Mikrotik port forward - nem működik [megoldva]

Hálózatok általános

Van egy Mikrotik routerem, ami egy bridge módban üzemelő Huawei optikai "modem" mögött van.
Szükségem lenne arra, hogy internet felől elérjek egy belső hálózaton üzemelő webszervert.
Eddig sikertelen a próbálkozásom, a segítségeteket szeretném kérni.

Bár már jelenleg nincsen semmilyen tiltó szabály a Mikrotik tűzfalában, létrehoztam egy "accept"-et a 8443-as portra (ezen fogadnám a külső kapcsolódást és irányítanám majd át a belső hálózaton levő gép 80-as portjára).

Így hoztam létre:
/ip firewall filter
add action=accept chain=input comment="test web" dst-port=8443 in-interface=pppoe-digi protocol=tcp src-port=""

Készítettem hozzá NAT-ot:
/ip firewall nat
add action=dst-nat chain=dstnat comment="test web" dst-port=8443 in-interface=pppoe-digi protocol=tcp src-port="" to-addresses=192.168.1.10 to-ports=80

Bekapcsoltam a cloud-ot:
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m

Az ether1 interfész fogadja az internetet:
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-digi user=digiusernev

A cloud így néz ki:
/ip cloud print
          ddns-enabled: yes
  ddns-update-interval: 5m
           update-time: yes
        public-address: 188.143.xx.xyz
              dns-name: sokszám.sn.mynetname.net
                status: updated
               warning: Router is behind a NAT. Remote connection might not work.

Az Interface -> pppoe-digi "Status" alatt ezt látom:
Local address: 100.67.xyz.xyz
Remote Address: 10.0.0.1
Actice links: 1
Active AC Name: DIGI
stb...

Szóval nem teljesen világos, miért látok más "Public address"-t a Cloud alatt, mint a pppoe-digi interfész státusza alatt?
A cloud azt is jelzi, hogy a router NAT mögött van, ez mennyire lehet biztos?
Annak idején kértem a szolgáltatótól, hogy publikus IP címet adjanak, mert szükségem lehet külső elérésre (akkor az előtt valamilyen privát IP címet adtak, meg is változott publikusra).

A tűzfal acceptjénél és NAT-jánál az "in-interface"-t próbáltam "pppoe-digi"-vel és "ether1"-el is, egyikkel sem ment.

Én csinálok valamit rosszul? Mit? :)
Vagy mi lehet az oka, hogy sem a pppoe-digi interfész "Local address" alatt látszó IP címen, sem a Cloud alatt látszó "Public Address"-en nem érem el a LAN-ban levő webszerverem?

Minden segítséget szívesen veszek és előre is köszönök! :)

  • 817 megtekintés

( bstorm | 2022. 02. 15., k – 09:42 )

"warning: Router is behind a NAT. Remote connection might not work.

Az Interface -> pppoe-digi "Status" alatt ezt látom:
Local address: 100.67.xyz.xyz"

NAT-olt IP-t kapsz, ha jól látom, hívd fel a digit, hogy rendes kéne és akkor még jó is lesz :)

( b10up | 2022. 02. 15., k – 12:12 )

Ahogy bstorm írta, kérni kell a digitől publikus v4 címet. Ott szerencsére nem nagyon szoktak ezen problémázni, egy pppoe reconnect és utána már publikus lesz. És/vagy használhatsz mellette ipv6-ot. A mikrotikes DDNS viszi azt is. 

Azért elég sokon van. Telekomnál DSL+optika területen ha nem fixip-s cím, akkor legtöbb helyen már van. Mobilneten szintén. Telenoros mobilneten szintén van. Digi optikán is van v6.  Szóval annyira nem rossz a helyzet feltétlenül, de lehetne sokkal jobb is. Ha mobilnet mögé kell vpn-eznem, az már szinte alap, hogy Mikrotik+IPv6 alapú tunnel lesz.

Igazán sokat nem segítene. Az összes elérhető szolgáltatás 30-35%-a érhető el IPv6-on. Kb. ugyan ilyen arány (vagy kevesebb), ahol van IPv6 kliens oldalon. Hiába lenne IPv6 címem otthon, eléggé nagy lenne az esélye, hogy ahol épp vagyok, onnan nem érem el, mert nincs a köztes útvonal valamely részén támogatás hozzá.

Ettől függetenül a Digi pont ad IPv6 prefix-et, ha úgy állítod be a kliensed, szóval ez jelen esetben pont nem lenne szűk keresztmetszet, ha megoldást jelentene.

( hg2ebh | 2022. 02. 15., k – 15:33 )

a NAT-olt szolgáltatói IP cím mellett eltörpül, de azért lényeges: INPUT helyett FORWAD chain-re kell a megengedő szabály ;)

( ibenny v | 2022. 02. 15., k – 16:15 )

Szerkesztve: 2022. 02. 15., k – 16:28

Fel off:

Nagyon nagy baj, hogy a vilag inkabb a gany CG-NAT fele mozdult el egy tisztesseges DS helyett, tizenev ota gyakorlatilag egy helyben allunk az IPv6-penetraciot tekintve.

( Mono v | 2022. 02. 16., sze – 11:34 )

Hálásan köszönöm mindenkinek a segítségét!

A NAT volt a probléma, írtam a Diginek és át is állították.