

https://192.168.x.x:443

De vraag:
Hoe kan ik de firewall rule aanpassen zodat de remote URL ook lokaal werkt?

petzl
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 07 Aug 2010
Locatie: Holsbeek - JO20IV
Bedankt: 90 keer
Uitgedeelde bedankjes: 1 keer
Contact:

Re: Mikrotik firewall nat rule

Berichtdoor petzl » 22 Jan 2015, 22:44

bij IP - dns - static dacht ik , dns naam + uw lokaal ip opgeven
je moet wel de MT dns server dan gebruiken

ik werk trouwens altijd met winbox
Afbeelding

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29355
Lid geworden op: 28 Okt 2003
Bedankt: 1938 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 411 keer

Re: Mikrotik firewall nat rule

Berichtdoor r2504 » 23 Jan 2015, 14:39

petzl schreef:bij IP - dns - static dacht ik , dns naam + uw lokaal ip opgeven


Dan doe je dus eigenlijk split-DNS.

Het probleem/oplossing (let wel op de nadelen) staat hier trouwens... http://wiki.mikrotik.com/wiki/Hairpin_NAT

Gebruikersavatar
willem2
Member
Member
Berichten: 63
Lid geworden op: 31 Mei 2011
Locatie: 2830
Bedankt: 11 keer
Uitgedeelde bedankjes: 9 keer

Re: Mikrotik firewall nat rule

Berichtdoor willem2 » 23 Jan 2015, 22:14

r2504 schreef:Het probleem/oplossing (let wel op de nadelen) staat hier trouwens... http://wiki.mikrotik.com/wiki/Hairpin_NAT

Ben gaan kijken,... en heb het idee (voorlopig) afgevoerd.

Bij

Code: Selecteer alles

IP - dns - static
stond nog het default IP (192.168.88.1) van de MT, dit is gewijzigd, dus regel gewist.

Code: Selecteer alles

IP - dns - servers
was leeg, hier heb ik het IP van de MT toegevoegd. (zie het begin van deze tutorial)

petzl schreef:ik werk trouwens altijd met winbox
winbox en wine vind ik geen beste vrienden, maar kan me prima behelpen met webfig en hou van de overzichtelijkheid van de cli 8). Bedankt voor de reacties!

petzl
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 07 Aug 2010
Locatie: Holsbeek - JO20IV
Bedankt: 90 keer
Uitgedeelde bedankjes: 1 keer
Contact:

Re: Mikrotik firewall nat rule

Berichtdoor petzl » 24 Jan 2015, 10:07

wat is er mis met de combinatie van winbox en wine ?

vergeet niet een default gateway in je static ip configs te zetten als je wine gebruikt ....

volgens mij moet je nooit je zelf opgeven als dns .... en reboot bij een mikrotik ? vreemde tutoral ...
Afbeelding

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29355
Lid geworden op: 28 Okt 2003
Bedankt: 1938 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 411 keer

Re: Mikrotik firewall nat rule

Berichtdoor r2504 » 24 Jan 2015, 12:16

Als ik kijk naar een config die ik voor iemand gedaan heb dan heb ik enkel het volgende;

/ip dns
set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes

/ip dns static
add name www.company.com address=192.168.1.201


Natuurlijk geeft de DHCP server van het netwerk dan het IP-adres van de MT door... anders heeft het weinig zin.

petzl
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 07 Aug 2010
Locatie: Holsbeek - JO20IV
Bedankt: 90 keer
Uitgedeelde bedankjes: 1 keer
Contact:

Re: Mikrotik firewall nat rule

Berichtdoor petzl » 24 Jan 2015, 22:50

enkel bij dhcp config moet je verwijzen naar je eigen MT als dns server ...
Afbeelding

Gebruikersavatar
krisken
Elite Poster
Elite Poster
Berichten: 18198
Lid geworden op: 07 Nov 2006
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Bedankt: 884 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 1741 keer
Contact:

Re: Mikrotik firewall nat rule

Berichtdoor krisken » 25 Jan 2015, 03:35

Waarom "allow-remote-requests=yes"?
Dit stelt toch je MT open voor DNS requests aan de WAN kant?

Internet = Orange 100/10Mbps + WirelessBelgië + Billi (2x 100/30Mbps profiel)
Telefonie = WeePee + Speakup + Billi + OVH
GSM = Orange Koala Smartphone + Scarlet Red
TV = Bhaalu + Netflix + Orange
Netwerk = Mikrotik & UBNT powered

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29355
Lid geworden op: 28 Okt 2003
Bedankt: 1938 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 411 keer

Re: Mikrotik firewall nat rule

Berichtdoor r2504 » 25 Jan 2015, 19:12

Als je alles dropped op je WAN is dit geen probleem... maar misschien moet ik inderdaad nog eens kijken waarom het nodig was.

custk9
Starter Plus
Starter Plus
Berichten: 44
Lid geworden op: 16 Jan 2007
Bedankt: 4 keer
Uitgedeelde bedankjes: 3 keer

Re: Mikrotik firewall nat rule

Berichtdoor custk9 » 25 Jan 2015, 21:41

r2504 schreef:Als je alles dropped op je WAN is dit geen probleem... maar misschien moet ik inderdaad nog eens kijken waarom het nodig was.


Als je dat niet aan zet dan kunnen clients op je lan ook geen DNS requests doen. Rare situatie die ik niet zo goed snap maar er is wel meer van MT dat ik niet snap.

petzl
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 07 Aug 2010
Locatie: Holsbeek - JO20IV
Bedankt: 90 keer
Uitgedeelde bedankjes: 1 keer
Contact:

Re: Mikrotik firewall nat rule

Berichtdoor petzl » 26 Jan 2015, 07:35

allow remote moet dus aanstaan anders heb je geen dns server ....

als je pppoe gebruikt moet je zien dat "use peer dns' uit staat, anders overschrijft hij je settings .. redelijk irritant bij multi wan configs
Afbeelding


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast