Mikrotik firewall nat rule

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
willem2
Member
Member
Berichten: 76
Lid geworden op: 31 mei 2011, 14:56
Locatie: 2830
Uitgedeelde bedankjes: 9 keer
Bedankt: 11 keer

Een mikrotik beginnersvraagje.
Ik heb in ip - firewall - nat de volgende rule (om een lokale webserver remote toegankelijk te maken):

Code: Selecteer alles

chain=dstnat action=dst-nat to-addresses=192.168.x.x to-ports=443 protocol=tcp in-interface=ether1-gateway dst-port=xxxxx log=no log-prefix=""
Remote is de webserver dan benaderbaar via de URL:

Code: Selecteer alles

https://mijnwebserver.be:xxxxx
en lokaal via:

Code: Selecteer alles

https://192.168.x.x:443
De vraag:
Hoe kan ik de firewall rule aanpassen zodat de remote URL ook lokaal werkt?
petzl
Elite Poster
Elite Poster
Berichten: 958
Lid geworden op: 07 aug 2010, 23:35
Locatie: Holsbeek - JO20IV
Uitgedeelde bedankjes: 1 keer
Bedankt: 94 keer
Contacteer:

bij IP - dns - static dacht ik , dns naam + uw lokaal ip opgeven
je moet wel de MT dns server dan gebruiken

ik werk trouwens altijd met winbox
Afbeelding
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

petzl schreef:bij IP - dns - static dacht ik , dns naam + uw lokaal ip opgeven
Dan doe je dus eigenlijk split-DNS.

Het probleem/oplossing (let wel op de nadelen) staat hier trouwens... http://wiki.mikrotik.com/wiki/Hairpin_NAT
Gebruikersavatar
willem2
Member
Member
Berichten: 76
Lid geworden op: 31 mei 2011, 14:56
Locatie: 2830
Uitgedeelde bedankjes: 9 keer
Bedankt: 11 keer

r2504 schreef:Het probleem/oplossing (let wel op de nadelen) staat hier trouwens... http://wiki.mikrotik.com/wiki/Hairpin_NAT
Ben gaan kijken,... en heb het idee (voorlopig) afgevoerd.

Bij

Code: Selecteer alles

IP - dns - static
stond nog het default IP (192.168.88.1) van de MT, dit is gewijzigd, dus regel gewist.

Code: Selecteer alles

IP - dns - servers
was leeg, hier heb ik het IP van de MT toegevoegd. (zie het begin van deze tutorial)
petzl schreef:ik werk trouwens altijd met winbox
winbox en wine vind ik geen beste vrienden, maar kan me prima behelpen met webfig en hou van de overzichtelijkheid van de cli 8). Bedankt voor de reacties!
petzl
Elite Poster
Elite Poster
Berichten: 958
Lid geworden op: 07 aug 2010, 23:35
Locatie: Holsbeek - JO20IV
Uitgedeelde bedankjes: 1 keer
Bedankt: 94 keer
Contacteer:

wat is er mis met de combinatie van winbox en wine ?

vergeet niet een default gateway in je static ip configs te zetten als je wine gebruikt ....

volgens mij moet je nooit je zelf opgeven als dns .... en reboot bij een mikrotik ? vreemde tutoral ...
Afbeelding
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

Als ik kijk naar een config die ik voor iemand gedaan heb dan heb ik enkel het volgende;
/ip dns
set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes

/ip dns static
add name www.company.com address=192.168.1.201
Natuurlijk geeft de DHCP server van het netwerk dan het IP-adres van de MT door... anders heeft het weinig zin.
petzl
Elite Poster
Elite Poster
Berichten: 958
Lid geworden op: 07 aug 2010, 23:35
Locatie: Holsbeek - JO20IV
Uitgedeelde bedankjes: 1 keer
Bedankt: 94 keer
Contacteer:

enkel bij dhcp config moet je verwijzen naar je eigen MT als dns server ...
Afbeelding
krisken
Moderator
Moderator
Berichten: 19634
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1863 keer
Bedankt: 1003 keer
Contacteer:

Waarom "allow-remote-requests=yes"?
Dit stelt toch je MT open voor DNS requests aan de WAN kant?

Internet = Orange 100/10Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

Als je alles dropped op je WAN is dit geen probleem... maar misschien moet ik inderdaad nog eens kijken waarom het nodig was.
custk9
Starter Plus
Starter Plus
Berichten: 49
Lid geworden op: 16 jan 2007, 14:51
Uitgedeelde bedankjes: 4 keer
Bedankt: 4 keer

r2504 schreef:Als je alles dropped op je WAN is dit geen probleem... maar misschien moet ik inderdaad nog eens kijken waarom het nodig was.
Als je dat niet aan zet dan kunnen clients op je lan ook geen DNS requests doen. Rare situatie die ik niet zo goed snap maar er is wel meer van MT dat ik niet snap.
petzl
Elite Poster
Elite Poster
Berichten: 958
Lid geworden op: 07 aug 2010, 23:35
Locatie: Holsbeek - JO20IV
Uitgedeelde bedankjes: 1 keer
Bedankt: 94 keer
Contacteer:

allow remote moet dus aanstaan anders heb je geen dns server ....

als je pppoe gebruikt moet je zien dat "use peer dns' uit staat, anders overschrijft hij je settings .. redelijk irritant bij multi wan configs
Afbeelding
Plaats reactie

Terug naar “Netwerken en Security”