Pomoc Qnap przekierowanie portów na routerze Mikrotik

[piotrkot]

Witam


Przekierowanie portów Qnapa przez Mikrotika na zewnątrz.

Chciałem zmienić router na Mikrotik z Linksys/Belkin na którym działało przekierowanie portów przez mechanizm upnp z Qnap oraz usługa QnapMyCloud. Mikrotika przywróciłem do ustawień fabrycznych, przydzieliłem adres zewnętrzny i wewnętrzny, dns, dhcp, wyłączyłem serwisy prócz dostępu za pomocą winboxa. Konfiguracja umożliwiła końcówce klienckiej przeglądanie stron. Za pomocą komend
/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=13131 \
action=dst-nat to-addresses=192.168.99.200 to-ports=13131

rozpoczołem przekierowywanie adresu zewnętrznego 212.77.98.9 na porty na Qnap (192.168.99.200) .
Niestety urządzenie Qnap pomimo przekierowania wszystkich portów na zewnątrz :443,8080,20,21,10022, 80, 8081, 1194, 11131, 873, 8899, 1723, 500, 4500, 1701, 8080, 8089
nie było dostępne.
Próbowałem równiez uruchomić w mikrotiku upnp jak w linksysie jednak efekt był taki że Qnap pokazywał że jest problem z portami:

8080
443
20
21
10022
80 (wyłączyłęm w mikrotiku ipservice dostęp do mikrotika przez www)
8081
1194 (openVpn)

zadziałały natomiast porty:

11131 Telnet
873 Zdalna replikacja rsync
8899 Zdalna replikacja rtrr
1723 pptp
500,4500,1701 l2tp
8088 virtualization station
8089 secure virtualization station

Czy to powinno wystarczyć? Czy brakuje czegoś jeszcze? Z jakiego powodu porty 8080, 443, 20, 21, 10022, 80, 8081, 1194 nie dają przekierować się na mikrotiku?

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=13131 \
action=dst-nat to-addresses=192.168.99.200 to-ports=13131

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=873 \
action=dst-nat to-addresses=192.168.99.200 to-ports=873

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=8899 \
action=dst-nat to-addresses=192.168.99.200 to-ports=8899

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=1723 \
action=dst-nat to-addresses=192.168.99.200 to-ports=1723

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=500 \
action=dst-nat to-addresses=192.168.99.200 to-ports=500

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=4500 \
action=dst-nat to-addresses=192.168.99.200 to-ports=4500

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=1701 \
action=dst-nat to-addresses=192.168.99.200 to-ports=1701

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=8088 \
action=dst-nat to-addresses=192.168.99.200 to-ports=8088

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=8089 \
action=dst-nat to-addresses=192.168.99.200 to-ports=8089

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=8080 \
action=dst-nat to-addresses=192.168.99.200 to-ports=8080

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=443 \
action=dst-nat to-addresses=192.168.99.200 to-ports=443

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=20 \
action=dst-nat to-addresses=192.168.99.200 to-ports=20

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=21 \
action=dst-nat to-addresses=192.168.99.200 to-ports=21

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=10022 \
action=dst-nat to-addresses=192.168.99.200 to-ports=10022

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=80 \
action=dst-nat to-addresses=192.168.99.200 to-ports=80

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=8081 \
action=dst-nat to-addresses=192.168.99.200 to-ports=8081

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=1194 \
action=dst-nat to-addresses=192.168.99.200 to-ports=1194

Wersja oprogramowania Firmware: 4.3.3.0238 Build 20170703
Model serwera: TVS-671

 

[grzenio]

Rozumiem że 212.77.98.9 to przykładowy ip
Teoretycznie widzę że jest, ok, sprawdz kolejność regułek. Dodatkowo dodaj sobie loopback. Odważnie tak na świat wszystko wystawiać ja mam u siebie vpn na mikrotiku z autoryzacja userów qnapa

