| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| networking:mikrotik:private_public [2021/05/20 12:54] – rplecko | networking:mikrotik:private_public [2021/05/21 11:19] (current) – rplecko |
|---|
| [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{ :networking:mikrotik:hairpin_01.png?900 }}]] | [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpin_01.png|{{ :networking:mikrotik:hairpin_01.png?900 }}]] |
| |
| Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **http://mywebserver.dyndnsdomain.com**. Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu. | Imamo //mrežu 1// (10.0.1.0/24) na kojoj jedno od računala (DSL_02) ima instaliran **web server** koji svoje stranice na pregled nudi i ostatku korisnika interneta a dostupno je na URL-u **[[http://mywebserver.dyndnsdomain.com|http://mywebserver.dyndnsdomain.com]]** . Domena **dyndnsdomain.com** je pod kontrolom nekog od javnih servisa koji serviraju DNS za dinamičke domene, host **mywebserver** je kod njih registriran za nas i uz pomoć tome namjenjene aplikacije redovito mu osvježavamo IP adresu. |
| |
| Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta. | Na //mreži 2// je jednaka situacija samo bez objavljenih servisa pa se tu nalaze samo klijenti koji žele pristupiti web serveru preko interneta. |
| |
| Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\ | Kad klijent **DSL_02** sa privatne //mreže 2// pokuša uspostaviti vezu sa web serverom na računalu **DSL_02** koje se nalazi na privatnoj //mreži 1// upit kreće sa adrese <fc #ff0000>10.0.2.1</fc> koju NAT rutera na //mreži 2// zamjenjuje svojom javnom adresom <fc #ff0000>203.0.113.253</fc> a na **Routeru 1** izgleda ovako:\\ |
| |
| Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao. | Klijent dobiva odgovor ali odbacuje paket budući ga je dobio sa adrese 10.0.1.100 a ne sa 198.51.100.253 kako je očekivao. |
| | |
| ---- | ---- |
| | |
| === Hair Pin NAT === | === Hair Pin NAT === |
| |
| |
| Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag. | Ovaj princip se naziva još i Hair Pin NAT (hair pin - ukosnica) jer na to podsjeća putanjom paketa od klijenta do servera i natrag. |
| | |
| ---- | ---- |
| ===Zasebna mreža === | |
| | === Zasebna mreža === |
| |
| Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet) | Sljedeći način za rješavanje ovog problema je postavljanje web servera na zasebnu mrežu (subnet) |
| |
| Slika | [[https://wiki.tuturutu.eu/lib/exe/detail.php?id=networking:mikrotik:private_public&media=networking:mikrotik:hairpinnat_subnet.png|{{ :networking:mikrotik:hairpinnat_subnet.png?900 }}]] |
| |
| Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a ***mywebserver.dyndnsdomain.com***. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese. | Server je preseljen u mrežu 10.0.11.0/24 a njegova IP adresa je 10.0.11.100.U ovom slučaju problem je u potpunosti otklonjen za sva računala <fc #ff0000>osim za sam server</fc>. Naime sa svih računala na internetu a i računala na privatnoj //mreži 1// u subnetu 10.0.1.0/24 web server će biti dostupan preko javne adrese rutera ili URL-a **mywebserver.dyndnsdomain.com**. Ukoliko i sa računala DSL_02 želimo pristupiti web serveru koji se nalazi na njemu koristeći URL, pojavit će se ista greška kao i u prethodnom slučaju, koji možemo riješiti na isti način kao i prije samo što će se ovaj puta pravilo odnositi na promet koji polazi sa subneta na kojem se server nalazi prema samom sebi ali preko javne adrese. |
| |
| NAT pravilo će sada izgledati ovako: | NAT pravilo će sada izgledati ovako: |
| <code> | <code> |
| | |
| /ip firewall nat | /ip firewall nat |
| add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24 | add action=masquerade chain=srcnat comment="Masquerade to Web server" dst-address=10.0.11.100 out-interface=bridge_dmz protocol=tcp src-address=10.0.11.0/24 |
| | |
| </code> | </code> |
| | |
| |
| ---- | ---- |
| ===Split DNS=== | |
| | === Split DNS === |
| |
| ---- | ---- |
| |
| === Router "Internet" - konfiguracija === | === Router "Internet" - konfiguracija === |
| <code> | |
| |
| | <code> |
| # may/19/2021 14:59:58 by RouterOS 6.48.1 | # may/19/2021 14:59:58 by RouterOS 6.48.1 |
| # software id = | # software id = |
