10Dic, 2022
MIKROTIK – PORT FORWARDING + HAIRPIN NAT
5
(2)
Mikrotik RouterOS hairpin nat

ROUTEROS – APERTURA PORTE E HAIRPIN NAT

In questa pratica guida vedremo come configurare l’apertura di una porta e l’hairpin NAT con RouterOS, in modo che il nostro server possa essere raggiunto anche dall’interno della rete, richiamandolo da IP pubblico.

In questa guida, vedremo come aprire le porte, se stai comfigurando un router da zero, puoi dare un occhiata a questa configurazione base.

Colleghiamo alla ether2 un server https e alla ether3 un PC.

Supponiamo di dover raggiungere dall’esterno il sito internet, avendo la possibilità di accedere anche da rete locale chiamando sempre l’ip pubblico.

fig.1 – diagramma di rete

 

 

Obbiettivo 1: Configurare il Port Forwarding sulla porta 443 sul Router Mikrotik.

N.B QUESTO METODO PERMETTE DI RAGGIUNGERE IL WEB SERVER SOLO DA UNA RETE ESTERNA E NON DALLA RETE LAN

  1. Cliccare sul tab IP, Firewall, NAT e clicchiamo sul tasto + .
  2. Nel campo chain, selezioniamo dstnat.
  3. Nel campo Protocol, selezioniamo tcp.
  4. Nel campo dst-port (porta esterna), digitiamo 443.
  5. Nel campo in-interface, selezioniamo ether1 (interfaccia pubblica).
  6. Clicca sul tab Action della barra del titolo.
  7. Nel campo Action, seleziona la voce dst-nat.
  8. Nel campo To Addresses, inserisci l’ip del server 192.168.120.2 .
  9. Nel campo To Ports, inserisci la porta interna 443 .
  10. Clicchiamo nel tasto Comment, sul lato destro della finestra, e commentiamo la regola con APERTURA PORTA HTTPS SERVER
  11. Clicchiamo su OK per terminare.

Riepilogando vediamo il codice utilizzabile direttamente da terminale:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=443 in-interface=ether1 action=dst-nat to-address=192.168.120.2 to-port=443 comment=APERTURA PORTA HTTPS SERVER

Ora il nostro dispositivo è raggiungibile attraverso internet. Ma come noterete se chiamiamo l’ip pubblico da rete locale non andiamo da nessuna parte. Questa è la modalità più usata, ma secondo me non corretta.

Veidiamo come risolvere configurando Hairpin NAT. Sarebbe corretto ignorare l’obbiettivo 1 e aprire la porta configurando Hairpin NAT seguendo la prossima guida.

Se avete già configurato la regola dell’Obbiettivo 1, vi consiglio dopo aver fatto le vostre prove di rimuoverla.

 

Obbiettivo 2: Configurare  PORT FORWARDING + HAIRPIN NAT

N.B QUESTO METODO PERMETTE DI RAGGIUNGERE IL WEB SERVER SIA DA UNA RETE ESTERNA CHE DALLA RETE LAN

  1. Cliccare sul tab IP, Firewall, NAT e clicchiamo sul tasto + .
  2. Nel campo chain, selezioniamo srcnat.
  3. Nel campo src-address, inseriamo 192.168.120.0/24
  4. Nel campo dst-address, inseriamo 192.168.120.2
  5. Clicca sul tab Action della barra del titolo.
  6. Nel campo Action, seleziona la voce masquerade.
  7. Cliccare su OK.
  8. Cliccare sul tab IP, Firewall, Address lists e clicchiamo su + .
  9. Nel campo name, digitiamo public_ip
  10. Nel campo Address, digitiamo il nostro ip pubblico 1.2.3.4 (se fosse dinamico inserisci direttamente il dominio es. foisfabio.duckdns.org)
  11. Cliccare su OK.
  12. Cliccare sul tab IP, Firewall, NAT e clicchiamo sul tasto + .
  13. Nel campo chain, selezioniamo dstnat.
  14. Verifica se presente il campo dst-address-list, se presente, seleziona dal menu a tendina l’address list public_ip . Se non è presente verifica nel tab Advanced.
  15. Nel campo Protocol, selezioniamo tcp.
  16. Nel campo dst-port (porta esterna), digitiamo 443.
  17. Cliccare sul campo dst-address-list e selezionare l’address list public_ip dal menu a tendina.
  18. Clicca sul tab Action della barra del titolo.
  19. Nel campo Action, seleziona la voce dst-nat.
  20. Nel campo To Addresses, inserisci l’ip del server 192.168.120.2 .
  21. Nel campo To Ports, inserisci la porta interna 443 .
  22. Clicchiamo su OK per terminare.

Riepilogando vediamo il codice utilizzabile direttamente da terminale:

/ip address-list add name=public_ip address=1.2.3.4
/ip firewall nat 
add chain=srcnat src-address=192.168.120.0/24 dst-address=192.168.120.2 action=masquerade 
add chain=dstnat dst-address-list=public_ip protocol=tcp dst-port=443 action=dst-nat to-address=192.168.120.2 to-port=443

Ti è piaciuta questa guida? Segui tutte le guide su RouterOS alla pagina: Guide Mikrotik.

Scopri hAP ax lite, il nuovo router Mikrotik con potente processore ARM.

Puoi inviare il tuo contributo Paypal oppure commenta e condividi questo contenuto.

Hai riscontrato errori in questa guida?? segnalacelo tramite la scheda CONTATTI

Dai un’occhiata anche al video ufficiale su come configurare l’ hairpin NAT su RouterOS di Mikrotik.

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 5 / 5. Conteggio dei voti: 2

Nessun voto finora! Sii il primo a valutare questo post.

Post Views: 4.960