1    ;;; default configuration
      chain=srcnat action=masquerade out-interface=wan1 log=no log-prefix="" 
 2    ;;; zapas
      chain=srcnat action=masquerade out-interface=wan2 log=no log-prefix="" 
 3    ;;; kam test
      chain=dstnat action=dst-nat to-addresses=192.168.88.75 to-ports=8080 protocol=tcp dst-address=1.2.3.4 dst-port=8080 log=no log-prefix="" 
 4    chain=dstnat action=dst-nat to-addresses=192.168.88.104 to-ports=22 protocol=tcp dst-address=1.2.3.4 dst-port=42500 log=no log-prefix="" 
 5    chain=dstnat action=dst-nat to-addresses=192.168.88.79 to-ports=80 protocol=tcp dst-address=1.2.3.4 dst-port=80 log=no log-prefix="" 
 6    chain=dstnat action=dst-nat to-addresses=192.168.88.79 to-ports=10051 protocol=tcp dst-address=1.2.3.4 dst-port=10051 log=no log-prefix="" 
 7    chain=dstnat action=dst-nat to-addresses=192.168.88.75 to-ports=443 protocol=tcp dst-address=80.52.214.174 dst-port=443 log=no log-prefix="" 
 8    chain=dstnat action=dst-nat to-addresses=192.168.88.75 to-ports=6600 protocol=tcp dst-address=80.52.214.174 dst-port=6600 log=no log-prefix="" 
 9    chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix=""

 

[piotrkot]

IP Wirtualnej Polski Zawsze znajdzie się śmieszek co będzie sprawdzał.
Ja nie miałem wcześniej mikrotika więc vpn jest na Qnapie.
Co to jes ten "loopback" w tym przypadku?
Zastanawiam się jeszcze nad jedną rzeczą:] Czy to co napisałem działało ale ja próbowałem będąc za natem dostać się do https://czarnadziura.myqnapcloud.com lub https://212.77.98.9 a przekierowywałem przez dst-nat więc tutaj mógł być problem, dziś spróbuje z team viewer.

 

[grzenio]

IP Wirtualnej Polski Zawsze znajdzie się śmieszek co będzie sprawdzał.
Ja nie miałem wcześniej mikrotika więc vpn jest na Qnapie.
Co to jes ten "loopback" w tym przypadku?
Zastanawiam się jeszcze nad jedną rzeczą:] Czy to co napisałem działało ale ja próbowałem będąc za natem dostać się do https://czarnadziura.myqnapcloud.com lub https://212.77.98.9 a przekierowywałem przez dst-nat więc tutaj mógł być problem, dziś spróbuje z team viewer.

chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix=""

To znaczy że będziesz mógł się z sieci LAN używać adresu WAN
W mikrotik nazywa to sie Hairpin_NAT - Hairpin NAT - MikroTik Wiki

 

[piotrkot]

IP Wirtualnej Polski Zawsze znajdzie się śmieszek co będzie sprawdzał.
Ja nie miałem wcześniej mikrotika więc vpn jest na Qnapie.
Co to jes ten "loopback" w tym przypadku?
Zastanawiam się jeszcze nad jedną rzeczą:] Czy to co napisałem działało ale ja próbowałem będąc za natem dostać się do https://czarnadziura.myqnapcloud.com lub https://212.77.98.9 a przekierowywałem przez dst-nat więc tutaj mógł być problem, dziś spróbuje z team viewer.

chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix=""

To znaczy że będziesz mógł się z sieci LAN używać adresu WAN
W mikrotik nazywa to sie Hairpin_NAT - Hairpin NAT - MikroTik Wiki

IP Wirtualnej Polski Zawsze znajdzie się śmieszek co będzie sprawdzał.
Ja nie miałem wcześniej mikrotika więc vpn jest na Qnapie.
Co to jes ten "loopback" w tym przypadku?
Zastanawiam się jeszcze nad jedną rzeczą:] Czy to co napisałem działało ale ja próbowałem będąc za natem dostać się do https://czarnadziura.myqnapcloud.com lub https://212.77.98.9 a przekierowywałem przez dst-nat więc tutaj mógł być problem, dziś spróbuje z team viewer.

chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix=""

To znaczy że będziesz mógł się z sieci LAN używać adresu WAN
W mikrotik nazywa to sie Hairpin_NAT - Hairpin NAT - MikroTik Wiki

Czyli do każdego portu prócz

/ip firewall nat add chain=dstnat dst-address=212.77.98.9 protocol=tcp dst-port=13131 \
action=dst-nat to-addresses=192.168.99.200 to-ports=13131

dodatkowo zaklęcie
chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix
i winno wszystko działać?

