Tweaks / pfSense / Мережеве залізо / Mikrotik / Домашній хостинг

Пив сьогодні кави у одного на роботі в гостях, спілкувалися про те про се, і один мені повідав про цікаву проблему: у нього на роботі варто непоганий сервер, де хостятся їх сайти, але ці сайти недоступні зсередини. Поки в чашці була кава, ми трошки помучитися його "роутер", як він називав свою коробку на базі PfSense, але на жаль кави закінчилося раніше, ніж ми встигли знайти рішення. Цей PfSense відмінно вирішував цю проблему раніше, але чергове оновлення змінило інтерфейс налаштувань, і мій друг-любитель ГУЁв, тепер сидить з головним болем в пошуках великий галочки "Зробити все" :)

Ну да ладно, стаття не про одного. Вдома у мене твориться приблизно така ж ситуація, тільки в інших масштабах. Точно такий же сервер, точно така ж організація мережі, хіба що залізо новіше, і на чолі столу сидить його величність Mikrotik. Оскільки у мене і у дружини (а ми - основні споживачі наших сайтів) на пристроях стоять Linux, то проблема була вирішена відносно безкровно, хоча і Костильна: за допомогою запису в / etc / hosts.

1) Уявіть що у вас ноутбук. Як у мене, так, з якого іноді можна попрацювати, або написати статтю на своєму сайті, подібно цієї. Все добре, / etc / hosts, і все працює ніби як. А тепер беремо цей самий ноутбук, і йдемо до одного хвалитися своїм сайтик. Сідаємо, а сайтик-то не працює! Кілька хвилин сміху, а потім судорожне відкривання консолі, і коментування записи в / etc / hosts. Була б на місці мого друга якась дівчина, вона б напевно не дала такого невдасі.

2) А уявіть собі що у вас Wordpress, але немає домену, що цілком логічно, бо ви відточуєте свій сайт, для того щоб на днях купити під нього якесь цікаве доменне ім'я. І адже логічно, що для відкриття цього сайту ми будемо використовувати прямий IP-адреса сервера, ну наприклад http://192.168.1.2, кой і буде внесений як SITE URL в налаштуваннях Вордпресс. І це буде працювати. А тепер представляємо, що вийде якщо на наш сайт спробувати зайти ззовні? Мудак, якого я раніше згадував, може запитати "а навіщо це робити?" А потім, мудак, що можна попросити друга відкрити твій сайт у нього з дому, тому що ... у нього на відміну від тебе, вдома є екзотичний Windows з Internet Explorer, тільки у нього є монітор з яким-небудь ідіотським здатністю 1280х1024, і тільки він зможе зайти на твій сайт з планшетіка на Android, про який до речі ми ще поговоримо. А ще можна користуватися всякими цікавими утилітами начебто Google Pagespeed Insights.

Отже, якщо ми зайдемо на наш сайт ззовні, перший запит буде успішним, і перший відповідь нашого сервера буде теж успішним. І це буде редирект 301. Куди? Мудак напевно не здогадається, але я підкажу: на http://192.168.1.2, який ми прописали в Вордпресі.

3) Ну а що робитимемо з телефонами, планшетами, на андроїд і Віндовс, з яких теж хочеться і сайтики свої потестить, та й просто в них попрацювати? Будемо рутованних, милиць, ламати?

Загалом задумався я про те, що у мене з'явилася проблема, така ж як і у одного. Правда хлопці з Mikrotik надали більш адекватне рішення, ніж хлопці з умовно-OpenSource PfSense, принаймні на пошук цього рішення мені знадобилося півгодини і Гронке винограду. Отже, як зайти по зовнішньому IP-адресою з локальної мережі?

1) Заходимо на сторінку налаштування IP-> Firewall-> NAT

2) Створюємо нове правило

3) Chain вибираємо dstnat

4) Src address вказуємо нашу внутрішню мережу з маскою, наприклад 192.168.88.0/24

5) Dst address вказуємо нашу адресу, який видно ззовні, наприклад 74.90.54.2

6) Dst port звичайно ж ставимо 80. Для кожного порту потрібно буде робити свою правило

7) Опускаємося нижче, і в Action вибираємо dstnat

8) В поле To Addresses прописуємо внутрішній IP-адреса нашого сервера, наприклад 192.168.88.2

9) На цьому все. Піднімаємося вгору, тиснемо Apply / Ok, насолоджуємося.

Окремо хочу відзначити, що здивований ситуацією, що склалася: у самому ніщебродском старому TP-link, в самому убогому ddwrt, є галочка для вирішення цієї проблеми проброса. В монстрів від Mikrotik, pfSense, і інших Smoothwall - доводиться лізти в нетрі, і включати різні фічі з перемінним успіхом. Або заходити зі своєї мережі на свої ж сайти - дуже непопулярна?

До речі буду вдячний якщо в коментарях напишуть як налаштувати цей NAT Loopback на PfSense останньої версії. Робоча рішення, будь ласка :)

Мітки тексту: Як зайти по зовнішньому IP-адресою з локальної мережі для MikroTik, Підключення до IP WAN з LAN

https://minidevices.info/images/ava.png

https://minidevices.info/images/ava.png

2016-10-26 02:21 2016-10-26 02:21 2016-10-26 02:21 root А я як чекаю! А ти не чекай, ти уяви себе TCP-пакетом, і думай де ти вештаєшся так що аж в потрібний будинок потрапити не можеш :)

молодець

Підміняємо локальну адресу комп'ютера на зовнішній IP-адреса. На вкладці Action виставляємо маськарадінг (masquerade), т. Е. Підміну адреси джерела на локальну адресу маршрутизатора. На вкладці General прописуємо правила, при яких він буде застосовуватися: Chain - srcnat, т. Е. При запитах з локальної мережі. Src. Address - пишемо тут локальну адресу комп'ютера, або діапазон адрес, з яких будуть відправлятися пакети. Dst. Address - тут конкретизуємо "адреса одержувача", т. Е. Правило буде застосовуватися тільки для пакетів, адресованих нашого сервера. Protocol, Dst. Port - тут прописуємо ті ж параметри порту і протоколу.

джерело: https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik © LanTorg.com

Скільки води! Можна (потрібно) стиснути все в 5-10 разів, без друзів, дружин, ноутбуків, wordpress-ів ..