BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Mantener IP de origen DST-NAT en router Mikrotik

1
vsc55I

Estoy empezando con Mikrotik y me he encontrado con un problema en el tema de redireccionamiento de puertos. El problema está en que he creado unas reglas DST-NAT que funcionan bien, pero a medias. Me explico.

La regla está funcionando y el tráfico está llegando al equipo, pero resulta que al equipo le aparece como fuente la IP del router y no la IP real que está llegando al router.

Por ejemplo, tengo un cliente con la IP 80.58.44.54, llega al router y este reenvía el trafico a la 192.168.5.180 correctamente, pero este servidor detecta como origen 192.168.5.1, que es la IP del router, en vez de 80.58.44.54.

Estas son las reglas creadas:

add action=dst-NAT chain=dstnat comment="Servidor HTTP" dst-port=80 in-interface=PPPoE-WAN protocol=tcp to-addresses=192.168.5.180
add action=dst-NAT chain=dstnat comment="Servidor HTTPS" dst-port=443 in-interface=PPPoE-WAN protocol=tcp to-addresses=192.168.5.180
  • ¿Alguien sabe como se puede solucionar esto para que el servidor 192.168.5.180 obtenga la IP real del cliente que hace la conexión?
  • ¿Puedo haber activado alguna opción en algún sitio para que el router trabaje así?
rbetancor

Eso es que estás haciendo un DST-NAT+SRC-NAT … seguramente tienes una regla que hace que todo el tráfico hacia la LAN vaya con la IP de LAN del Mikrotik.

🗨️ 5
vsc55I

Tengo estas reglas NAT:

/IP/firewall/NAT> print

Flags: X - disabled, I - invalid; D - dynamic

0 chain=srcnat action=masquerade out-interface=PPPoE-Movistar log=no log-prefix=""

1 chain=srcnat action=masquerade out-interface=vlan2 log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=vlan3 log=no log-prefix=""

3 chain=srcnat action=masquerade out-interface=ether1-ONT log=yes log-prefix="ONT-ETH1"

4 chain=srcnat action=masquerade out-interface=bridgeIPTV log=no log-prefix=""

5 chain=srcnat action=masquerade out-interface=bridgeLAN log=no log-prefix=""

6 ;;; Servidor HTTP

chain=dstnat action=dst-NAT to-addresses=192.168.0.251 protocol=tcp dst-address-type=local in-interface=PPPoE-Movistar dst-port=80,443 log=no log-prefix=""

¿Alguna idea de como evitar esto?

🗨️ 4
vsc55I

Ya esta.

He desactivado 5 chain=srcnat action=masquerade out-interface=bridgeLAN log=no log-prefix="" y ahora parece que funciona a ver si no eh roto nada mas :D

Gracias.

rbetancor

Lo que te he dicho … la regla 5 hace exactamente lo que te he explicado, es una regla que te sobra … o por lo menos no es "exacta" …

dukez

Tienes telefono y algun deco detras del Mikrotik, porque si no te sobran la mitad de las reglas de srcnat

Y la regla de masquerade a ether1 para acceder a la ONT? Es necesaria?

Contra mas limpio tengas el NAT i el firewall menos errores a la larga.

🗨️ 1
vsc55I

Si tengo varios decos de TV y centralita IP.

Lo de la ONT es para poder acceder a ella desde la IP 192.168.100.1 si desconecto la fibra, en caso de tener que revisar algo.

La 4 la he comentado también, que esas dos no se al final para que las puse. Como anduve haciendo pruebas para la IPTV ya que no quería ir al principio igual se quedaron.