 

[grzenio]

Zapis

chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix

to w zasadzie dodatek i zupełnie inna para kaloszy

 

[piotrkot]

chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix
w moim przypadku
chain=srcnat action=masquerade src-address= 212.77.98.9 dst-address=192.168.99.0/24 log=no log-prefix

gdzie 212.77.98.9 to mój adres zewnętrzny
a 192.168.99.200 to adres Qnapa

i tylko ten jeden wpis?
W Hairpin NAT - MikroTik Wiki
podane jest że do każdego portu winienem dodać zaklęcie
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade

 

[grzenio]

W toim przypadku:

chain=srcnat action=masquerade src-address=192.168.99.0/24 dst-address=192.168.99.0/24 log=no log-prefix

 

[piotrkot]

W toim przypadku:

chain=srcnat action=masquerade src-address=192.168.99.0/24 dst-address=192.168.99.0/24 log=no log-prefix

i tylko to zaklecie bez wskazywania na każdy port src-nat?

 

[grzenio]

to w temacie loopback

 

[Usunięty użytkownik pigers]

/ip firewall nat
add action=dst-nat chain=dstnat comment="SSH QNAP" dst-port=45021 protocol=\
    tcp to-addresses=192.168.88.251 to-ports=22
add action=dst-nat chain=dstnat comment="VPN QNAP" dst-port=1723 protocol=udp \
    to-addresses=192.168.88.251 to-ports=1723
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 protocol=tcp \
    to-addresses=192.168.88.251 to-ports=32400
add action=dst-nat chain=dstnat comment=EmbyNoSSL disabled=yes dst-port=8096 \
    protocol=tcp to-addresses=192.168.88.251 to-ports=8096
add action=dst-nat chain=dstnat comment="WWW QNAP" dst-port=45080 protocol=\
    tcp to-addresses=192.168.88.251 to-ports=8080
add action=dst-nat chain=dstnat comment=DebianWWW dst-port=8880 protocol=tcp \
    to-addresses=192.168.88.246 to-ports=80
add action=dst-nat chain=dstnat comment=Transmission dst-port=9091 protocol=\
    tcp to-addresses=192.168.88.246 to-ports=9091

Gdzie 192.168.88.251 to mój adres LAN QNAP , .246 to wirtualka w QNAPie.

 

[piotrkot]

/ip firewall nat
add action=dst-nat chain=dstnat comment="SSH QNAP" dst-port=45021 protocol=\
    tcp to-addresses=192.168.88.251 to-ports=22
add action=dst-nat chain=dstnat comment="VPN QNAP" dst-port=1723 protocol=udp \
    to-addresses=192.168.88.251 to-ports=1723
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 protocol=tcp \
    to-addresses=192.168.88.251 to-ports=32400
add action=dst-nat chain=dstnat comment=EmbyNoSSL disabled=yes dst-port=8096 \
    protocol=tcp to-addresses=192.168.88.251 to-ports=8096
add action=dst-nat chain=dstnat comment="WWW QNAP" dst-port=45080 protocol=\
    tcp to-addresses=192.168.88.251 to-ports=8080
add action=dst-nat chain=dstnat comment=DebianWWW dst-port=8880 protocol=tcp \
    to-addresses=192.168.88.246 to-ports=80
add action=dst-nat chain=dstnat comment=Transmission dst-port=9091 protocol=\
    tcp to-addresses=192.168.88.246 to-ports=9091

Gdzie 192.168.88.251 to mój adres LAN QNAP , .246 to wirtualka w QNAPie.

Co to jest?

 

[Usunięty użytkownik pigers]

export konfiguracji w Mikrotik'a.