Mikrotik - port forward probléma

Hálózati eszközök

Sziasztok!

Van egy kis iroda, Mikrotik routerrel, dinamikus WAN IP címmel, amit a Mikrotik DDNS szolgáltatásával mindig fel tudok oldani kintről. CNAME-el meg van feleltetve az iroda.cegnev.hu névnek.
Az irodában három LAN került kialakításra. Ezek közül az egyiknek, a "fő LAN-nak" az IP körzete a 192.168.31.0/24. Ebben a hálózatban van minden munkaállomás és egy kis szerver is.
A másik két hálózat a 192.168.62.0/24 és a 192.168.93.0/24 - tesztelésre vannak, a jelenlegi problémában elvileg nem játszanak szerepet.

A kis szervernek bizonyos portjait szeretnénk elérni kívülről - amit sikerült is megoldani, működik.
A gond az, hogy szeretnénk belülről is, a belső "fő LAN" hálózatból elérni a kis szerver portjait úgy, hogy a WAN IP DNS nevével hivatkozunk rá.

Azaz kintről az iroda.cegnev.hu 443-as portja szépen elérhető.
Bentről az iroda.cegnev.hu 443-as portja nem érhető el.
Bentről a kis szerver LAN IP 443-as portja elérhető.

Egészen pontosan bentről a telnet iroda.cegnev.hu 443-as portja ezt adja:


telnet iroda.cegnev.hu 443
Trying xxx.xxx.xxx.xxx...
telnet: Unable to connect to remote host: Connection refused

A kis szerver LAN IP címe: 192.168.31.253
A router LAN címe: 192.168.31.254

Hogyan lehetne megoldani, hogy bentről is menjen az iroda.cegnev.hu 443-as portja?

Jelenleg így néz ki a tűzfal és a NAT:


> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""

2 ;;; defconf: accept established,related
chain=input action=accept connection-state=established,related log=no log-prefix=""

3 ;;; A felsorolt - egyebkent nem hasznalatos - portok valamelyikere erkezo keres forras IP cimenek blacklist listara tetele.
chain=input action=add-src-to-address-list protocol=tcp address-list=blacklist address-list-timeout=1d in-interface=ether1 dst-port=22,23,3389 log=no log-prefix=""

4 ;;; A blackilst IP cimeit dropolja.
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=no log-prefix=""

5 ;;; defconf: drop all from WAN
chain=input action=drop protocol=tcp in-interface=ether1 dst-port=!21,222,29,80,441,443,1500,22222 log=no log-prefix=""

6 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

7 ;;; Voip-telefon->Privat
chain=forward action=drop src-address=192.168.93.0/24 dst-address=192.168.31.0/24 log=no log-prefix=""

8 ;;; Voip-telefon->Publikus
chain=forward action=drop src-address=192.168.93.0/24 dst-address=192.168.62.0/24 log=no log-prefix=""

9 ;;; Publikus->Privat
chain=forward action=drop src-address=192.168.62.0/24 dst-address=192.168.31.0/24 log=no log-prefix=""

10 ;;; Privat->Publikus
chain=forward action=drop src-address=192.168.31.0/24 dst-address=192.168.62.0/24 log=no log-prefix=""

11 ;;; Privat->Voip-telefon
chain=forward action=drop src-address=192.168.31.0/24 dst-address=192.168.93.0/24 log=no log-prefix=""

12 ;;; Publikus->Voip-telefon
chain=forward action=drop src-address=192.168.62.0/24 dst-address=192.168.93.0/24 log=no log-prefix=""

13 ;;; defconf: accept established,related
chain=forward action=accept connection-state=established,related log=no log-prefix=""

14 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""

15 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""

A NAT:


> /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.93.0/24 dst-address=192.168.10.0/24 log=no log-prefix=""

1 X ;;; L2TP VPN miatt
chain=srcnat action=accept src-address=192.168.31.0/24 dst-address=192.168.26.0/24 log=no log-prefix=""

2 chain=srcnat action=accept src-address=192.168.31.0/24 dst-address=172.16.0.0/16 log=no log-prefix=""

3 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

4 ;;; Zoli-desktop-SSH
chain=dstnat action=dst-nat to-addresses=192.168.31.10 to-ports=22222 protocol=tcp in-interface=ether1 dst-port=22222 log=no log-prefix=""

5 ;;; Test-SSH
chain=dstnat action=dst-nat to-addresses=192.168.31.253 to-ports=222 protocol=tcp in-interface=ether1 dst-port=222 log=no log-prefix=""

6 X chain=dstnat action=dst-nat to-addresses=192.168.31.253 to-ports=21 protocol=tcp in-interface=ether1 dst-port=21 log=no log-prefix=""

7 chain=dstnat action=dst-nat to-addresses=192.168.31.253 to-ports=80 protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix=""

8 ;;; Backupserver Zabbix
chain=dstnat action=dst-nat to-addresses=192.168.31.253 to-ports=10050 protocol=tcp in-interface=ether1 dst-port=10050 log=no log-prefix=""

9 ;;; L2TP VPN miatt
chain=srcnat action=masquerade src-address=192.168.31.0/24 log=no log-prefix=""

10 chain=dstnat action=dst-nat to-addresses=192.168.31.253 to-ports=443 protocol=tcp in-interface=ether1 dst-port=443 log=no log-prefix=""

Előre is köszönök mindenkinek minden ötletet, segítséget! :)

  • 2434 megtekintés

( csucsu | 2017. 11. 13., h – 17:27 )

Esetleg egy ilyen is megoldás lehetne:

/ip dns static add address=192.168.31.253 name=iroda.cegnev.hu

cs.

( uid_3194 | 2017. 11. 13., h – 17:37 )

Ha jól értettem, akkor a belső hálón van az a gép is, amit DST NAT-al kintről elérhetővé tettél és szeretnéd bentről is ugyan azon a néven elérni?
Mikrotik DNS szerverébe vedd fel azzal a névvel a belső IP-vel, amivel el szeretnéd érni (gondolom a mikrotik a gw és a DNS cache is) és kész is.

--
Tanya Csenöl az új csatorna

( royal v | 2017. 11. 13., h – 17:50 )

Ha minden igaz, akkor kb:


/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.31.0/24 src-address=192.168.31.0/24 to-addresses=192.168.31.254
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 protocol=tcp to-addresses=192.168.31.253 to-ports=443

--
http://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

( Mono v | 2017. 11. 16., cs – 16:35 )

Mindenkinek nagyon szépen köszönöm a válaszokat!
Valóban nem vagyok ennyire jártas ebben, de a segítségetekkel sikerült megoldanom :)