Hairpin-NAT mit Mikrotik Router am Telekom Glasfaseranschluss

Hallo Zusammen,

in schierer Verzweiflung ersuche ich eure Hilfe.

Ich hab einen Mikrotik RB 5009 an einem Telekom Glasfaser Modem. Via PPPoE hängt der MT am Modem (eth1).

Im Netz (172.20.0.0/16) ist ein Webserver mit diversen Diensten (172.20.0.10).

DynDNS habe ich mit einem Skript auf eine Strato-Domain umgesetzt und die entsprechenden Ports auf den Webserver weitergeleitet.

Das funktioniert auch alles von außerhalb.

Jetzt möchte ich, dass ich auch vom internen Netz (172.20.0.0/16) den Webserver via Domain erreichen kann.

Dafür habe ich nach dem offiziellen Video von MT hairpin NAT eingerichtet.

Nur passiert da einfach gar nichts und allem Anschein nach, greift die Regel auch gar nicht.

Das hier ist meine Firewall Config:

/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked  
add action=accept chain=input comment="allow WireGuard" dst-port=13231 protocol=udp  
add action=drop chain=input comment="drop invalid" connection-state=invalid  
add action=accept chain=input comment="accept ICMP" in-interface=pppoe-telekom-fiber protocol=icmp  
add action=accept chain=input comment="allow Winbox" in-interface=pppoe-telekom-fiber port=8291 protocol=tcp  
add action=accept chain=input comment="allow SSH" disabled=yes in-interface=pppoe-telekom-fiber port=22 protocol=tcp  
add action=drop chain=input comment="block everything else" in-interface=pppoe-telekom-fiber  
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-telekom-fiber
add action=masquerade chain=srcnat comment="hairpin NAT" dst-address=172.20.0.10 dst-limit=1,5,dst-address/1m40s limit=1,5:packet log=yes log-prefix=\  
    hairpindebug: out-interface=bridge protocol=tcp psd=21,3s,3,1 src-address=172.20.0.0/16 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=dst-nat chain=dstnat comment="webserver http" dst-port=80 in-interface=pppoe-telekom-fiber protocol=tcp to-addresses=172.20.0.10 to-ports=80  
add action=dst-nat chain=dstnat comment="webserver https" dst-port=443 in-interface=pppoe-telekom-fiber protocol=tcp to-addresses=172.20.0.10 to-ports=443  

Eventuell sieht jemand meinen Fehler.

Viele Grüße

Maximilian

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 670363

Url: https://administrator.de/forum/hairpin-nat-mit-mikrotik-router-am-telekom-glasfaseranschluss-670363.html

Ausgedruckt am: 26.12.2024 um 06:12 Uhr

2 Kommentare

Neuester Kommentar

Hallo,

Zitat von @deadrabbit:
Im Netz (172.20.0.0/16) ist ein Webserver mit diversen Diensten (172.20.0.10).

Woh! kein kleines Netz das du betreust.

Dafür habe ich nach dem offiziellen Video von MT hairpin NAT eingerichtet.

Alles genaustens befolgt?

Nur passiert da einfach gar nichts und allem Anschein nach, greift die Regel auch gar nicht.

Komische Fehlermeldung die du uns nennst.
DNS?
Den Kabelhai mal bemüht?
Kann dein Router ins Internet denn Hairpin?
https://en.wikipedia.org/wiki/Hole_punching_(networking)
https://forum.mikrotik.com/viewtopic.php?t=172380
MikroTik und Hairpin NAT
https://help.mikrotik.com/docs/spaces/ROS/pages/3211299/NAT

Eventuell sieht jemand meinen Fehler.

Schon mal in den diversen Logs geschaut?

Gruss,
Peter

Nach meiner Erfahrung funktioniert Hairpinning nicht mit Mikrotik Routern. Besagtes und hier zitiertes Tutorial funktionierte auch bei mir nicht. Ich habe an stattdessen einen statischen DNS Eintrag auf die interne IP in den Resolver gemacht. Das löste das Problem, auch wenn es nicht professionell und sauber ist.

Frage Router, Routing DNS

Heiß diskutiert