Acesso externo a um servidor interno.

[efrenjunior]

Olá galera Under;

Sei que temos vários posts no fórum sobre acesso externo a um servidor ou serviço interno ao mikrotik.
Rodei o fórum todo e encontrei vários posts, mas nenhum deles, até o momento, funcionou comigo.

Em sua maioria o problema foi resolvido adicionando a regra abaixo em ip > firewall > nat
add action=dst-nat chain=dstnat comment="" disabled=yes dst-port=80 in-interface=pppoe-out4 protocol=tcp to-addresses=192.168.10.111 to-ports=80

mas comigo não funcionou. Então tentei diversas dicas postadas aqui mesmo e outras como:

• Adicionar exceção a porta no firewall (ip > firewall > filter);
• Desativei o firewall do meu servidor;
• Adicionei macação de pacotes e rota estática;
• Alterei a porta web do MK, que originalmente é a 80, para outra qualquer;

Mas não consigo acesso ao servidor WEB interno a minha rede de jeito nenhum.

Meu cenário é o seguinte:

• Utilizo PPPoE para autenticar minha conexão. Meu modem está em bridge;
• Não possuo load balance, tenho um roteador linksys que faz isso pra mim. Mas o MK tb possui acesso direto a web via PPPoE;
• Consigo acessa o MK remotamente através dessa mesma conexão PPPoE.

Alguém possui alguma dica?

Abaixo o script que eu tentei pela última vez, no desespero eu deixei o firewall todo aberto:

Código :

ip > firewall > nat
add action=dst-nat chain=dstnat comment="Redirecionamento Servidor" disabled=no dst-port=80 in-interface=pppoe-out4 protocol=tcp to-addresses=192.168.10.111 to-ports=80
 
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=80 in-interface=ether2 protocol=tcp to-addresses=192.168.10.111 to-ports=80
 
add action=masquerade chain=srcnat comment="" disabled=yes src-address=192.168.10.0/24

Código :

ip > firewall > filter
 
add action=accept chain=input comment="" disabled=no in-interface=pppoe-out4
add action=accept chain=forward comment="" disabled=no in-interface=pppoe-out4
add action=accept chain=output comment="" disabled=no in-interface=pppoe-out4

[efrenjunior]

Puxa,
Galera só vendo, mas ninguém respondendo...

Ajuda ai!!!

[soloneto]

Efren, pelo visto a melhor solução pra vc e a mais segura, seria vc criar um servidor "vpn" em seu server.

/ interface ethernet
set ether1 name="ether1"

/ interface bridge
add name="lan" arp=proxy-arp

/ interface bridge port
add interface=ether1 bridge=lan

/ ip address
add address=192.168.0.1/24 interface=lan

/ ip dns
allow-remote-requests=yes

/ ip firewall service-port
set gre disabled=no
set pptp disabled=no

/ ip pool
add name="pptp" ranges=192.168.0.200-192.168.0.229

/ ppp profile
add name="pptp-in" local-address=192.168.0.1 remote-address=pptp use-encryption=required only-one=yes change-tcp-mss=yes dns-server=192.168.0.1

/ interface pptp-server server
set enabled=yes max-mtu=1460 max-mru=1460 authentication=chap,mschap1,mschap2 default-profile=pptp-in

/ ppp secret
add name="user-1" service=pptp password="******" profile=pptp-in
add name="user-2" service=pptp password="******" profile=pptp-in
# ...

Configurações retiradas do link abaixo.

Da uma uma lida no Wiki - Tunnels - Mikrotik e procure por PPTP e L2TP.

Obs: Geralmente eu uso classe de ip´s diferentes na conf. da VPN.

[efrenjunior]

Fala Soloneto.
Obrigado pela ajuda, mas tenho que acessar um servilo interno mesmo. Pois será um processo feito por uma máquina. Não tem como eu fazer VPN.

Se puder dar mais uma dica....hehehehe

[soloneto]

Que tipo de serviço vc esta querendo acessar, pelo visto e um servidor web ? e isso ?

[efrenjunior]

Exatamente.... Mas quem vai acessar será um WEB-Service. E esse web-service está instalado em uma maquina que eu não tenho como criar um tunelamento.

[efrenjunior]

O protocolo que eu vou utilizar é o TCP, mas tenho que acessar minha maquina interna de fora da rede, ou seja, de qualquer lugar na net.

[soloneto]

add: soloneto [a] hotmail.com

[soloneto]

Vc usa link dedicado ou adsl ?

[lcmm84]

posta suas onfigurações da aba NAT, FILTER e MANGLE
vai ser mais facil ajudar!

[efrenjunior]

Olá galera.
Valeu pela força. O soloneto conseguiu resolver.

O problema estava no mascaramento da rede pelo nat.
eu criava um "masquerade" apenas para as interfaces dos clientes. Ai foi criado um masquerade para toda rede.
O script ficou assim:

Código :

/ip firewall nat
 
add action=masquerade chain=srcnat comment="" disabled=no
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=7070(PORTA EXTERNA) in-interface=pppoe-out5 protocol=tcp to-addresses=192.168.10.111 to-ports=1000(PORTA INTERNA)