Deel dit onderwerp alstublieft!

mikrotik static en dynamic hairpin nat

Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft

Wat is Mikrotik hairpin nat?

Mikrotik static en dynamic hairpin nat configuratie tutorial.
Hairpin nat, ook wel nat pinning, hairpin routing, hairpinning en
nat loopback genoemd.
 Maakt het vervolgens mogelijk om je intern toestel te bereiken op een publiek ip.

Ieder netwerk toestel kan door middel van hairpin NAT geforward worden op het internet. 
Van servers, nassen,
I/O schakel relais en ga zo maar verder.
Hairpin nat wordt vervolgens geconfigureerd in het Mikrotik firewall nat onderdeel.

Daar wordt de hairpin traffic zodoende geconfigureerd door middel van twee firewall rules.
Dit zie je vervolgens verder in deze tutorial.

Doch ik waarschuw je dat elk toestel dat rechtstreeks kan benaderd worden vanaf het internet goed moet beveiligd worden.

Met de nieuwe Mikrotik implementatie vanaf RouterOs 6.37 kunnen vervolgens in de firewall address list host namen resolved worden naar IP-adressen.
Daardoor worden vele mogelijkheden realiseerbaar zoals hairpin nat met een dynamisch IP-adres.

Ik toon in een andere Mikrotik tutorial hoe deze implementatie te gebruiken voor websites te blokkeren.

Door middel van de mikrotik nat setup en daarnaast met behulp van de Mikrotik Cloud.

Wordt hairpin nat mogelijk gemaakt met een dynamisch IP-adres.

Mikrotik static en dynamic hairpin nat configuratie

hairpin nat

Bron afbeelding: Mikrotik.com bewerkt door wirelessinfo.be

Een voorbeeld met de volgende configuratie

  1. Het Mikrotik Routerboard heeft de default configuratie en heeft het IP-adres 192.168.1.254 toegewezen van de ISP router.
  2. De server die ik hier bereikbaar ga maken heeft het IP-adres 192.168.88.20.
  3. De privé computer heeft het IP-adres 192.168.88.10.

In dit voorbeeld toon ik een hairpin network om zodoende een server bereikbaar te maken vanaf het internet.
De server staat vervolgens gekoppeld op je intern netwerk en is zonder de nat loopback configuratie niet bereikbaar.
Doch daar komt verandering in door middel van deze tutorial met de vraag.
How to hairpin?
Eerst toon ik je zodoende hoe een hairpin configuratie te maken met een static IP-adres.
Dit wil zeggen een vast IP-adres.
Vervolgens moeten dan nog verdere stappen worden ondernomen worden om een dynamisch IP-adres bereikbaar te maken vanaf het internet.
Dit door middel van de Mikrotik cloud.
Dit is vervolgens een tutorial waar veel mensen in het bijzonder achter gewacht hebben.

Ik wens je alvast veel leer en configuratie plezier met deze bruikbare tutorial.  

hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
hairpin nat
  1. Klik op het tabblad "NAT".
  2. Klik op het blauwe kruisje om een nieuwe NAT rule aan te maken.
hairpin nat
  1. Bij "Chain" selecteer "dstnat" (destination nat).
  2. Selecteer als protocol "6 (tcp)".
  3. De "Dst.port" mag je willekeurig kiezen. Ter illustratie kies ik poort 8080.
  4. Als "in. interface" selecteer je je WAN interface.
  5. Klik vervolgens op het tabblad "Action".
hairpin nat
  1. Als "Action" selecteer dst-nat".
  2. Vervolgens bij "To address" geef het IP-adres in die is gekoppeld met je server.
  3. Klik op "ok".
hairpin nat
  1. Klik op het blauwe kruisje om een nieuwe NAT rule aan te maken.
hairpin nat
  1. Bij "Chain" selecteer "scrnat".
  2. Vervolgens bij "Src. address" geef het netwerk IP in zoals hierboven aangetoond.
  3. Vervolgens geef eveneens bij "Dst. address" het netwerk IP in.
  4. Klik verder op het tabblad "Action".
hairpin nat
  1. Bij "Action" selecteer "masquerade.
  2. Ter info: Als je op "commnent" klikt kan je een commentaar schrijven, zodoende dat je weet waarvoor deze firewall rule dient.
  3. Klik op "ok".
hairpin nat
  1. In deze volgorde moeten de firewall rules geplaatst worden of het werkt niet.
hairpin nat
  1. Indien je over een vast IP-adres beschikt, anders genaamd (static IP-adres) dubbelklik op de derde firewall-rule om deze aan te passen.
    Waar het pijltje staat vul je publiek vast IP-adres in en je bent klaar met de hairpin nat.

Het instellen van de Mikrotik Cloud service voor mensen die niet over een vast IP-adres beschikken.

hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens klik je op "Cloud".
hairpin nat
  1. Vink het hokje DDNS Enable aan.
  2. Vervolgens klik je op "Apply".
hairpin nat
  1. Je ziet dat deze Mikrotik dienst een update heeft uitgevoerd. Inderdaad die leveren een eigen gratis DDNS-service.
  2. Als alles is goedgegaan krijg je in het venster "DNS Name" een naam met achteraan "mynetname.net".
  3. Vervolgens zie je je publiek addres verschijnen.
hairpin nat
  1. Selecteer vervolgens de DNS Name.
  2. Kopieer deze en klik op "ok" om dit venster af te sluiten.
hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "Firewall".
hairpin nat
  1. Klik op het tabblad "Address Lists" Klik op het blauwe kruisje.
    Geef bij "Name" de naam Isp-verbinding".
  2. Vervolgens plak de "DNS Name" in het vakje "address".
  3. Klik op "Ok".
hairpin nat
  1. Hier zie je dat de nieuwe implementatie van Mikrotik een host naam kan omzetten naar het IP-adres.
    Dit maakt het nu mogelijk om via de address list altijd over het juiste publiek IP-adres te beschikken.
    Dit maakt deze Mikrotik implementie zo krachtig.
hairpin nat
  1. Klik op het tabblad "NAT".
  2. Klik op de derde firewall rule, de NAT port forwarding.
hairpin nat
  1. Klik op het tabblad "Advanced".
  2. Bij "Dst. Address List" selecteer je de address list die je zojuist hebt aangemaakt. In dit voorbeeld Isp-verbinding genaamd.
  3. Nu zal de server steeds bereikbaar zijn op het internet, ondanks je publiek IP-adres veranderd.

Mogelijk probleem bij ISP-routers onder de loep genomen

DDNS in RouterOS is vervolgens een eenvoudige service waarmee je de hostnaam naar het IP-adres kunt omzetten.

Je kan dus geen enkele tunneling-service die verbinding met de router toestaat uitvoeren.
Zelfs als deze NAT gebruikt gaat dit vervolgens niet lukken.


Dus wanneer de Mikrotik router achter een NAT configuratie zit, krijgt DDNS namelijk het publieke IP-adres dat door de router van je ISP wordt gebruikt om verbinding te maken met internet.

In dit geval is dit het adres van de ISP-router.
Het is standaard nutteloos, omdat wanneer een service zodoende probeert om verbinding te maken, de verbinding vervolgens op de ISP-router terechtkomt.


Vervolgens reageert de service op de ISP-router of wordt de verbinding geweigerd.

Mogelijke oplossing gebruik DMZ of port forwarding op de ISP router

De ISP-router moet vervolgens worden geconfigureerd om sommige of alle poorten naar uw router in de DMZ door te sturen.
Als je toegang hebt tot de beheerdersinterface, kan je dit zelf doen.
Zoek namelijk naar "port forwarding" of "DMZ" of een vergelijkbare configuratie.

Als dat niet het geval is, moet je de internet provider vragen het voor u te doen.
Wat je nodig hebt, hangt af van wat je wilt gebruiken (WinBox is tcp / 8291, WebFig is standaard http (s) tcp / 80 of tcp / 443, SSH is tcp / 22, 23, FTP is tcp enz.).

Selecteer de poort (en) die u nodig hebt en configureer ze om naar uw 192.168.0.xx te gaan. Soms is er een optie om alles door te sturen naar een gegeven intern IP-adres.

Als je deze configuratie vervolgens niet nodig hebt voor de router zelf, maar voor een andere service in het LAN van de router, moet je zodoende nog steeds hetzelfde doen.

en zal je port forwarding op je Mikrotik router moeten toevoegen van 192.168.1.254 naar je server 192.168.88.20.

hairpin nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
  1. Bij "Chain" selecteer "Dst-Nat
  2. Bij "Dst-Nat" vul het IP-adres in dat je Mikrotik router heeft gekregen van de router van je ISP.
  3. Als protocol selecteer "TCP".
  4. Bij "Dst-Port" vul de poorten in naarvolgens de functie van de server.
  5. Klik op het tabblad "Action".
  1. Bij "Action" selecteer "Dst-nat
  2. Bij "To addresses" vul je het IP-adres in van de server die bereikbaar moet zijn.
  3. Klik op "ok".

OPGELET!

De IP-adressen in deze tutorial kunnen verschillend zijn van je eigen configuratie.
Bekijk de configuratie dus goed en pas zodoende de IP-adressen aan. 


Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft