Problemi di port forwarding

[Henryx]

Configurando un RouterOS 4.2 mi ritrovo questa situazione:

Codice: Seleziona tutto

[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                                        TYPE             MTU   L2MTU
0  R  lan_office                                  ether            1500  1524
1  R  lan_tin                                     ether            1500  1524
2  R  lan_voip                                    ether            1500  1524
3  R  lan_shdsl                                   ether            1500  1524
4  X  ether5-local                                ether            1500
5  R  pppoe-shdsl                                 pppoe-out        1480
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         BROADCAST       INTERFACE
0   ;;; LAN Tin.IT
     172.29.17.192/24   172.29.17.0     172.29.17.255   lan_tin
1   ;;; LAN ufficio
     192.168.70.1/24    192.168.70.0    192.168.70.255  lan_office
2   ;;; LAN VoIP
     192.168.1.192/24   192.168.1.0     192.168.1.255   lan_voip
3 D $(ip_pubblico)/32   $(network_pubblica)  0.0.0.0   pppoe-shdsl
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          212.66.96.108      1
1   S  0.0.0.0/0                          lan_tin            2
2 A S  $(ip_esterno)/32                   172.29.17.1        1
3 A S  $(network_esterna)/22              172.29.17.1        1
4 ADC  172.29.17.0/24     172.29.17.192   lan_tin            0
5 ADC  192.168.1.0/24     192.168.1.192   lan_voip           0
6 ADC  192.168.70.0/24    192.168.70.1    lan_office         0
7 A S  $(ip_esterno)/32                    pppoe-shdsl        1
8 ADC  $(network_pubblica)/32 $(ip_pubblico) pppoe-shdsl      0
9 A S  $(ip_esterni)/29                    pppoe-shdsl        1
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; eMule
     chain=forward action=log p2p=edonkey log-prefix="-- Firewall eMule --"

1   ;;; eMule
     chain=forward action=drop p2p=edonkey

2   ;;; default configuration
     chain=input action=accept

3   chain=forward action=accept

4   chain=output action=accept
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; default configuration
     chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=pppoe-shdsl

1   chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=lan_tin

2   chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=lan_voip

3   chain=dstnat action=dst-nat to-addresses=192.168.70.215 to-ports=80
     protocol=tcp dst-address=$(ip_pubblico) dst-port=8080
[admin@MikroTik] >


la configurazione di per se funziona, eccetto per il port forwarding. O meglio, il port forwarding funziona solo se mi connetto a $(ip_pubblico) da una rete esterna alla mia. Se invece provo a connettermi dalla rete interna a $(ip_pubblico), la connessione va in timeout e non mi mostra alcun risultato. Considerando che ho seguito il wiki per impostare il port forwarding, qualcuno ha idea su cosa sbaglio?

Enrico
P.S. si, lo so che potrei accedere all'ambiente direttamente mediante l'ip della LAN, ma per motivi tecnici mi serve accedervi via $(ip_pubblico) (ovvero, l'aplicazione web che gira su quella macchina richiede necessariamente quell'indirizzo per funzionare)

[4ISP]

Codice: Seleziona tutto

0   ;;; default configuration
     chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=pppoe-shdsl

1   chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=lan_tin

2   chain=srcnat action=masquerade src-address=192.168.70.0/24
     out-interface=lan_voip

come mai fai 3 masquerade della stessa classe sorgente su 3 out-interface diverse?


così ad occhio, prova ad aggiungere un dst-address=!192.168.70.0/24 sulle regole di masquerade in modo che natti solo il traffico diretto all'esterno e non quello diretto all'interno della lan;

comunque ho letto il tutto di fretta, casomai dopo guardo con più attenzione!

ciao

[4ISP]

ah, upgrada la 4.2 alla 4.5 o downgrada alla 3.30 perchè la serie 4.x non è che sia molto stabile (la 4.5 pare di sì )

[Henryx]

Le regole di masquerade sono tre in quanto sono riferite ad altrettante linee ADSL/HDSL.
Di conseguenza, devo essere in grado di garantire il servizio anche su quelle linee (in teoria, quando avro` piu` tempo, potrei fare anche del load balancing sulle tre reti)
Comunque, cambiando le regole di masquerading come da te suggerito, la situazione diventa questa:

Codice: Seleziona tutto

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; default configuration
     chain=srcnat action=masquerade src-address=192.168.70.0/24
     dst-address=!192.168.70.0/24 out-interface=pppoe-shdsl

1   chain=srcnat action=masquerade src-address=192.168.70.0/24
     dst-address=!192.168.70.0/24 out-interface=lan_tin

2   chain=srcnat action=masquerade src-address=192.168.70.0/24
     dst-address=!192.168.70.0/24 out-interface=lan_voip

3   chain=dstnat action=dst-nat to-addresses=192.168.70.215 to-ports=80
     protocol=tcp dst-address=$(ip_pubblico) dst-port=8080
[admin@MikroTik] >


Provando pero` a connettermi all'ip pubblico, il rsultato non cambia, ovvero la connessione va in timeout, anzi, in questo modo sembra non fare alcun match sulla regola di port forwarding (secondo le statistiche di winbox non vi e` alcun traffico in transito). Per quanto riguarda l'aggiornamento di RouterOS, per ora mi e` piu` indispensabile risolvere questo problema, poi ci pensero`

Enrico

[figheras]

sposto l'argomento nella sezione giusta.....
Mi raccomando fate attenzione a dove inserite i vostri post..

Umilmente grazie

[Henryx]

@Figheras:

Grazie, in effetti non sapevo qual era la sezione adatta ed ho adottato quella che mi sembrava piu` opportuna. Comunque sia, anche per dare qualche informazione in piu`, eseguendo un traceroute di $(ip_pubblico) noto che la connessione si ferma al primo hop (ovvero non esce dalla rete interna), mentre verificando le connessioni attive tramite winbox, vedo che il campo TCP State e` a "syn sent", mentre la connessione viene marchiata con il flag "U"

Enrico

[maxumi]

scusa, ma come fai la prova di collegamento in uscità?

perche tu appunto hai fatto una regola di port mapping, quindi mappi solamente la porta esterna su l'ip interno porta da te indicata.

ma non esegue nessuna operazione inversa. quando fai una connessione dal tuo pc ad un ip esterno ovviamente a seconda di quello che fai utilizzi delle porte random. non è che se devi accedere ad un server web utilizzi sempre la porta 80 anche in uscita.

questa premessa per dirti che ad esempio io per ottenere il risultato che vuoi te. Faccio un mapping 1:1 sull'ip address. Inserendo una regola di esclusione dalla NAT per l'ip interno in questione.

[vlad8]

http://wiki.mikrotik.com/wiki/Hairpin_NAT

questa è la soluzione