Encaminhamento de porta da rede interna para a rede interna (hairpin NAT)

16

Configurei com sucesso um encaminhamento de porta em um roteador Mikrotik que traduz cada solicitação que vai para o endereço IP da WAN na porta 8844 (digamos: 20.20.20.22:8844) do mikrotik para o endereço IP local e a mesma porta.

Como tenho um nome DNS para o endereço IP da WAN (20.20.20.22), gostaria que essa regra também funcionasse na rede interna:

192.168.111.77 -> 20.20.20.22:8844 -> 192.168.111.2:8844

Encontrei uma página da web do Mikrotik que descreve esta situação: http://wiki.mikrotik.com/wiki/Hairpin_NAT Mas não consegui alcançar o mesmo.

Aqui está uma tela de impressão da regra

insira a descrição da imagem aqui

É apenas uma tela de impressão parcial, mas todo o resto não está definido (em branco).

EDIT: a regra de encaminhamento de porta e o disfarce clássico no roteador são assim:

/ip firewall nat
add chain=dstnat in-interface=ether1-gateway protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844
add chain=srcnat out-interface=ether1-gateway action=masquerade
Joudicek Jouda
fonte

Respostas:

16

A solução é reescrever o encaminhamento de porta para governar para não usar in-interface = ether1-gateway , mas dst-address-type = local :

/ip firewall nat
add chain=dstnat dst-address-type=local protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844

Em seguida, adicione o hairpin NAT conforme especificado na postagem original:

/ip firewall nat
add chain=srcnat src-address=192.168.111.0/24 \
  dst-address=192.168.111.2 protocol=tcp dst-port=8844 \
  out-interface=bridge-local action=masquerade
Joudicek Jouda
fonte
Não consigo fazer isso funcionar se estiver usando uma ponte. Alguma ideia?
pcunite
@pcunite: acabei de testar isso com o RouterOS 6.24 + bridge-local e funciona perfeitamente!
lifeofguenter
@JoudicekJouda Eu também segui as instruções no wiki wiki.mikrotik.com/wiki/Hairpin_NAT, mas eles nunca disseram usar dst-address-type = local na regra de encaminhamento de porta em vez de in-interface = ether1-gateway . Por que isso faz diferença, eu me pergunto?
Jonathan Komar
0

Nat Masquerade 192.168.111.0/24 a 192.168.111.0/24 funciona para todos os serviços de uma só vez. não especifique interfaces ou porta. porta interna deve ser igual à porta externa.

user721084
fonte
1
Bem-vindo ao Super Usuário! Sua resposta pode ser melhorada, fornecendo um pouco mais detalhadamente de como implementá-la, especialmente para aqueles que podem ser novos no sistema em questão.
Eu digo Reinstate Monica