Router mikrotik rb750 - konfigurace Vyřešeno

[majel007]

Zdravím,
může mi někdo poradit jak mám nakonfigurovat svůj mikrotik? Mám tento konkrétní problém:

na mikrotiku mám veřejku 94.199.xxx.xxx mám na ní server s web hostingem, ftps, ssh a s vlastní doménou, na vnitřní straně má server ip 192.168.1.200, mám nastavený forwarding a vše funguje do bodu kdy se z vnitřní sítě nesnažím dostat na veřejku tj. na moji doménu
(mám ip 192.168.1.35 např. a snažím se dostat na 94.199.xxx.xxx abych se mrkl například zda se poslední změna na webu veřejně projevila, nebo abych se přihlásil ssh.) vím že jednoduše můžu jít na server vnitřní adresou když jsem ve vnitřní síti, ale zajímalo by mě co způsobuje tohle chování....
přikládám info z firewallu
pokud víte jak ten mikrotik nastavit jinak, klidně sem s ním. asi je to poprvé co mám server a před ním mikrotik....
Díky

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""

1 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""

2 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

3 ;;; default configuration
chain=forward action=accept connection-state=established,related log=no log-prefix=""

4 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""

5 ;;; default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""

6 ;;; Natsuhara
chain=forward action=accept protocol=tcp in-interface=ether1-gateway dst-port=80,443,20-22,980-990 log=no log-prefix=""

[Reklama]

[_hm]

Proč to nejde? No, tipnul bych toto:
1) Pošleš žádost např. o web z 192.168.1.35 na 94.199.xxx.xxx, to je adresa mimo vnitřní síť, pošle se tedy bráně (Mikrotiku).
2) Mikrotik to přepošle serveru.
3) Server dotane žádost o web z 192.168.1.35.
4) Server odešle odpověď do 192.168.1.35. Přímo. Proč by to dělal jinak, když jste oba v jedné lokální síti?
5) Tvůj PC dostane jakýsi paket z nějaké adresy lokální sítě, který ovšem nečeká, neví, co s ním a tak ho zahodí. Stále ale čeká na odpověď z webu z adresy 94.199.xxx.xxx a ta ne a ne přijít ...

[majel007]

Proč to nejde? No, tipnul bych toto:
1) Pošleš žádost např. o web z 192.168.1.35 na 94.199.xxx.xxx, to je adresa mimo vnitřní síť, pošle se tedy bráně (Mikrotiku).
2) Mikrotik to přepošle serveru.
3) Server dotane žádost o web z 192.168.1.35.
4) Server odešle odpověď do 192.168.1.35. Přímo. Proč by to dělal jinak, když jste oba v jedné lokální síti?
5) Tvůj PC dostane jakýsi paket z nějaké adresy lokální sítě, který ovšem nečeká, neví, co s ním a tak ho zahodí. Stále ale čeká na odpověď z webu z adresy 94.199.xxx.xxx a ta ne a ne přijít ...

Dobře, když se to takhle podalo tak to chápu a asi sem to nenapsal dobře, proč se mi tedy nezobrazí stránky když zadám svou doménu? při použití domény přece musí router provést dotaz na nějaké DNS a z DNS by se to tedy mělo vrátit do routeru a ten by to měl přesměrovat na server na vnitřní síti *.200. Nebo to je jinak?

[zeus]

DNS ti muze vracet rovnou lokalni .200, v tomto pripade by to bylo i zadouci.

[_hm]

DNS s webem nesouvisí. DNS jen zjistí IP-adresu pro doménové jméno. Tzn. když chceš web z domény, nejdřív se využije DNS ke zjištění konkrétní IP-adresy (u tebe 94.199.xxx.xxx), pak teprve by měl prohlížeč poslat žádost webovému serveru - už jen na jeho IP-adresu.

Opatrně můžeš zkusit pro ty přesměrovávané pakety, ale jen pokud pocházejí z lokální sítě, zapnout "maškarádu" (masquerade). Je to druh NATu - změna zdrojové adresy (source NAT). Defaultně ten Mikrotik patrně dělá maškarádu všem paketům mířícím do internetu, tak ji zapni i pro pakety mířící do serveru, ale jen pokud pocházejí z lokální sítě (192.168.1.0/24). Server pak bude odpovědi vracet Mikrotiku a ten je pošle tobě. Takže všechno nech, jak je, jen přidej tuhle jednu maškarádu. A uvidíme.