mikrotik static en dynamic hairpin nat

Wat is Mikrotik hairpin nat?

Mikrotik static en dynamic hairpin nat configuratie

Mikrotik static en dynamic hairpin nat configuratie tutorial.
Hairpin nat, ook wel nat pinning, hairpin routing, hairpinning en
nat loopback genoemd.
 Maakt het vervolgens mogelijk om je intern toestel te bereiken op een publiek ip.

Ieder netwerk toestel kan door middel van hairpin NAT geforward worden op het internet. 
Van servers, nassen,
I/O schakel relais en ga zo maar verder.
Hairpin nat wordt vervolgens geconfigureerd in het Mikrotik firewall nat onderdeel.

Daar wordt de hairpin traffic zodoende geconfigureerd door middel van twee firewall rules.
Dit zie je vervolgens verder in deze tutorial.

Doch ik waarschuw je dat elk toestel dat rechtstreeks kan benaderd worden vanaf het internet goed moet beveiligd worden.

Met de nieuwe Mikrotik implementatie vanaf RouterOs 6.37 kunnen vervolgens in de firewall address list host namen resolved worden naar IP-adressen.
Daardoor worden vele mogelijkheden realiseerbaar zoals hairpin nat met een dynamisch IP-adres.

Ik toon in een andere Mikrotik tutorial hoe deze implementatie te gebruiken voor websites te blokkeren.

Door middel van de mikrotik nat setup en daarnaast met behulp van de Mikrotik Cloud.

Wordt hairpin nat mogelijk gemaakt met een dynamisch IP-adres.

hairpin nat

Bron afbeelding: Mikrotik.com bewerkt door wirelessinfo.be

Een voorbeeld met de volgende configuratie

  1. Het Mikrotik Routerboard heeft de default configuratie.
  2. De server die ik hier bereikbaar ga maken heeft het IP-adres 192.168.88.20.
  3. De privé computer heeft het IP-adres 192.168.88.10.

In dit voorbeeld toon ik een hairpin network om zodoende een server bereikbaar te maken vanaf het internet.
De server staat vervolgens gekoppeld op je intern netwerk en is zonder de nat loopback configuratie niet bereikbaar.
Doch daar komt verandering in door middel van deze tutorial met de vraag.
How to hairpin?
Eerst toon ik je zodoende hoe een hairpin configuratie te maken met een static IP-adres.
Dit wil zeggen een vast IP-adres.
Vervolgens moeten dan nog verdere stappen worden ondernomen worden om een dynamisch IP-adres bereikbaar te maken vanaf het internet.
Dit door middel van de Mikrotik cloud.
Dit is vervolgens een tutorial waar veel mensen in het bijzonder achter gewacht hebben.

Ik wens je alvast veel leer en configuratie plezier met deze bruikbare tutorial.  

hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
hairpin nat
  1. Klik op het tabblad "NAT".
  2. Klik op het blauwe kruisje om een nieuwe NAT rule aan te maken.
hairpin nat
  1. Bij "Chain" selecteer "dstnat" (destination nat).
  2. Selecteer als protocol "6 (tcp)".
  3. De "Dst.port" mag je willekeurig kiezen. Ter illustratie kies ik poort 8080.
  4. Als "in. interface" selecteer je je WAN interface.
  5. Klik vervolgens op het tabblad "Action".
hairpin nat
  1. Als "Action" selecteer dst-nat".
  2. Vervolgens bij "To address" geef het IP-adres in die is gekoppeld met je server.
  3. Klik op "ok".
hairpin nat
  1. Klik op het blauwe kruisje om een nieuwe NAT rule aan te maken.
hairpin nat
  1. Bij "Chain" selecteer "scrnat".
  2. Vervolgens bij "Src. address" geef het netwerk IP in zoals hierboven aangetoond.
  3. Vervolgens geef eveneens bij "Dst. address" het netwerk IP in.
  4. Klik verder op het tabblad "Action".
hairpin nat
  1. Bij "Action" selecteer "masquerade.
  2. Ter info: Als je op "commnent" klikt kan je een commentaar schrijven, zodoende dat je weet waarvoor deze firewall rule dient.
  3. Klik op "ok".
hairpin nat
  1. In deze volgorde moeten de firewall rules geplaatst worden of het werkt niet.
hairpin nat
  1. Indien je over een vast IP-adres beschikt, anders genaamd (static IP-adres) dubbelklik op de derde firewall-rule om deze aan te passen.
    Waar het pijltje staat vul je publiek vast IP-adres in en je bent klaar met de hairpin nat.

Het instellen van de Mikrotik Cloud service

hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens klik je op "Cloud".
hairpin nat
  1. Vink het hokje DDNS Enable aan.
  2. Vervolgens klik je op "Apply".
hairpin nat
  1. Je ziet dat deze Mikrotik dienst een update heeft uitgevoerd. Inderdaad die leveren een eigen gratis DDNS-service.
  2. Als alles is goedgegaan krijg je in het venster "DNS Name" een naam met achteraan "mynetname.net".
  3. Vervolgens zie je je publiek addres verschijnen.
hairpin nat
  1. Selecteer vervolgens de DNS Name.
  2. Kopieer deze en klik op "ok" om dit venster af te sluiten.
hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "Firewall".
hairpin nat
  1. Klik op het tabblad "Address Lists" Klik op het blauwe kruisje.
    Geef bij "Name" de naam Isp-verbinding".
  2. Vervolgens plak de "DNS Name" in het vakje "address".
  3. Klik op "Ok".
hairpin nat
  1. Hier zie je dat de nieuwe implementatie van Mikrotik een host naam kan omzetten naar het IP-adres.
    Dit maakt het nu mogelijk om via de address list altijd over het juiste publiek IP-adres te beschikken.
    Dit maakt deze Mikrotik implementie zo krachtig.
hairpin nat
  1. Klik op het tabblad "NAT".
  2. Klik op de derde firewall rule, de NAT port forwarding.
hairpin nat
  1. Klik op het tabblad "Advanced".
  2. Bij "Dst. Address List" selecteer je de address list die je zojuist hebt aangemaakt. In dit voorbeeld Isp-verbinding genaamd.
  3. Nu zal de server steeds bereikbaar zijn op het internet, ondanks je publiek IP-adres veranderd.

Vindt je deze tutorial interessant?