4
Mikrotik + Webserver + NAT + intern erreichbar (WANIP) - extern nicht?!
Hallo zusammen,
Achtung: dieser Thread könnte Potential für einen Freitagsthread mitsich bringen! (Sehe ich den Wald vor lauter Bäumen nicht?!)
Ein etwas ungewöhnliches Kalkul habe ich da letzte Nacht zusammengezimmert:
-Konstellation LAN:
Win 10 Pro, aktuelle Build => HyperV- Host [192.168.88.252] => VM-2012R2 [192.168.88.20]
Auf diesem 2012R2(VM) läuft ein Webserver auf Port 5000 der im lokalen Netzerreichbar ist unter http://192.168.88.20:5000
-Konstellation WAN:
KabelBW Modem => Mikrotik (eth1) [bridge] => eth2 => LAN
Statische IP: 78.43.2.74
-NAT Regel:
Diese Regel fruchtet auch. Es kommen Pakete an.
Problem: Wenn ich im internenNetz (WLAN/LAN) http://78.43.2.74:5000 öffne, komme ich auf den Webserver. Möchte ich via mobile Daten oder entfernter Rechner darauf zugreifen, landet es im Timeout.
Firewall hatte ich mal deaktiviert aufm MT.
Firewall auf Host + VM deaktiviert.
Und hier stehe ich nun: habe ich was vergessen? Verschweigt mir der Mikrotik etwas? Habe ich einen grundsätzlichen Denkfehler!?
Hoffe Ihr könnt mir weiterhelfen.
Wenn weitere Infos benötigt werden, liefe ich die gerne nach.
Guten Start in den Montag (wir haben Fasnachts-frei).
Gruß
Achtung: dieser Thread könnte Potential für einen Freitagsthread mitsich bringen! (Sehe ich den Wald vor lauter Bäumen nicht?!)
Ein etwas ungewöhnliches Kalkul habe ich da letzte Nacht zusammengezimmert:
-Konstellation LAN:
Win 10 Pro, aktuelle Build => HyperV- Host [192.168.88.252] => VM-2012R2 [192.168.88.20]
Auf diesem 2012R2(VM) läuft ein Webserver auf Port 5000 der im lokalen Netzerreichbar ist unter http://192.168.88.20:5000
-Konstellation WAN:
KabelBW Modem => Mikrotik (eth1) [bridge] => eth2 => LAN
Statische IP: 78.43.2.74
-NAT Regel:
/ip firewall nat add chain=dstnat in-interface=ether1-gateway protocol=tcp dst-port=5000 action=dst-nat to-address=192.168.88.20Diese Regel fruchtet auch. Es kommen Pakete an.
Problem: Wenn ich im internenNetz (WLAN/LAN) http://78.43.2.74:5000 öffne, komme ich auf den Webserver. Möchte ich via mobile Daten oder entfernter Rechner darauf zugreifen, landet es im Timeout.
Firewall hatte ich mal deaktiviert aufm MT.
Firewall auf Host + VM deaktiviert.
Und hier stehe ich nun: habe ich was vergessen? Verschweigt mir der Mikrotik etwas? Habe ich einen grundsätzlichen Denkfehler!?
Hoffe Ihr könnt mir weiterhelfen.
Wenn weitere Infos benötigt werden, liefe ich die gerne nach.
Guten Start in den Montag (wir haben Fasnachts-frei).
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364499
Url: https://administrator.de/contentid/364499
Ausgedruckt am: 24.11.2024 um 03:11 Uhr
4 Kommentare
Neuester Kommentar
Hairpin NAT Problem ?
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Hast du auf der 192.168.88.20 mal einen Wireshark oder tcpdump laufen lassen wenn du von remote zugreifst ? Kommt da irgendwas an mit Port 5000 ?
Außerdem solltest du besser keine registrierten IANA Ports wie deine 5000 nehmen für sowas sondern besser die dafür vorgesehenen freien Ephemeral Ports von 49152 bis 65535. 55000 wäre also sinnvoller. Vor allem kommen dann auch nicht irgendwelche Script Kiddies mit Port Scannern auf sowas !
https://en.wikipedia.org/wiki/Ephemeral_port
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Hast du auf der 192.168.88.20 mal einen Wireshark oder tcpdump laufen lassen wenn du von remote zugreifst ? Kommt da irgendwas an mit Port 5000 ?
Außerdem solltest du besser keine registrierten IANA Ports wie deine 5000 nehmen für sowas sondern besser die dafür vorgesehenen freien Ephemeral Ports von 49152 bis 65535. 55000 wäre also sinnvoller. Vor allem kommen dann auch nicht irgendwelche Script Kiddies mit Port Scannern auf sowas !
https://en.wikipedia.org/wiki/Ephemeral_port
@aqui,
eigentlich hätte ich es mir denken können, dass Du antwortest. Ohje, zuviel Kaffee auf zuwenig schlaf.
Danke Dir -Schaue ich mir an!
Gruß
Edita:
Edita:
Anbei nen Trace aus Wireshark. Meiner Meinung nach, kommuniziert Router mit Webserver und lauscht auf Port 5000. Sehe ich das so richtig?
eigentlich hätte ich es mir denken können, dass Du antwortest. Ohje, zuviel Kaffee auf zuwenig schlaf.
Danke Dir -Schaue ich mir an!
Gruß
Edita:
Hast du auf der 192.168.88.20 mal einen Wireshark oder tcpdump laufen lassen wenn du von remote zugreifst ? Kommt da irgendwas an mit Port 5000 ?
Gute Idee. Nein noch nicht. Werde heute mittag testen und Feedback abliefern.Edita:
Anbei nen Trace aus Wireshark. Meiner Meinung nach, kommuniziert Router mit Webserver und lauscht auf Port 5000. Sehe ich das so richtig?
Nachtrag:
Bin mittlerweile auf Port 55000 gelandet.
Aber, egal wie ich es baue, es funktioniert nicht so recht. Auf der VM kommen keine Anfragen von extern an.
Danke
Verzweifelte Grüße
Bin mittlerweile auf Port 55000 gelandet.
Aber, egal wie ich es baue, es funktioniert nicht so recht. Auf der VM kommen keine Anfragen von extern an.
Danke
Verzweifelte Grüße
Guten Abend zusammen,
wie vermutet: Wald vor lauter Bäumen nicht gesehen. Hatte damals auf mein Dual Stack Ciscomodem von KabelBW bestanden, das ist ganz unter den Tisch gefallen.
Modem in Routermode(DHCPSRV on) => Mikrotik in Bridgemode. Funktioniert.
Danke für Support!
Gruß
wie vermutet: Wald vor lauter Bäumen nicht gesehen. Hatte damals auf mein Dual Stack Ciscomodem von KabelBW bestanden, das ist ganz unter den Tisch gefallen.
Modem in Routermode(DHCPSRV on) => Mikrotik in Bridgemode. Funktioniert.
Danke für Support!
Gruß
