Firewall NAT configuración para redirección interna

Buenos días / Buenas tardes / Buenas noches

Espero estén todos muy bien.

Soy bien nuevito en este foro, y me acabo de registrar porque tengo una consulta que por mas que lea y lea no me quito la duda.

En la red de mi trabajo recientemente cambiamos un TP-Link por un mikrotik ya que nuestro servidor recibe muchas consultas por segundo y el pobre TP-Link se colgaba.

Cuestión es que me tuve que poner a leer de mikrotik, porque nunca manejé uno.

Resulta que lo que en tp-link se hace con "Virtual server" en el tp-link se configura en el firewall=> Nat
hasta ahí todo bien, hice todas las configuraciones y cambie el router y desde fuera funciona todo genial pero desde dentro no.

en los ordenadores de escritorio reconfiguré el programa para que en lugar de apuntar a la ip publica apunte a la ip privada del servidor y listo

pero en los notebook no puedo hacer eso, porque o trabajan desde la casa o desde dentro de la oficina.

Les dejo la configuración que estoy utilizando, esta configuración es de las camaras de seguridad (Aclaro por si les llama la atencion el puerto)
Lo que me sucede es que con el celular si no estoy en el wifi me anda bien, pero donde esté en el wifi la ip publica me apunta al router.

Intenté abrir la ip publica con un navegador y me abre el login del router, pero si lo abro desde otra red si apunta al servidor.

1629492965788.png



1629493106370.png


Aguardo sus comentarios y espero que alguien me aconseje de como puedo solucionarlo.

Aprovecho a comentarles que probé poner una dns estatica, pero tengo el inconveniente que el router no apunta a un lugar solo, ya que dependiendo el puerto puede ir al servidor, la central telefonica, o las camaras.

Muchas gracias a todos

Saludos!!
 
te falta un filtro en esa regla, en qué dirección va ese tráfico. Ve al manual de tips&tricks que verás en este mismo foro y busca cómo implementar “hairpin nat” en tu red. Especialmente si los puertos a abrir son el 80 o el 443

Saludos!
 
Muchisimas gracias @pokoyo

En lo que le estaba errando era en el masquerade.

En lugar de poner 192.168.0.0/24 ponía ni ip publica.

1629580523554.png


La parte de dns e list-ip no la use, porque tenemos ip fija.

Pero poniendo el masquerade ya me funciono

Muchas gracias!!
 
Muchisimas gracias @pokoyo

En lo que le estaba errando era en el masquerade.

En lugar de poner 192.168.0.0/24 ponía ni ip publica.

Ver el adjunto 85521

La parte de dns e list-ip no la use, porque tenemos ip fija.

Pero poniendo el masquerade ya me funciono

Muchas gracias!!
Si tienes IP pública estática no necesitas hacer un masquerade, sino sólo un src-nat. Un masquerade viene a ser un subgrupo de una regla de src-nat, y se usa únicamente cuando tienes IP dinámica que va cambiando.

Saludos!
 
Si tienes IP pública estática no necesitas hacer un masquerade, sino sólo un src-nat. Un masquerade viene a ser un subgrupo de una regla de src-nat, y se usa únicamente cuando tienes IP dinámica que va cambiando.
No se técnicamente el motivo, pero si suspendo el masquerade me deja de funcionar.
En el caso del puerto 80, queda cargando un rato y luego me da error 404, no me abre el router como antes, pero tampoco me funciona.

Con el masquerade me funciona impecable.
 
No se técnicamente el motivo, pero si suspendo el masquerade me deja de funcionar.
En el caso del puerto 80, queda cargando un rato y luego me da error 404, no me abre el router como antes, pero tampoco me funciona.

Con el masquerade me funciona impecable.
Si quieres que le eche un vistazo, pásame un export del NAT y lo preparamos en un segundo. Todas las eras trampas del masquerade y el hairpin NAT con la dirección del public IP las tenemos que hacer los que no tenemos IP pública. Pero, para los que sí que la tenéis, la cosa es muchísimo más sencilla. Si me pasas los puertos que quiere abrir y el export de cómo tienes ahora mismo tu NAT, lo montamos en un periquete.

Saludos!
 
Partiendo del siguiente supuesto (para mi ejemplo)
IP pública: 1.2.3.4
Subred LAN: 192.168.0.0/24
Server: 192.168.0.244
LAN = lista donde están tus interfaces locales (el bridge, normalmente)
WAN = lista donde están tus interfaces que conectan con internet, donde tienes la IP pública (la que va al módem / ONT)

Diría que tu configuración debería ser algo así (ojo, no la he probado)
Código:
/ip firewall nat 
add chain=srcnat comment=hairpin-nat src-address=192.168.0.0/24 dst-address=192.168.0.244 \
    action=masquerade out-interface-list=LAN
add chain=srcnat comment=wan-nat src-address=192.168.0.0/24 to-addresses=1.2.3.4 \
    action=src-nat ipsec-policy=out,none out-interface-list=WAN
add chain=dstnat comment=open-web-server dst-address=1.2.3.4 dst-port=80,443 protocol=tcp \
    action=dst-nat to-addresses=192.168.0.244
 
Arriba