Asi tupy dotazu, ale ja jsem beznej uzivatel :D

MCKIDNEY: No a muzu tu verejnou IP nastavit na routeru? To je asi na provideru, ze? Ja jsem tu verejnou dostal az par dnu po zrizeni internetu, cele mi to tu montovali minuly tyden

A mam konecne doma optiku 300/150 (na vesnici zazrak), takze idealne planuju nejaky sunka server si poridit na hrani a nejaky sluzby, ktery by byl idealne dostupny zvenku i zevnitr, takze to budu stejne resit ;)

Aha double NAT/Masq - ty nemas verejnou IP na routeru, takze pravidlo nebude fungovat.
Hairpin by musel byt zapnuty po cele ceste (tedy ne jenom doma).

Porad si myslim ze nejlepsi reseni je mit hostname a pak v mikrotik nastavit lokalni override na SERVER_IP.

REFLEX: coz je ten ether1

Takze sem bych mel pridat tu moji verejnout IP pro port kde mam kabel s internetem? :D

no esli nemas tu public IP prmo na mikrotiku, tak ti to asi funkovat nebude

Mam verejna IP 1.1.1.1

PC LAN IP 192.168.88.20
IP wan interface: 10.151.0.139 (to je co dostanu od providera asi)
web server co posloucha na port 777 (na mem pc 192.168.88.20)

DNS NAT nastaveni
action=masquerade chain=srcnat src-addr: 192.168.88.0/24 dst-addr: 192.168.88.20 protocol=tcp src-port=777 dst-port=777 out-ingerface-list LAN = nastaveni hairpin
action=dst-nat chain=dstnat dst-address=10.151.0.139 protocol=tcp dst-port=777

Takhle to mam nastavenene i s tim hairpin

z mobilu se pres mobilni data dostanu na 1.1.1.1:7777
ale z vnitrni site se na 1.1.1.1:777 nedostanu

To je na me uz moc slozite, jsem asi spis uzivatel klasickych tupych routeru :D

REFLEX: musi byt prvni pravidlo v retezu NATu

REFLEX: jo tak na to by mel byt ten hairpin NAT, ale to jsem zkousel a neslo to, tak jsem to mel asi blbe :D

MCKIDNEY: pres mobil data se tam dostanu z lokalni site ne

A jde o to ze musim kvuli nastaveni aplikace pristupovat i z lokalni site pres to public ip

Jinak tohle predpoklada ze uz mas funkcni pristup z venku.
Pokud je NAT/Firewall rozbity, pak se to muze zaseknout nekde jinde.

REFLEX: To vyresi ze pokud se ptas externi adresy (EXT_IP), tak mikrotik posle dotaz sam sobe a zpracuje je ho jako by sel z venku (To neni normalne zapnuto).

Spousta sluzen je IP specific a vyzaduje naslouchat na te verejne IP.

Takze pokud mam 3 role Router, Client, Server: (Role muzou byt na stejnem PC)
1) Router musi zajistit ze traffic jde z Client na Server (Tot ady kluci pokryli)
2) Server musi byt schopen zpracovat dotazy pro EXT_IP (Vetsinou nastavis IP alias a to je vse. Nektere sluzby muzou byt komplikovanejsi a jine na to kaslou)
3) Client o nicem nevi, protoze SSL se nerozbije.

LEXXA: a tohle by melo vyresit to, ze kdyz dam pak verejnou IP z toho pocitace kde je ten port otevreny tak to nefunguje, ale z netu to jde?

Jde mi o to ze vyvijim web a chci to dat kolegovy na ukazku, ale sam se na to adresu nedostanu (ok dostanu se na localhost, ale vsechny ajax cally jsou na tu public IP, ktera mi nejde)

Neni lepsi pouzivat hostname a lokalni IP override? :)

Jako NAT Loopback / Hairpin NAT je hrozny overkill. To je pozustatek z dob CLinuxu na starych mipsech :D Jsem prekvapeny ze mu to fungovalo na starem routeru.

Firewall pravidlo je ok, ale pak clovek musi resit na synology IP alias (Coz teba u sdileni do netu by mel tak nebo tak)

REFLEX: Pokud je stejna jako IP rozhrani, pak ne.

PISTA1: tvl. na jeden radek to co ja mam v trech pravidlech. hned vyzkousim.

REFLEX: Já teda nemám synology ale abych nemusel řešit jestli jsem doma nebo jinde tak mám nat nastavenej takhle:
Stejný pravidlo pro port 80 a 21

7 ;;; port 443 z doma na cloud
chain=dstnat action=dst-nat to-addresses=IP_NAS to-ports=443
protocol=tcp dst-address=Veřejná_IP in-interface=vnitřní_síť
dst-port=443 log=no log-prefix=""

REFLEX: tak jeste todle a mas to
https://wiki.mikrotik.com/wiki/Hairpin_NAT

LEXXA: ono to synology ma nejakou svoji kotrolu, ALE zkusil jsem to z VPS co mam nekde pryc a odtamtud se pripojim :D

REFLEX: pak jestli to nahodou nezkousis zevnitr site. to ti bez hairpin NATu nepojede