1 votes

CenterOrbit avatar

Trafic NAT UDP mais pas de réponse sur MikroTik RouterOS

Demandé el 5 de Octobre, 2020
Quand la question a-t-elle été
1368 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un routeur MikroTik avec le firmware v7.1beta2 installé.

Son WAN (eth1) a une adresse IP de 192.168.7.122

Deux appareils sont connectés à son réseau local

  • Le périphérique #1 est un serveur web, communiquant sur le port 80 TCP 192.168.88.254
  • Le dispositif n°2 est un PLC qui communique sur le port 9999 UDP 192.168.88.250

J'ai réussi à configurer un dst-nat pour exposer le serveur web du dispositif #1 sur le port 8080 depuis le WAN.

Cependant, je n'arrive pas à faire communiquer l'automate à travers le NAT. J'ai configuré le dstnat de la même manière que le serveur web, en ne modifiant que le port, l'adresse et le protocole. Voici ce que j'ai configuré pour l'instant :

Chain: dstnat
Protocol: 17 (udp)
Dst. Port: 9999
Action: dst-nat
Log: x
To Addressess: 192.168.88.250
To Ports: 9999

J'ai désactivé tous les drops sur le Pare-feu.

Lorsque j'utilise l'utilitaire de communication, je le dirige vers l'adresse WAN et le port configuré : 192.168.7.122:9999 et rechercher le périphérique, le RateGraph de MikroTik montre un pic (donc il entre) mais l'utilitaire signale que le périphérique est "manquant" (c'est-à-dire qu'il ne reçoit pas de réponse).

Quand je me connecte directement au réseau local et que je pointe sur 192.168.88.250:9999 directement l'appareil s'affiche immédiatement comme "Disponible".

A ma connaissance, l'automate ne se soucie pas de savoir si l'adresse src provient ou non du réseau local, car nous avons eu le même modèle communiquant via un NAT dans le passé (et je ne crois pas qu'un traitement spécial ait été fait). D'autres matériels sur le terrain utilisent actuellement un socat de UDP 9999 via une boîte Linux (pas de NAT) et cela fonctionne parfaitement bien, donc je serais ouvert à la possibilité de trouver comment configurer un NAT de type socat pour les tests.

J'ai également essayé de configurer un srcnat au cas où le dstnat ne renverrait pas le trafic. Voici ce que j'ai fait :

Chain: srcnat
Src. Address: 192.168.88.250
Protocol: 17 (udp)
Dst. Port: 9999
Action: src-nat
To Addresses: 192.168.7.122
To Ports: 9999

Ce qui ne fonctionne pas non plus, et cette srcnat ne montre aucun trafic sur le graphique de taux.

Je suis nouveau sur RouterOS, et les réseaux n'ont jamais été un point fort particulier (je suis un ingénieur logiciel de métier), donc je ne suis pas familier avec les moyens de déboguer correctement cette situation, en particulier avec RouterOS.

En utilisant WireGuard sur l'hôte tout en étant directement connecté au réseau local, je vois les deux trafics sortir, puis la réponse.

En l'utilisant pour surveiller via le WAN, il sort mais je ne vois jamais de réponse.

Aide ?

Demandé el 5 de Octobre, 2020 par CenterOrbit

Réponses

Trop de publicités?

1voto

buffer_overflow avatar
buffer_overflow Points 715

J'ai eu le même problème, mais il semble qu'il y ait une solution sur le wiki de Mikrotic : https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Port_forwarding_on_RouterOS

En plus de la règle srcnat, j'ai ajouté

/ip firewall filter add chain=forward action=accept in-interface=wan_interface connection-nat-state=dstnat connection-state=established,related

avant Règle du FastTrack et on dirait que ça a marché

Répondu el 1 de Novembre, 2020 par buffer_overflow (715 Points )

0voto

CenterOrbit avatar
CenterOrbit Points 111

Finalement, la solution que j'ai trouvée a été de flasher le routeur (RB750Gr3) avec OpenWrt et de le configurer exactement de la même manière que sous RouterOS. Tout fonctionne parfaitement comme prévu.

Bien que je ne considère pas nécessairement "changer le système d'exploitation" comme une solution viable au problème, j'ai passé plusieurs jours à essayer de comprendre ce que je faisais de mal avec un simple transfert de port NAT, mais j'ai pu accomplir exactement la même chose sur le même matériel en moins d'une demi-journée (ce qui inclut de comprendre comment flasher un système d'exploitation différent sur le matériel).

C'est dommage, parce que je commençais vraiment à aimer RouterOS avec son ensemble de fonctionnalités approfondies, mais OpenWrt est également très bien.

Répondu el 7 de Octobre, 2020 par CenterOrbit (111 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X