1С8.3 УПП Создание Макетов и отчетов в 1С 8.3
создание отчетов в 1С с помощью макетов....
Hairpin NAT MikroTik / двойной горизонт DNS (Split DNS) на роутерах Mikrotik
NAT loopback (Hairpin NAT) Источник:Настройка Hairpin NAT MikroTik предназначена, чтобы организовать доступ из LAN к ресурсу в LAN по внешнему IP-адресу WAN.
Чтобы подробно описать данную настройку и разобраться в проблеме, рассмотрим пример:
Если хост локальной сети (Ws01) обращается к серверу, находящемуся в этой же сети по внешнему IP, то сервер, получив запрос, зная, что данное устройство находится в одной LAN с IP 192.168.12.10 отвечает ему напрямую. Хост не принимает данный ответ, так как не обращался к серверу по айпи 192.168.12.100.
Правило Hairpin NAT MikroTik для статического WAN
Чтобы избежать проблему, описанную выше, выполним настройку hairpin NAT на MikroTik. При получение статического айпи от поставщика интернет-услуг, советуем использовать правило Src-nat:
Для значений Src. Address и Dst. Address указываем локальную подсеть.Далее открыв вкладку “Action”: 
- Действие: src-nat;
- To Addresses – указываем свой WAN-IP
NAT Loopback при динамическом WAN
При получении динамического IP-адреса от провайдера, для правила NAT loopback нужно использовать masquerade:
- Выбираем цепочку srcnat;
- Для значений Src. Address и Dst. Address указываем локальную подсеть;
- Out. Interface – назначаем bridge;
Назначим действие(Action) – маскарад.Поставим созданное правило вторым: 
При этом необходимо учитывать то, что при этом проброс портов должен быть выполнен с параметром dst-address.
На этом настройка Hairpin NAT на MikroTik выполнена. Теперь мы сможем обращаться к внутренним ресурсам сети по внешнему IP.Netmap
Действие Netmap служит для создания связки из IP-адресов (1:1 NAT). На практике применяется для решения следующих задач:- сделать IP-адрес или группу адресов доступными из интернета по белому IP. (принцип 1:1);
- объединить разные сети с одинаковыми адресами сетей.
Проброс всех портов и протоколов на локальный IP
Для случая, когда нам нужно на MikroTik пробросить все порты и сервисы до компьютера, который находится за “натом”, чтобы обращаться к нему по белому IP, воспользуемся действием Netmap:
На вкладке “Action”, выберем действие netmap и укажем айпи хоста, доступ к которому хотим получить: 
Как объединить разные сети с одинаковой IP-адресацией
Предположим, что у нас есть два филиала с одинаковыми адресами подсетей 192.168.12.0/24, которые надо объединить.
Чтобы избежать проблем с маршрутизацией нам необходимо: - Филиал № 1 подменить сеть 192.168.12.0/24 на 192.168.30.0/24;
- Филиал № 2 подменить сеть 192.168.12.0/24 на 192.168.40.0/24.
- IP=>Firewall=>NAT=> “+”.
- Srcnat – цепочка источника;
- 192.168.12.0/24 – локальная подсеть;
- 192.168.40.0/24 – подсеть удаленного филиала.
- Action: netmap – выбираем действие;
- To Addresses: 192.168.30.0/24 – Подсеть на которую подменяем текущую адресацию.
Далее:
Разместим эти правила первыми:
Переходим к конфигурированию GW2 (Филиал №2).
Открыв меню NAT, добавляем цепочку srcnat:
И также разместим эти правила первыми:
Также надо учитывать, что на обоих маршрутизаторах должна быть настроена маршрутизация до удаленной сети.
Настраиваем двойной горизонт DNS (Split DNS) на роутерах MikrotikАвтор: Уваров А.С.
Двойным горизонтом DNS (Split DNS, разделенный DNS) называется такая организация системы доменных имен, когда различным клиентам предоставляется различные наборы информации в зависимости от некоторых условий. Например, в зависимости от исходного адреса DNS-запроса или запрашиваемого домена. Это простой, но в тоже время удобный инструмент, позволяющий гибко управлять пространством имен с минимальной нагрузкой на оборудование. В данной статье мы рассмотрим, как настраивать двойной горизонт DNS на роутерах Mikrotik.
Важно! В роутерах Mikrotik DNS over HTTPS (DoH) имеет приоритет над встроенным DNS-сервером и при его включении ничего из описанного ниже работать не будет!
Итак, двойной горизонт DNS, что это такое и для чего нужно? Давайте представим себе простую ситуацию, во внутренней сети у нас есть сервер, который одновременно доступен снаружи по публичному доменному имени. И есть мобильные клиенты, которые могут подключаться к этому серверу как снаружи, так и внутри периметра. Так как имя сервера разрешается во внешний IP-адрес, то для нормальной работы внутри периметра обычно настраивается Hairpin NAT, который позволяет обеспечить правильное прохождение пакетов от клиента к серверу вне зависимости от его расположения.
Эта схема полностью рабочая, но имеет один существенный недостаток: весь трафик между клиентами и сервером, находящимися в одной локальной сети все равно проходит через роутер, создавая лишнюю нагрузку на оборудование.Как можно этого избежать? Очень просто, настроим на локальном DNS-сервере статическую запись, которая на запрос адреса сервера будет отдавать его внутренний адрес. Теперь, оказавшись внутри периметра локальный клиент будет общаться с сервером напрямую, минуя роутер. При этом везде за пределами локальной сети адрес сервера по-прежнему разрешается во внешний адрес. Это и есть двойной горизонт DNS.
Как реализовать это в роутерах Mikrotik? Переходим в IP - DNS - Static и добавляем запись типа A в которой указываем внешнее доменное имя сервера и его внутренний адрес.
Либо выполните в терминале:/ip dns static
add address=192.168.100.10 name=srv.example.comДопустим у нас есть локальный домен interface31.lab, который обслуживает DNS-сервер 192.168.72.8, и мы хотим все запросы к адресам локального домена направлять ему, а остальное - вышестоящим DNS-серверам (публичным или провайдерским).
Снова переходим в IP - DNS - Static и добавляем запись типа FWD со следующим содержимым:
- Regexp - .*\.interface31\.lab$
- Type - FWD
- Forward To - 192.168.72.8
В терминале это можно сделать следующей командой:/ip dns static
add forward-to=192.168.72.8 regexp=".*\\.interface31\\.lab\$" type=FWDПри работе с регулярными выражениями в Mikrotik следует помнить, что они регистрозависимые, в то время как DNS-запросы не чувствительны к регистру, поэтому Mikrotik автоматически переводит все DNS-запросы в нижний регистр и все регулярные выражения нужно составлять именно в нем.
А как быть, если нам нужно перенаправить запрос только к единственному доменному имени? Просто впишите его в поле Name:
Команда для терминала:
/ip dns static
add forward-to=192.168.72.8 name=srv.example.com type=FWDТеперь о приоритетах. Любая A-запись имеет больший приоритет, чем FWD. Любая запись с использованием регулярных выражений имеет приоритет над записью с простым указанием имени. Т.е. сначала обрабатываются A-записи с Regexp, потом A c Name, потом FWD с Regexp и уже после них FWD с Name. Учитывайте это при создании записей.
Это же позволяет исключить отдельные имена из перенаправления по регулярному выражению - просто создайте для них A-записи.
Надеемся это материал окажется вам полезен и позволит в полной мере раскрыть все возможности вашего роутера Mikrotik.
Реклама:
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Комментарии к новости