Port forwarding problematico?

[kimba]

Ciao,
Ho installato dei servizi su un mio server linux che vorrei anche esporre su internet.
Sulla macchina linux ho installato anche nginx proxy manager che si occupa di richiedere pure un certificato SSL Letsencrypt. Non ho tanta esperienza con questi servizi e lì sto studiando in verità.
Il problema che vorrei sottoporvi però riguarda il portforwarding..credo.

Come router ISP ho la Vodafone station revolution. Ho posto tra questo router della Vodafone e la mia LAN anche un MIkrotik, sia per motivi di studio che per separare la mia LAN da quella gestita direttamente dalla VSR usata dal resto delle persone in casa.
Cercando di far funzionare quei servizi e accedere dall'esterno alla dashboard di Nginx mi sono accorto che qualcosa non funzionava. Ho quindi semplificato la rete collegando direttamente al router della Vodafone il server linux, ho attivato il suo firewall, e associato le porte interessate 80 e 443 all'indirizzo IP assegnato dal router Vodafone al server linux. Mi sono pure sincerato che le porte erano aperte tramite un servizio di check delle porte online
Sono quindi riuscito ad attivare il certificato ssl e ad accedere alla dashboard dall'esterno (non prima di aver attivato anche un servizio DDNS).
Ho riposizionato il MIkrotik al suo posto per riprovare ma questa volta con le reti separate (si, sono sotto doppio NAT in questo caso, ma per motivo di studio come dicevo a me va bene così). La subnet Vodafone è tipo 192.168.1.0/24, quella interna gestita dal Mikrotik è tipo 192.168.3.0/24.

Il portforwarding dalla Vodafone quindi l'ho associato questa volta all'IP del Mikrotik (LAN Vodafone -Porta WAN per il Mikrotik), che adesso, teoricamente dovrebbe fare il portforward a sua volta verso la macchina linux).

Pensavo che queste due regolette NAT fossero sufficienti:

Codice: Seleziona tutto

add action=dst-nat chain=dstnat comment="nginx vm" dst-port=443 in-interface-list=WAN log=yes protocol=udp src-port=443 to-addresses=192.168.3.93 to-ports=443
add action=dst-nat chain=dstnat comment="nginx vm" dst-port=80 in-interface-list=WAN log=yes protocol=udp src-port=80 to-addresses=192.168.3.93 to-ports=80



ma non va. Non vedo in pratica traffico di byte in queste regole né nei log.

Non sono un esperto di Mikrotik né di networking in genere e sicuramente ci sarà qualcosa che mi sfugge, quindi cerco di andare per esclusione nell'individuare una causa del problema.

Mi potete aiutare?

Grazie

[abbio90]

Prova anziché selezionare la in-interfwce a specificare se in dst-address l'IP assegnato alla RB in Wan...inoltre disabilità il web server mikrotik nel menu ip service..se no risponde la porta 80 del suo web server stesso

[kimba]

Prova anziché selezionare la in-interfwce a specificare se in dst-address l'IP assegnato alla RB in Wan.

Scusami ma qui non ho capito esattamente cosa fare.

..inoltre disabilità il web server mikrotik nel menu ip service..se no risponde la porta 80 del suo web server stesso

Ho provato in effetti a fare come dici. Ho rifatto il check delle porte aperte da quel tool online di cui parlavo sopra e questa volta però la porta risultava chiusa. Ho quindi riabilitato il webserver e anche il servizio ssl e rilanciato il check, sia la porta 80 che 443 risultavano aperte di nuovo. Ho abilitato/riabilitato più volte per prova e in effetti pare che questa cosa abbia il suo peso, come se il mikrotik si mettesse di mezzo.

Però c'è qualcosa che non mi è chiata. È necessario avere delle porte aperte/in ascolto per far si che le porte del router risultino aperte lanciando il check da questi tool o è un problema del router Vodafone?

Grazie

[abbio90]

Praticamente nel dst-nat che hai creato cancella il campo in-interfwce e compila il campo dst address..
Nel campo dst-address ci scrivi l'IP che risulta attestato al mikrotik in WAN..se fosse dinamico ci puoi mettere la subnet completa es. 192.168.0.0/24

[kimba]

Praticamente nel dst-nat che hai creato cancella il campo in-interfwce e compila il campo dst address..
Nel campo dst-address ci scrivi l'IP che risulta attestato al mikrotik in WAN..se fosse dinamico ci puoi mettere la subnet completa es. 192.168.0.0/24

Ci sono riuscito!!
Anche se non mi era chiaro del tutto il tuo suggerimento avevo fatto delle ricerche in merito (non mettevo mano al mikrotik da un bel po') e ho trovato questo tutorial:

https://monovm.com/blog/port-forwarding-on-mikrotik/

Ho fatto gli adattamenti del caso e adesso funziona tutto. Riesco ora ad accedere in hhtps alla dashboard di nginx dall'esterno. Grande! Ora posso attivare gli altri servizi come Nextcloud.

Per quanto riguarda la mia seconda domanda, che è più che altro sui fondamentali del networking (in cui sono ancora carente purtroppo) cosa mi puoi dire? È necessario avere un servizio che sia in ascolto su quelle porte (in questo caso 80/443) perché, in seguito ad un check esterno delle stesse, risultino aperte??
Credevo che bastasse aprirle già dal router (in associazione porte del router Vodafone nel mio caso).
Un chiarimento su questa faccenda mi sarebbe molto prezioso per le mie conoscenze sul funzionamento delle reti.
In ogni caso, grazie ancora. Sei stato molto utile.
Hai una birra a credito


ps: Un'ultima cosa. Perché alcune altre regole per le porte tipo quelle che uso per permettere a OpevVPN (1194)o wireguard di aprire un canale criptato con la mia rete interna funzionano pure non avendo specificato alcuno IP WAN o interfaccia di input - o per altre (tipo le porte torrent) solo l'interfaccia WAN??

[abbio90]

In linea di massima se hai una sola Wan spesso tutto funziona anche solo selezionando l'interfaccia...se ne hai due di interfaccie Wan direi che è meglio usare gli indirizzi Wan nel dst..

In tutte le regole con mikrotik è sempre meglio usare ip piuttosto che interfacce..
Inoltre la porta 80 e 443 sono spesso una rottura quando si è alle prime armi..
1. Perché se sono abilitati nella sezione IP service dei servizi con quelle porte rispondono quelli senza dare precedenza ai dst-nat..

2. Alcune porte funzionano anche senza specificare nemmeno l'interfaccia..
Ma se lo fai con porta 80 o 443 non navighi più da lan

[kimba]

Ok grazie