J'ai un routeur MikroTik avec le firmware v7.1beta2 installé
Son WAN (eth1) a une adresse IP de 192.168.7.122
Il y a deux appareils connectés à son LAN
- L'appareil #1 est un serveur Web, communicant sur le port
80TCP192.168.88.254 - L'appareil #2 est un PLC qui communique sur le port
9999UDP192.168.88.250
J'ai réussi à configurer un dst-nat pour exposer le serveur Web de l'appareil #1 sur le port 8080 depuis le WAN.
Cependant, je n'arrive pas à faire communiquer le PLC à travers le NAT. J'ai configuré le dstnat de manière similaire au serveur Web, en changeant uniquement le port, l'adresse et le protocole. Voici ce que j'ai configuré actuellement:
Chaîne: dstnat
Protocole: 17 (udp)
Port Dst: 9999
Action: dst-nat
Journal: x
Vers Adresses: 192.168.88.250
Vers Ports: 9999J'ai désactivé tous les drops sur le pare-feu.
Lorsque j'utilise l'utilitaire de communication et que je le pointe vers l'adresse WAN avec le port configuré: 192.168.7.122:9999 et que je cherche l'appareil, le RateGraph MikroTik montre une augmentation (donc il arrive) mais l'utilitaire signale que l'appareil est 'Manquant' (par exemple, il ne reçoit pas de réponse).
Lorsque je me connecte directement au LAN et que je pointe vers 192.168.88.250:9999 directement, l'appareil s'affiche instantanément comme 'Disponible'.
À ma connaissance, l'appareil PLC se fiche que l'adresse source soit du réseau local ou non, car nous avons eu le même modèle communiquant via un NAT par le passé (et je ne crois pas qu'un traitement spécial ait été fait). D'autres matériels sur le terrain utilisent actuellement un socat de UDP 9999 à travers un boîtier Linux (sans NAT) et cela fonctionne parfaitement, donc je serais ouvert à trouver comment configurer un NAT similaire à socat pour les tests.
J'ai également essayé de configurer un srcnat au cas où le dstnat ne renverrait pas le trafic. Voici cela:
Chaîne: srcnat
Adresse Source: 192.168.88.250
Protocole: 17 (udp)
Port Dst: 9999
Action: src-nat
Vers Adresses: 192.168.7.122
Vers Ports: 9999Cela ne fonctionne pas non plus, et ce srcnat ne montre aucun trafic sur le graphique Rate.
Je suis nouveau sur RouterOS, et les réseaux n'ont jamais été mon point fort particulier (je suis ingénieur logiciel de métier), donc je ne suis pas familier avec les façons de déboguer correctement cette situation, surtout avec RouterOS.
En utilisant WireGuard sur l'hôte tout en étant directement connecté au LAN, je vois à la fois le trafic sortir, puis la réponse.
En l'utilisant pour surveiller via le WAN, il sort mais je ne vois jamais de réponse.
Aide?
0 votes
Pourquoi avez-vous un NAT ici ? Ne pouvez-vous pas vous en débarrasser ?
0 votes
C'est la seule façon que je connaisse d'exposer un port sur un appareil interne via le WAN. Y a-t-il un autre mécanisme ou une autre configuration que je pourrais essayer pour faire passer le trafic directement?
0 votes
Mais vous avez une adresse RFC1918 sur l'interface "WAN". N'est-ce pas juste une autre partie de votre propre réseau?
0 votes
Oui, le "WAN" est sur mon réseau domestique, je l'ai configuré ici pour les tests et la configuration. Mon ordinateur portable, qui arrive par le WAN, est également sur mon réseau domestique. Mon réseau domestique est dans la plage 192.168.7.0/24. Ensuite, sur ce routeur LAN, c'est 192.168.88.0/24... ce choix de plages d'adresses pourrait-il affecter le trafic UDP?
0 votes
Ensuite, oui, vous devriez désactiver NAT et simplement router normalement.
0 votes
Je ne peux pas faire ça. Je teste simplement la configuration à domicile, une fois que tout fonctionnera, cela sera déployé en tant que périphérique de bord sur le terrain. Les clients auront tout un ensemble de réseaux différents dans lesquels nous brancherons cela, donc ce routeur agira inévitablement en tant que point de terminaison VPN (WireGuard) et pare-feu pour les appareils derrière lui. Je ne peux pas compter sur le fait que le réseau des clients soit dans la même plage, c'est pourquoi j'utilise le NAT au lieu d'essayer de router directement.