Jinak tohle predpoklada ze uz mas funkcni pristup z venku.
Pokud je NAT/Firewall rozbity, pak se to muze zaseknout nekde jinde.

REFLEX: To vyresi ze pokud se ptas externi adresy (EXT_IP), tak mikrotik posle dotaz sam sobe a zpracuje je ho jako by sel z venku (To neni normalne zapnuto).

Spousta sluzen je IP specific a vyzaduje naslouchat na te verejne IP.

Takze pokud mam 3 role Router, Client, Server: (Role muzou byt na stejnem PC)
1) Router musi zajistit ze traffic jde z Client na Server (Tot ady kluci pokryli)
2) Server musi byt schopen zpracovat dotazy pro EXT_IP (Vetsinou nastavis IP alias a to je vse. Nektere sluzby muzou byt komplikovanejsi a jine na to kaslou)
3) Client o nicem nevi, protoze SSL se nerozbije.

LEXXA: a tohle by melo vyresit to, ze kdyz dam pak verejnou IP z toho pocitace kde je ten port otevreny tak to nefunguje, ale z netu to jde?

Jde mi o to ze vyvijim web a chci to dat kolegovy na ukazku, ale sam se na to adresu nedostanu (ok dostanu se na localhost, ale vsechny ajax cally jsou na tu public IP, ktera mi nejde)

Neni lepsi pouzivat hostname a lokalni IP override? :)

Jako NAT Loopback / Hairpin NAT je hrozny overkill. To je pozustatek z dob CLinuxu na starych mipsech :D Jsem prekvapeny ze mu to fungovalo na starem routeru.

Firewall pravidlo je ok, ale pak clovek musi resit na synology IP alias (Coz teba u sdileni do netu by mel tak nebo tak)

REFLEX: Pokud je stejna jako IP rozhrani, pak ne.

PISTA1: tvl. na jeden radek to co ja mam v trech pravidlech. hned vyzkousim.

REFLEX: Já teda nemám synology ale abych nemusel řešit jestli jsem doma nebo jinde tak mám nat nastavenej takhle:
Stejný pravidlo pro port 80 a 21

7 ;;; port 443 z doma na cloud
chain=dstnat action=dst-nat to-addresses=IP_NAS to-ports=443
protocol=tcp dst-address=Veřejná_IP in-interface=vnitřní_síť
dst-port=443 log=no log-prefix=""

REFLEX: tak jeste todle a mas to
https://wiki.mikrotik.com/wiki/Hairpin_NAT

LEXXA: ono to synology ma nejakou svoji kotrolu, ALE zkusil jsem to z VPS co mam nekde pryc a odtamtud se pripojim :D

REFLEX: pak jestli to nahodou nezkousis zevnitr site. to ti bez hairpin NATu nepojede

Ted jsem to vyzkousel a asi to nejde :D

Btw kdyz jsem ted dostal od internet providera verejnou IP adresu, musim to narvat do Adresses? :D

jako je fakt, ze vypnout tu FTP service v IP - Services je dobrej start ;-)

REFLEX: mozna to posledni verze mikrotiku vyhodnoti jako bezpecnostni riziko a ftp vypne :-)))

REFLEX: co mas s tim synology? jakoze port forward?

REFLEX: ne, zatim ne

Nema nekdo v supliku prebytecnou 2.4GHz kartu pro Mikrotik? PCI, ne PCI-e.

TEAPACK: Jj, to je jasný. Spínám jen dvě relátka po 10 mA a zbytek už jsou signály do zátěže několika kiloohmů.