Auteur Sujet: Port forwarding Mikrotik HAP AC2 (Router OS)  (Lu 1250 fois)

0 Membres et 1 Invité sur ce sujet

gegeweb

  • Réseau Tutor du Val d'Orge (91)
  • Abonné MilkyWan
  • *
  • Messages: 151
  • Villiers sur Orge (91700)
    • GeGeWeb.42, le « Ouaibe » à Gégé.
Port forwarding Mikrotik HAP AC2 (Router OS)
« le: 16 janvier 2022 à 08:45:46 »
Bonjour,

comme j'attends la bascule effective je commence à tester et configurer le routeur Mikrotik HAP AC2 qui sera utilisé pour la connexion avec Milkywan.

- modifier l'ip du routeur et la plage IP du DHCP OK (pour être sur la même plage IP en 192.168.1.0/24 avec le même plan d'adressage qu'actuellement)
- faire les réservation DHCP OK
- modifier l'adresse MAC de l'interface WAN pour obtenir l'IP publique de K-NET en DHCP OK
- WiFi 2.4 et 5.0 OK

L'accès internet est OK.

Par contre je galère un peu pour faire les redirections de ports vers mes deux Raspberri Pi, respectivement 192.168.1.120 et 121.

Jamulus UDP * 22124 192.168.1.120 22124
http TCP * 80 192.168.1.120 80
https TCP * 443 192.168.1.120 443
jitsi-video UDP * 10000 192.168.1.120 10000
stun-server UDP * 3478 192.168.1.120 3478
video-tcp TCP * 5349 192.168.1.120 5349
ssh TCP * 22 192.168.1.120 22
smtp TCP * 25 192.168.1.121 25
smtps TCP * 587 192.168.1.121 587
submission TCP * 465 192.168.1.121 465
imaps TCP * 993 192.168.1.121 993
gemini TCP * 1965 192.168.1.120 1965
nntp TCP * 119 192.168.1.121 119
nntps TCP * 563 192.168.1.121 563

Ceci, visiblement ne fonctionne pas :
/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=80
/ip firewall nat add chain=dstnat dst-port=443 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=443

Et alors après avoir ajouté ces deux règles je n'accède plus à l'interface webfig sur 192.168.1.1 (IP du routeur modifiée).

Je dois louper un truc.

À noter qu'avec la K-Box (un Iocetera) je configure les règles ci-dessus, et je peux joindre les services qui sont sur les Pi via l'ip publique (et le fqdn) sans avoir à faire une règle pour le trafic venant du réseau local.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 10 612
  • Lyon (69) / St-Bernard (01)
    • Twitter
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #1 le: 16 janvier 2022 à 08:49:23 »
Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.

gegeweb

  • Réseau Tutor du Val d'Orge (91)
  • Abonné MilkyWan
  • *
  • Messages: 151
  • Villiers sur Orge (91700)
    • GeGeWeb.42, le « Ouaibe » à Gégé.
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #2 le: 16 janvier 2022 à 21:05:34 »
Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.

En effet, ça fonctionne mieux comme ça :

1    chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=[public_ip] dst-port=80,443
      log=no log-prefix=""

 2    chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.120
      out-interface=bridge dst-port=80,443 log=no log-prefix=""

gegeweb

  • Réseau Tutor du Val d'Orge (91)
  • Abonné MilkyWan
  • *
  • Messages: 151
  • Villiers sur Orge (91700)
    • GeGeWeb.42, le « Ouaibe » à Gégé.
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #3 le: 17 janvier 2022 à 07:46:11 »
Cette unique règle, pour gérer le loopback des clients locaux, semble meilleure (une seule règle, quelle que soit le nombre de redirection de ports).

/ip firewall nat> add action=dst-nat chain=srcnat dst-address=192.168.1.0/24 out-interface-list=LAN src-address=192.168.1.0/24 src-address-type=!local

Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.
Le routeur K-Net (K-Box v2 Iocetera) laissait apparaître l'ip source. Y'a moyen ? J'ai pas encore trouvé…

Je me demande aussi, histoire de ne pas avoir à retoucher les règles au moment où l'IP public va changer, si ceci ne fonctionnerait pas (pour les redirections, pas encore testé) :

/ip firewall nat> add chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=0.0.0.0 in-interface-list=WAN dst-port=80,443 log=no log-prefix=""

N'ayant qu'une IPV4, je n'ai à rediriger ce qui arrive sur l'interface WAN en fonction du protocole et des ports.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 10 612
  • Lyon (69) / St-Bernard (01)
    • Twitter
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #4 le: 17 janvier 2022 à 09:58:22 »
Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.
Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat

gegeweb

  • Réseau Tutor du Val d'Orge (91)
  • Abonné MilkyWan
  • *
  • Messages: 151
  • Villiers sur Orge (91700)
    • GeGeWeb.42, le « Ouaibe » à Gégé.
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #5 le: 17 janvier 2022 à 10:10:15 »
Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat

Me suis un peu emmêlé les pinceaux ;) Ça c'est une règle que je voulais tester.
Voici la règle en place

chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.0/24 src-address-type=!local out-interface-list=LAN

Il y a aussi cette première règle, issue de la conf par défaut, pour tout le trafic sortant
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none

Je découvre… qu'est-ce qu'il faudrait donc modifier dans la règle qui gère le loopback ?
chain=dst-nat ? chain=dnat ?
action, je conserve masquerade ? Ça ne me semble justement pas opportun.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 10 612
  • Lyon (69) / St-Bernard (01)
    • Twitter
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #6 le: 17 janvier 2022 à 10:53:24 »
tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines

gegeweb

  • Réseau Tutor du Val d'Orge (91)
  • Abonné MilkyWan
  • *
  • Messages: 151
  • Villiers sur Orge (91700)
    • GeGeWeb.42, le « Ouaibe » à Gégé.
Port forwarding Mikrotik HAP AC2 (Router OS)
« Réponse #7 le: 17 janvier 2022 à 15:02:07 »
tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines

Winbox = poste sous Windows…

À la maison (perso) je n'ai que du macOS ou du Linux.
Donc SSH ou interface web pour accéder à la conf du routeur…

Sinon faut que je sorte le PC portable pro, que je laisse souvent au bureau.
Et installer Wine rien que pour Winbox, bof. ;)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 10 612
  • Lyon (69) / St-Bernard (01)
    • Twitter