THEODORT: uz jsem se k tomu dopracoval. jeste dodelam tagovani podle mac adres a bude to. akorat je pakarna ze pokud chci pouzivat hw offload tak nemuzu pouzivat bonding

LEXXA: a abych byl kompletní tak se v dokumentaci doctes že tvůj Mikrotik při VLAN bridgingu vypne hw-offload a proto bys měl ideálně vystačit pouze se switchingem v rámci tohoto:
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching

LEXXA: no, je to víceméně zmíněný zde.. jinak jsem spíš hledal návod na VLAN switching(bridge byl nějak divně generovanej a tudíž nebyl hw akcelerovanej), ale.. https://forum.mikrotik.com/viewtopic.php?t=133129

potreboval bych poradit.
zacal jsem pouzivat VLANy na switchi (CRS112-8G-4S) a prisel jsem o HwOffload.
Takze ted kdyz zacnu prenaset trosku vic dat tak CPU vyleti na 100% a datove toky se omezi na nejakych 200mbitu.
Muzete mi nekdo poradit co udelat jinak abych s tim neco udelal, popripade alternativni switch, co tohle bude zvladat?

Tak jsem se zeptal kamose kamose :) jak to vyresit a mel jsem tady blbe ten src-port, stacilo to odebrat a uz to funguje
action=masquerade chain=srcnat src-addr: 192.168.88.0/24 dst-addr: 192.168.88.20 protocol=tcp src-port=777 dst-port=777 out-ingerface-list LAN = nastaveni hairpin

Asi tupy dotazu, ale ja jsem beznej uzivatel :D

MCKIDNEY: No a muzu tu verejnou IP nastavit na routeru? To je asi na provideru, ze? Ja jsem tu verejnou dostal az par dnu po zrizeni internetu, cele mi to tu montovali minuly tyden

A mam konecne doma optiku 300/150 (na vesnici zazrak), takze idealne planuju nejaky sunka server si poridit na hrani a nejaky sluzby, ktery by byl idealne dostupny zvenku i zevnitr, takze to budu stejne resit ;)

Aha double NAT/Masq - ty nemas verejnou IP na routeru, takze pravidlo nebude fungovat.
Hairpin by musel byt zapnuty po cele ceste (tedy ne jenom doma).

Porad si myslim ze nejlepsi reseni je mit hostname a pak v mikrotik nastavit lokalni override na SERVER_IP.

REFLEX: coz je ten ether1

Takze sem bych mel pridat tu moji verejnout IP pro port kde mam kabel s internetem? :D

no esli nemas tu public IP prmo na mikrotiku, tak ti to asi funkovat nebude

Mam verejna IP 1.1.1.1

PC LAN IP 192.168.88.20
IP wan interface: 10.151.0.139 (to je co dostanu od providera asi)
web server co posloucha na port 777 (na mem pc 192.168.88.20)

DNS NAT nastaveni
action=masquerade chain=srcnat src-addr: 192.168.88.0/24 dst-addr: 192.168.88.20 protocol=tcp src-port=777 dst-port=777 out-ingerface-list LAN = nastaveni hairpin
action=dst-nat chain=dstnat dst-address=10.151.0.139 protocol=tcp dst-port=777

Takhle to mam nastavenene i s tim hairpin

z mobilu se pres mobilni data dostanu na 1.1.1.1:7777
ale z vnitrni site se na 1.1.1.1:777 nedostanu

To je na me uz moc slozite, jsem asi spis uzivatel klasickych tupych routeru :D

REFLEX: musi byt prvni pravidlo v retezu NATu

REFLEX: jo tak na to by mel byt ten hairpin NAT, ale to jsem zkousel a neslo to, tak jsem to mel asi blbe :D

MCKIDNEY: pres mobil data se tam dostanu z lokalni site ne

A jde o to ze musim kvuli nastaveni aplikace pristupovat i z lokalni site pres to public ip

Jinak tohle predpoklada ze uz mas funkcni pristup z venku.
Pokud je NAT/Firewall rozbity, pak se to muze zaseknout nekde jinde.

REFLEX: To vyresi ze pokud se ptas externi adresy (EXT_IP), tak mikrotik posle dotaz sam sobe a zpracuje je ho jako by sel z venku (To neni normalne zapnuto).

Spousta sluzen je IP specific a vyzaduje naslouchat na te verejne IP.

Takze pokud mam 3 role Router, Client, Server: (Role muzou byt na stejnem PC)
1) Router musi zajistit ze traffic jde z Client na Server (Tot ady kluci pokryli)
2) Server musi byt schopen zpracovat dotazy pro EXT_IP (Vetsinou nastavis IP alias a to je vse. Nektere sluzby muzou byt komplikovanejsi a jine na to kaslou)
3) Client o nicem nevi, protoze SSL se nerozbije.

LEXXA: a tohle by melo vyresit to, ze kdyz dam pak verejnou IP z toho pocitace kde je ten port otevreny tak to nefunguje, ale z netu to jde?

Jde mi o to ze vyvijim web a chci to dat kolegovy na ukazku, ale sam se na to adresu nedostanu (ok dostanu se na localhost, ale vsechny ajax cally jsou na tu public IP, ktera mi nejde)

Neni lepsi pouzivat hostname a lokalni IP override? :)

Jako NAT Loopback / Hairpin NAT je hrozny overkill. To je pozustatek z dob CLinuxu na starych mipsech :D Jsem prekvapeny ze mu to fungovalo na starem routeru.

Firewall pravidlo je ok, ale pak clovek musi resit na synology IP alias (Coz teba u sdileni do netu by mel tak nebo tak)

REFLEX: Pokud je stejna jako IP rozhrani, pak ne.

PISTA1: tvl. na jeden radek to co ja mam v trech pravidlech. hned vyzkousim.