Auteur Sujet: Port forwarding Mikrotik HAP AC2 (Router OS) (Lu 3432 fois)

gegeweb · « **le:** 16 janvier 2022 à 08:45:46 »

Bonjour,

comme j'attends la bascule effective je commence à tester et configurer le routeur Mikrotik HAP AC2 qui sera utilisé pour la connexion avec Milkywan.

- modifier l'ip du routeur et la plage IP du DHCP OK (pour être sur la même plage IP en 192.168.1.0/24 avec le même plan d'adressage qu'actuellement)
- faire les réservation DHCP OK
- modifier l'adresse MAC de l'interface WAN pour obtenir l'IP publique de K-NET en DHCP OK
- WiFi 2.4 et 5.0 OK

L'accès internet est OK.

Par contre je galère un peu pour faire les redirections de ports vers mes deux Raspberri Pi, respectivement 192.168.1.120 et 121.

Code: [Sélectionner]

Jamulus	UDP	*	22124	192.168.1.120	22124		
http	TCP	*	80	192.168.1.120	80		
https	TCP	*	443	192.168.1.120	443		
jitsi-video	UDP	*	10000	192.168.1.120	10000		
stun-server	UDP	*	3478	192.168.1.120	3478		
video-tcp	TCP	*	5349	192.168.1.120	5349		
ssh	TCP	*	22	192.168.1.120	22		
smtp	TCP	*	25	192.168.1.121	25		
smtps	TCP	*	587	192.168.1.121	587		
submission	TCP	*	465	192.168.1.121	465		
imaps	TCP	*	993	192.168.1.121	993		
gemini	TCP	*	1965	192.168.1.120	1965		
nntp	TCP	*	119	192.168.1.121	119		
nntps	TCP	*	563	192.168.1.121	563

Ceci, visiblement ne fonctionne pas :

Code: [Sélectionner]

/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=80
/ip firewall nat add chain=dstnat dst-port=443 action=dst-nat protocol=tcp to-address=192.168.1.120 to-port=443

Et alors après avoir ajouté ces deux règles je n'accède plus à l'interface webfig sur 192.168.1.1 (IP du routeur modifiée).

Je dois louper un truc.

À noter qu'avec la K-Box (un Iocetera) je configure les règles ci-dessus, et je peux joindre les services qui sont sur les Pi via l'ip publique (et le fqdn) sans avoir à faire une règle pour le trafic venant du réseau local.

Hugues · « **Réponse #1 le:** 16 janvier 2022 à 08:49:23 »

Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.

gegeweb · « **Réponse #2 le:** 16 janvier 2022 à 21:05:34 »

Citation de: Hugues le 16 janvier 2022 à 08:49:23

Normal, tu ne spécifie ni ip source ni interface source, donc il nat absolument tout ce qui vient de :80, peu importe l'ip.

En effet, ça fonctionne mieux comme ça :

Code: [Sélectionner]

 1    chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=[public_ip] dst-port=80,443 
      log=no log-prefix="" 

 2    chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.120 
      out-interface=bridge dst-port=80,443 log=no log-prefix=""

gegeweb · « **Réponse #3 le:** 17 janvier 2022 à 07:46:11 »

Cette unique règle, pour gérer le loopback des clients locaux, semble meilleure (une seule règle, quelle que soit le nombre de redirection de ports).

Code: [Sélectionner]

/ip firewall nat> add action=dst-nat chain=srcnat dst-address=192.168.1.0/24 out-interface-list=LAN src-address=192.168.1.0/24 src-address-type=!local

Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.
Le routeur K-Net (K-Box v2 Iocetera) laissait apparaître l'ip source. Y'a moyen ? J'ai pas encore trouvé…

Je me demande aussi, histoire de ne pas avoir à retoucher les règles au moment où l'IP public va changer, si ceci ne fonctionnerait pas (pour les redirections, pas encore testé) :

Code: [Sélectionner]

/ip firewall nat> add chain=dstnat action=dst-nat to-addresses=192.168.1.120 protocol=tcp dst-address=0.0.0.0 in-interface-list=WAN dst-port=80,443 log=no log-prefix=""

N'ayant qu'une IPV4, je n'ai à rediriger ce qui arrive sur l'interface WAN en fonction du protocole et des ports.

Hugues · « **Réponse #4 le:** 17 janvier 2022 à 09:58:22 »

Citation de: gegeweb le 17 janvier 2022 à 07:46:11

Cependant c'est l'adresse du routeur qui est alors utilisée comme IP cliente.

Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat

gegeweb · « **Réponse #5 le:** 17 janvier 2022 à 10:10:15 »

Citation de: Hugues le 17 janvier 2022 à 09:58:22

Tu mets ta règle dans la chaine dnat, pas dans la chaine srcnat

Me suis un peu emmêlé les pinceaux

Ça c'est une règle que je voulais tester.
Voici la règle en place

Code: [Sélectionner]

chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=192.168.1.0/24 src-address-type=!local out-interface-list=LAN

Il y a aussi cette première règle, issue de la conf par défaut, pour tout le trafic sortant

Code: [Sélectionner]

chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none

Je découvre… qu'est-ce qu'il faudrait donc modifier dans la règle qui gère le loopback ?
chain=dst-nat ? chain=dnat ?
action, je conserve masquerade ? Ça ne me semble justement pas opportun.

Hugues · « **Réponse #6 le:** 17 janvier 2022 à 10:53:24 »

tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines

gegeweb · « **Réponse #7 le:** 17 janvier 2022 à 15:02:07 »

Citation de: Hugues le 17 janvier 2022 à 10:53:24

tu devrais essayer avec Winbox, c'est plus simple a comprendre et il y'a des propositions pour les chaines

Winbox = poste sous Windows…

À la maison (perso) je n'ai que du macOS ou du Linux.
Donc SSH ou interface web pour accéder à la conf du routeur…

Sinon faut que je sorte le PC portable pro, que je laisse souvent au bureau.
Et installer Wine rien que pour Winbox, bof.

Hugues · « **Réponse #8 le:** 17 janvier 2022 à 15:11:25 »

https://github.com/nrlquaker/winbox-mac/