La Fibre
Datacenter et équipements réseaux => Routeurs => MikroTik RouterOS => Discussion démarrée par: gegeweb le 16 janvier 2022 à 08:45:46
-
Bonjour,
comme j'attends la bascule effective je commence à tester et configurer le routeur Mikrotik HAP AC2 qui sera utilisé pour la connexion avec Milkywan.
- modifier l'ip du routeur et la plage IP du DHCP OK (pour être sur la même plage IP en 192.168.1.0/24 avec le même plan d'adressage qu'actuellement)
- faire les réservation DHCP OK
- modifier l'adresse MAC de l'interface WAN pour obtenir l'IP publique de K-NET en DHCP OK
- WiFi 2.4 et 5.0 OK
L'accès internet est OK.
Par contre je galère un peu pour faire les redirections de ports vers mes deux Raspberri Pi, respectivement 192.168.1.120 et 121.
Jamulus UDP * 22124 192.168.1.120 22124
http TCP * 80 192.168.1.120 80
https TCP * 443 192.168.1.120 443
jitsi-video UDP * 10000 192.168.1.120 10000
stun-server UDP * 3478 192.168.1.120 3478
video-tcp TCP * 5349 192.168.1.120 5349
ssh TCP * 22 192.168.1.120 22
smtp TCP * 25 192.168.1.121 25
smtps TCP * 587 192.168.1.121 587
submission TCP * 465 192.168.1.121 465
imaps TCP * 993 192.168.1.121 993
gemini TCP * 1965 192.168.1.120 1965
nntp TCP * 119 192.168.1.121 119
nntps TCP * 563 192.168.1.121 563
Ceci, visiblement ne fonctionne pas :
/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=80
/ip firewall nat add chain=dstnat dst-port=443 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=443
Et alors après avoir ajouté ces deux règles je n'accède plus à l'interface webfig sur 192.168.1.1 (IP du routeur modifiée).
Je dois louper un truc.
À noter qu'avec la K-Box (un Iocetera) je configure les règles ci-dessus, et je peux joindre les services qui sont sur les Pi via l'ip publique (et le fqdn) sans avoir à faire une règle pour le trafic venant du réseau local.
-
Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.
-
Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.
En effet, ça fonctionne mieux comme ça :
1 chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=[public_ip] dst-port=80,443
log=no log-prefix=""
2 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.120
out-interface=bridge dst-port=80,443 log=no log-prefix=""
-
Cette unique règle, pour gérer le loopback des clients locaux, semble meilleure (une seule règle, quelle que soit le nombre de redirection de ports).
/ip firewall nat> add action=dst-nat chain=srcnat dst-address=192.168.1.0/24 out-interface-list=LAN src-address=192.168.1.0/24 src-address-type=!local
Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.
Le routeur K-Net (K-Box v2 Iocetera) laissait apparaître l'ip source. Y'a moyen ? J'ai pas encore trouvé…
Je me demande aussi, histoire de ne pas avoir à retoucher les règles au moment où l'IP public va changer, si ceci ne fonctionnerait pas (pour les redirections, pas encore testé) :
/ip firewall nat> add chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=0.0.0.0 in-interface-list=WAN dst-port=80,443 log=no log-prefix=""
N'ayant qu'une IPV4, je n'ai à rediriger ce qui arrive sur l'interface WAN en fonction du protocole et des ports.
-
Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.
Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat
-
Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat
Me suis un peu emmêlé les pinceaux ;) Ça c'est une règle que je voulais tester.
Voici la règle en place
chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.0/24 src-address-type=!local out-interface-list=LAN
Il y a aussi cette première règle, issue de la conf par défaut, pour tout le trafic sortant
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
Je découvre… qu'est-ce qu'il faudrait donc modifier dans la règle qui gère le loopback ?
chain=dst-nat ? chain=dnat ?
action, je conserve masquerade ? Ça ne me semble justement pas opportun.
-
tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines
-
tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines
Winbox = poste sous Windows…
À la maison (perso) je n'ai que du macOS ou du Linux.
Donc SSH ou interface web pour accéder à la conf du routeur…
Sinon faut que je sorte le PC portable pro, que je laisse souvent au bureau.
Et installer Wine rien que pour Winbox, bof. ;)
-
https://github.com/nrlquaker/winbox-mac/ ;)