Da lan verso indirizzo pubblico (interno) - loopback

[woks]

Buonasera,
ho configurato un rb951g come router casalingo collegato come client pppoe sul modem fibra telecom.
Seguendo le istruzioni nei vari post del forum, sono riuscito ad ottenere un buon risultato (a mio parere ) sul fronte configurazione, ovvero tutto sembra funzionare...
L'unica cosa che non riesco a far funzionare è il raggiungimento di alcuni dispositivi (nas, webcam, etc) nattati e raggiungibili regolarmente dall'esterno, ma non raggiungibili dall'interno della lan.
Utilizzando il mio indirizzo pubblico o un nome ddns più la porta dall'esterno è tutto ok mentre dall'interno della lan ogni richiesta mi va in time out (logicamente tutto funziona utilizzando gli indirizzi interni).
Ho provato a disabilitare ogni regola sul firewall per vedere se dipendeva da un blocco ma il risultato non cambia, quindi documentandomi su internet ho trovato informazioni sul loopback, che dovrebbe essere ciò che chiedo?
Mi potete dare qualche dritta su come risolvere la situazione?
Grazie

[ppraz]

Quello che succede è un caso di routing asimmetrico, cioè tu contatti l'ip pubblico, quindi passi per il router, il pacchetto viene consegnato al nas, che però ti risponde direttamente, bypassando il router.
Quindi ti arriva una risposta da parte di un oggetto che non hai contattato e il tuo pc lo scarta.

Non credo si possa risolvere, a meno di mettere gli oggetti nattati su una sottorete differente (anche solo come IP, stesso dominio di broadcast)

[woks]

Grazie infinite per la risposta! allora provo a fare dei test con le sottoreti.
Prima di entrare nel mondo routeros usavo solo modem di genere commerciale, ma questo problema non si era mai presentato, come pensi riescano a risolvere tale problematica?
Ciao

[ppraz]

Non saprei, dovresti "sniffare" con wireshark o roba simile quello che succede con un modem router tradizionali e capire a chi va la richiesta e come ritorna la risposta.

[marcovnet]

Risolvi il problema, creando delle regole di nat, dove come dst addr usi il tuo ip pubblico, in interface ovviamente la tua rete interna e il resto e uguale alla regola di nat che usi dall'esterno. Dopo fai una regola di srcnat con action masquerate dove src e il dest sono la classe di rete locale. Ovviamente queste regole sono da mettere in alto. Prima del srcnat principale

[woks]

stasera appena torno a casa provo. Grazie!

[woks]

mi sono un pò incartato, mi da errore quindi presumo stia sbagliando

La seconda regola credo di averla messa bene, mentre per la prima ho degli errori nell'inserimento.
Puoi scrivermi più nel dettaglio le istruzioni?

[marcovnet]

Posta la configurazione che hai provato a fare, che vediamo di correggerla

[marcovnet]

E anche tutta la configurazione del nat

[woks]

Eccomi sono riuscito a riprendere in mano la configurazione,
la struttura è abbastanza semplice:
Ho il modem telecom sull'indirizzo 192.168.0.1 con dhcp spento
sulla stessa subnet ho anche il mikrotik all'indirizzo 192.168.0.250 collegato in pppoe denominata "Telecom_fibra"

Codice: Seleziona tutto

/ip firewall filter
add action=drop chain=forward dst-address=192.168.0.0/24 log-prefix="" src-address=10.0.0.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" log-prefix="" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" log-prefix="" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" log-prefix="" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" log-prefix="" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" log-prefix="" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" log-prefix="" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" log-prefix="" src-address-list="port scanners"
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 log-prefix="" protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 dst-port=25 limit=50,5:packet log-prefix="" protocol=tcp
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 log-prefix="" protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" log-prefix="" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" log-prefix="" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" log-prefix="" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP log-prefix="" protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 log-prefix="" protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP log-prefix="" protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons log-prefix=""
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet log-prefix="" protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 log-prefix="" protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" log-prefix="" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" log-prefix="" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established log-prefix="" protocol=tcp
add action=accept chain=input comment="Accept to related connections" connection-state=related log-prefix="" protocol=tcp
add action=accept chain=input comment="Full access to SUPPORT address list" log-prefix="" src-address-list=support
add action=accept chain=input comment="Allow tcp 1723 VPN PPTP" dst-port=1723 log-prefix="" protocol=tcp
add action=accept chain=input log-prefix="" protocol=gre
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" log-prefix=""
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 log-prefix="" protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 log-prefix="" protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 log-prefix="" protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 log-prefix="" protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" log-prefix="" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP log-prefix="" protocol=icmp
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5:packet log-prefix="" protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT log-prefix="" out-interface=Telecom_Fibra
add action=dst-nat chain=dstnat dst-port=80 in-interface=Telecom_Fibra log-prefix="" protocol=tcp to-addresses=192.168.0.250 to-ports=80
add action=dst-nat chain=dstnat dst-port=1723 in-interface=Telecom_Fibra log-prefix="" protocol=tcp to-addresses=192.168.0.250 to-ports=1723
add action=dst-nat chain=dstnat comment="STATIC PORT FORWARDING" dst-port=5000 in-interface=Telecom_Fibra log-prefix="" protocol=tcp to-addresses=192.168.0.3 to-ports=5000
add action=dst-nat chain=dstnat dst-port=16881 in-interface=Telecom_Fibra log-prefix="" protocol=tcp to-addresses=192.168.0.3 to-ports=16881
add action=dst-nat chain=dstnat dst-port=6881 in-interface=Telecom_Fibra log-prefix="" protocol=udp to-addresses=192.168.0.3 to-ports=6881
add action=dst-nat chain=dstnat dst-port=4662 in-interface=Telecom_Fibra log-prefix="" protocol=tcp to-addresses=192.168.0.3 to-ports=4662
add action=dst-nat chain=dstnat dst-port=4672 in-interface=Telecom_Fibra log-prefix="" protocol=udp to-addresses=192.168.0.3 to-ports=4672
add action=dst-nat chain=dstnat comment=TEAMVIEWER dst-port=5938 log-prefix="" protocol=tcp to-ports=5938