Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Припустимо у нас є:

У нас вже є налаштоване правило проброса порту 8080:

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Але воно не буде спрацьовувати при зверненні з локалки, так як настройки орієнтовані на пакети з зовнішньої мережі, через WAN-порт. Тому нам потрібно прописати додатково ще 2 правила.

1. Створюємо правило для перенаправлення звернень по зовнішньому IP з локальної мережі.

Protocol, Dst. Port - тут прописуємо параметри порту і протоколу, які відповідають нашому з'єднанню (ті ж, що і в кидок портів).

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

To Ports - порт той же самий, що і на попередній вкладці, тому тут можна нічого не вказувати.

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Але при спробі якогось взаємодії з ним нічого не вийде. Чому? Подивимося, що відбувається.

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

На вкладці General прописуємо правила, при яких він буде застосовуватися:

Chain - srcnat, т. Е. При запитах з локальної мережі.

Protocol, Dst. Port - тут прописуємо ті ж параметри порту і протоколу.

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Відповідь від сервера тому відправиться не безпосередньо в локальну мережу, а на маршрутизатор, який, в свою чергу направить його джерела.

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Другий спосіб Hairpin NAT MikroTik: 2 правила замість 3

Як зайти по зовнішньому ip-адресою з локальної мережі для mikrotik

Тепер додаєте описане вище правило srcnat, і все. Можна додати додаткову фільтрацію, прописавши в out-interface той інтерфейс, з якого будуть здійснюватися відправки пакетів, якщо є така необхідність.

Недоліком Hairpin NAT є тільки те, що навантаження на роутер зростає, адже ті звернення, що раніше проходили через локальну мережу безпосередньо між комп'ютерами, тепер будуть йти через маршрутизатор.

Другий спосіб простіше, але, в залежності від конфігурації вашої мережі, може використовуватися і перший.

Оцініть, будь ласка, корисність / цікавість статті. Нам важлива ваша думка!


Оцінка: 4.8 (голосів 14)

А якщо зовнішній ip динамічний але є ddns

Андрій, / 24 це означає не 24 IP-адреси, а маска 255.255.255.0
/ 32 - 255.255.255.255

Михайло, ми Вас теж :)

Віталій, ми раді, що інформація стала в нагоді)

Все запрацювало! Величезне спасибі за статтю! Виручили дуже!

А ще можна з правила прибрати приходить інтерфейс, залишивши тільки зовнішній ип, і все буде прекрасно працювати

Влад, у нас при створенні статті працював і перший, і другий варіант. А другий варіант пробували, працює у вас?

не працює!
перший варіант не працює все Слелай один до одного.

add chain = srcnat dst-address = 192.168.88.2 protocol = tcp dst-port = 3389 action = masquerade add action = dstnat chain = dstnat dst-address-type = local dst-port = 3389 protocol = tcp to-addresses = 192.168.88.2

а для ubiquiti не знаєте як зробити доступ до зовнішнього ip з локальної мережі?

Я б підняв VPN для доступу ззовні.
Так надійніше і ми не прив'язані до конкретного IP

Спасибі друг! Таку інфу знайти було важко.

Stealth, спасибі за корисну інформацію!

dst-address-type = local знаходиться на вкладці "Extra".

Вийшло за першим варіантом, але одне АЛЕ! Чомусь можу зайти тільки з одного пристрою з локалки. З другого пристрою не пускає, поки першим не вийду. У чому може бути проблема?

Навантаження більше не буде якщо зовнішньої й і внутрішній порти різні. Наприклад сервер на порту 3333 а зовнішній порт на ване 8888. Локальні абоненти будуть Конект безпосередньо на 3333 а ті хто проситься на 1.1.1.1:8888 будуть ходити через роутер. Я правильно все зрозумів? Навантаження не збільшується?