MikroTik Hairpin NAT

Załóżmy, że w sieci domowej (firmowej) chcemy postawić serwer www na wewnętrznym adresie IP i mieć do niego dostęp od strony internetu ale także w sieci lokalnej.

 

 

 

Adresacja naszej sieci wewnętrznej to 192.168.0.0/24 czyli adresy od 192.168.0.1 – 192.168.0.254

adres IP naszego routera (bramy) 192.168.0.1

adres IP naszego komputera 192.168.0.2

adres IP naszego serwera www 192.168.0.3   port 80 (czyli nie szyfrowany protokół http)

 

adres IP zewnętrzny 1.1.1.1

MikroTik Hairpin NAT

 

Pierwsze przekierowanie w naszym routerze robimy w zakładce  IP > Firewall > NAT (dostęp do serwera z zewnątrz)

/ip firewall nat
add action=dst-nat chain=dstnat comment=”serwer www” dst-address=\ 1.1.1.1 dst-port=80 in-interface=WAN protocol=tcp to-addresses=\ 192.168.0.3 to-ports=80

Wpis musi się znaleźć powyżej wpisu dotyczącego masquerade

W tym momencie nasza strona będzie już dostępna w internecie pod dowolną wykupioną i przekierowaną domeną np: www.exabytes.pl

Nasze komputery z sieci lokalnej nie będą miały dostępu do naszej strony www.exabytes.pl, mimo odpytania serwera DNS który zwróci nam adres 1.1.1.1 bo na taki mamy przekierowaną domenę, nasz router nie wskaże naszego serwera jako docelowego i otrzymamy w przeglądarce błąd strona nie istnieje.

 

I tu z pomocą przychodzi nam Hairpin NAT

Te wpisy dodajemy z kolei po wpisie dotyczącym masquerade czyli na samym końcu naszej tabeli NAT

/ip firewall nat
add action=masquerade chain=srcnat comment=”Hairpin Nat” dst-address=\ !192.168.0.1 src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment=”serwer www” dst-address=\ !192.168.0.1 dst-address-type=local dst-port=80 protocol=tcp \ to-addresses=192.168.0.3 to-ports=80

 

W tym momencie powinniśmy bez problemu otworzyć stronę w sieci lokalnej pochodzącej z naszego serwera.

 

Do czego możemy jeszcze wykorzystać Hairpin NAT

Jeżeli mamy w naszej sieci wewnętrznej np: rejestratory kamer (monitoring),

przekierowujemy port np 3337 według pierwszej reguły  – nasz rejestrator będzie dostępny pod adresem 1.1.1.1:3337

Ustawiając w ten sposób nasz program, będziemy mieli dostęp z zewnątrz, ale nie z sieci lokalnej (wewnętrznej).

Z kolei jak dodamy reguły Hairpin NAT dotyczące rejestratora nie będziemy musieli zmieniać adresacji IP do podglądu z zewnątrz firmy jak i sieci wewnętrznej.

2 thoughts on “MikroTik Hairpin NAT

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *