[研究所] MikroTik RouterOS 學習 (持續更新) (第840頁)

sbeagle

sbeagle
個人積分：5分
文章編號：88734112

5分

8391樓

2023-12-03 22:27

pctine wrote:
假設你的 WAN IP...(恕刪)

請問您的意思是hairpin nat只能透過外網是固定ip的狀況下才有辦法達成，如果dynamic ip就不行嗎?

add action=masquerade chain=srcnat dst-address=192.168.50.50 out-interface=all-ethernet protocol=tcp src-address=192.168.50.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=RTSP dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.110 to-ports=554
add action=dst-nat chain=dstnat comment=HA dst-port=80,443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8123
add action=dst-nat chain=dstnat comment=unifi dst-port=8443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8443
add action=dst-nat chain=dstnat comment=Loopback dst-address-type="" dst-port=80,443 in-interface=all-ethernet protocol=tcp to-addresses=192.168.50.50 to-ports=8123

這是我目前的設定，按照官網的設定做的，外網連回server (192.168.50.50)是會通的，但內網就不行，也試過樓主的設定還有其他網路上看到的方式但是都不行，所以是因為沒有固定ip的關係嗎?
謝謝~~

gfx

gfx
個人積分：1603分
文章編號：88734253

1603分

8392樓

2023-12-03 23:05

sbeagle wrote:
請問您的意思是hairpin...(恕刪)

修正如下即可：

add action=src-nat chain=srcnat dst-address=192.168.50.50 dst-port=8123 src-address=192.168.50.0/24 protocol=tcp to-addresses=192.168.50.1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=RTSP dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.110 to-ports=554
add action=dst-nat chain=dstnat comment=HA dst-port=80,443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8123
add action=dst-nat chain=dstnat comment=unifi dst-port=8443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8443
add action=dst-nat chain=dstnat comment=Loopback dst-port=80,443 dst-address=123.123.123.123 src-address=192.168.50.0/24 protocol=tcp to-addresses=192.168.50.50 to-ports=8123

sbeagle

sbeagle
個人積分：5分
文章編號：88736774

5分

8393樓

2023-12-04 11:28

gfx wrote:
修正如下即可：add...(恕刪)

add action=src-nat chain=srcnat dst-address=192.168.50.50 dst-port=8123 protocol=tcp src-address=192.168.50.0/24 to-addresses=192.168.50.1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=RTSP dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.110 to-ports=554
add action=dst-nat chain=dstnat comment=HA dst-port=80,443,8123 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8123
add action=dst-nat chain=dstnat comment=unifi dst-port=8443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8443
add action=dst-nat chain=dstnat comment=Loopback dst-address=192.168.50.50 dst-port=80,443 protocol=tcp src-address=192.168.50.0/24 to-ports=8123

修正成這樣但還是不行><
請問第一條的dst-port=8123是需要的嗎?
因為我是想用domain name而不是直接輸入ip位址，這樣dst-port會不會是80,443 ?
但我也試過不管dst-第一條跟最後一條Loopbackoopback還是沒有封包通過

gfx

gfx
個人積分：1603分
文章編號：88737115

1603分

8394樓

2023-12-04 12:01

sbeagle wrote:
修正成這樣但還是不行...(恕刪)

您可以拿掉啊，我看您設置蠻嚴謹的，就給嚴謹一點的設置。
鬆散一點的您可以這樣設置：

add action=masquerade chain=srcnat dst-address=192.168.50.50 out-interface=bridge1 src-address=192.168.50.0/24

add action=src-nat chain=srcnat dst-address=192.168.50.50 src-address=192.168.50.0/24 to-addresses=192.168.50.1

以上設置結果相同。

假設192.168.50.0/24的接口端是bridge1，
這樣您選masquerade，系統就會去找bridge1接口登記的ip(192.168.50.1)偽裝。

另一種就是直接告知偽裝的ip將是192.168.50.1，這樣您就不用選out-interface=bridge1。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
因為您計畫用domain，還有一種方式即完全棄用hairping(loopback)。
方式如下：

1.把上面的第一，及最後的hairping(loopback)相關設置刪除。

2.確認ros的dns server要啟用

3.dhcp-server的dns server確定是ros ip

4. /ip dns static新增：

這方式是直接把domain解析成192.168.50.50，就如同直接連接192.168.50.50
但因沒有映射過程，要登入unifi控制台還是需輸入http://a123456.dynv.net:8123

注意這方式一定要用domain，想把pppoe-out1 ip當domain轉譯192.168.50.50是辦不到的。

sbeagle

感謝gfx大，loopback一直搞不定看來還是用DNS好了

2023-12-04 14:20

gfx

gfx
個人積分：1603分
文章編號：88738569

1603分

8395樓

2023-12-04 14:52

sbeagle wrote:
修正成這樣但還是不行...(恕刪)

我想我應該知道您loopback問題在那。

add action=dst-nat chain=dstnat comment=unifi dst-port=8443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8443

這個規則中，請把in-interface＝pppoe-out1關閉，改在dst-address填pppoe-out1 ip。

如果您的pppoe-out1 ip是浮動的，把pppoe-out1 ip填到dst-address就不是好方法，
關閉in-interface=pppoe-out1後，請改設dst-address-type=local

我想loopback測試應該會過，不會有問題。

sbeagle

sbeagle
個人積分：5分
文章編號：88740135

5分

8396樓

2023-12-04 18:37

gfx wrote:
我想我應該知道您loopback...(恕刪)

add action=masquerade chain=srcnat dst-address=192.168.50.50 out-interface=bridge src-address=192.168.50.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=RTSP dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.110 to-ports=554
add action=dst-nat chain=dstnat comment=HA dst-port=80,443,8123 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.50.50 to-ports=8123
add action=dst-nat chain=dstnat comment=unifi dst-address-type=local dst-port=8443 protocol=tcp to-addresses=192.168.50.50 to-ports=8443
add action=dst-nat chain=dstnat comment=Loopback dst-address=192.168.50.50 dst-address-type="" dst-port=8123 protocol=tcp src-address=192.168.50.0/24 to-ports=8123

改成這樣還是不行
但為什麼會跟port 8443這條規則有關係?
Loopback這條一樣都沒有封包通過

gfx

gfx
個人積分：1603分
文章編號：88741666

1603分

8397樓

2023-12-04 23:01

sbeagle wrote:
改成這樣還是不行但為...(恕刪)

因為不需要

local即router內登記的address list。

改用dst-address-type=local後，這一條修改的規則等同不管內網與外網都可以做映射，
但in-interface需不定義的情況才行。

因這不管內外網都做映射的新規則搶去做的關係，也導致最後原本最後一個專責內網映射的收不到流量。

若要分開，您就複製這修改過的規則再做各自修改。
注意dst-address-type=local不能動它，要保留。

其中一個，將其加上in-interface=pppoe-out1，這個是給外網用的。
另一個，將其加上in-interface=bridge1，這是給內網用的。
這樣就完成囉～

不知道您有無發現，不加上in-interface時，是內外網都映射；
而加上in-interface時，內外網映射才分開。

這其實in-interface不做任何設置時，就等於in-interface=all-interface。

這個道理也套用在src-address或dst-address，
在src-address或dst-address設置ip前，其實等同0.0.0.0/0

設了ip後，src-address或dst-address才有這個ip範圍的限制。

gfx

注意您的設定，我發現您#8396樓loopback修改後的dst-port設定8123不太對喔，未修改前用的80,443反而是正確的

2023-12-05 14:13

gfx

千萬別省缺dst-address後，連dst-address-type=local也不加。這樣改會胡亂映射，以後只要遇http開頭的網頁，不管填什麼網址都會莫名其妙進unifi後台去

2023-12-05 14:25

cherncc

cherncc
個人積分：75分
文章編號：88859447

75分

8398樓

2023-12-24 8:39

請問一個ARP response的問題,
之前沒有發生這個情況, 這一兩個禮拜在一次機器停電重開後才開始,
家裡的設備只有兩台會有這個情形,
一台是三星的摺疊機, 一台是圖片裡的任天堂SWITCH遊戲機,
三星的頻率大概一天只有兩次還好, SWITCH幾乎每小時一次,
但它大部分都在休眠模式沒在玩, 遊戲機裡也沒什麼特別的設定,
請問有可能是mikrotik這邊造成的嗎?
可是DHCP自一開始設定好後就沒動過,
目前先手動配發ip給SWITCH暫時處理,
只是搞不懂怎麼會發生這個種況, 跟前輩們請教一下, 謝謝.

a6595085

你可以到/ip arp底下看一下是否有出現紅字的項目，有的話應該移除後就會正常了。

2023-12-29 18:15

LoveTaiwan

LoveTaiwan
個人積分：203分
文章編號：88870640

203分

8399樓

2023-12-26 10:27

現在是中華固定2ip 100m/100m, 為了老人家未來有外籍看戶,想用網路攝影機,可以讓兄弟可以用網路監看.
所以升級了六個ip 的300m/300m..

目前wifi 都改成ap 模式, DHCP 是 router os 管理..

請問..想要讓wifi cam 對外能夠用指定的對外ip ..然後這些ip 對內網又完全隔離..
可是wifi cam 的錄影是存在內網的NAS 內...

目前兩個ip 有掛 DNS server 跟mail Server ..還有電腦上網...

因為設定好可以用後...長時間沒改設定..熊熊又沒有頭緒要如何變動設定..

請問有網兄是如何實作的可以提供參考.

gfx

gfx
個人積分：1603分
文章編號：88870953

1603分

8400樓

2023-12-26 10:59

LoveTaiwan wrote:
現在是中華固定2ip...(恕刪)

假設你的內網網段是192.168.88.0/24，nas ip為192.168.88.100

1.首先您在/ip address，應該有個192.168.88.1/24 interface=bridge1的設置，

用copy複製它，
然後複製項目的interface=bridge1不變，但address改成192.168.88.89.1/24
說穿了，其實就是再新增一個網段的意思，但interface一樣是bridge1。

2.然後到/ip firewall raw新增：

action=drop chain=prerouting in-interface=bridge1 src-address=!192.168.88.100  src-address-type=!local dst-address=192.168.89.0/24

3.手動修改wifi cam的網卡，將ip改成192.168.89.x，gateway為192.168.89.1

這樣就收工啦。
日後區網內只有router與nas，或者是網卡ip改成192.168.89.x的桌機可連接wifi cam，其它192.168.88.x的都不行。

另外，部份routeros用戶會在nat，
action=masquerade規則的地方設置src-address=192.168.88.0/24，
也就是只允許192.168.88.0/24的內網裝置連外。

若有這個限制，可以將src-address=192.168.88.0/24拿掉解除限制；
或者copy這個規則，再將192.168.88.0/24改成192.168.89.0/24，讓192.168.89.0/24也可連外。