วิธีเปิดการเข้าถึงเซิร์ฟเวอร์ วิธีเข้าสู่ระบบโดยใช้ที่อยู่ IP ภายนอกจากเครือข่ายท้องถิ่นสำหรับ MikroTik

ความสนใจ! คุณควรระมัดระวังเมื่อสร้างกฎจากระยะไกลเพื่อบล็อกการเข้าถึงเซิร์ฟเวอร์ผ่าน IP! อย่าปิดกั้นตัวเองโดยไม่ตั้งใจ ;-)

เปิดส่วนการจัดการ การเมืองท้องถิ่นความปลอดภัย ( ความมั่นคงในท้องถิ่นนโยบาย). โดยคลิกเมนู เริ่ม => เครื่องมือการดูแลระบบ => นโยบายความปลอดภัยท้องถิ่น.

ในหน้าต่างที่ปรากฏขึ้น ให้คลิกขวาที่สาขา “นโยบายความปลอดภัย IP เปิดอยู่” คอมพิวเตอร์ท้องถิ่น» (นโยบายความปลอดภัย IP บนคอมพิวเตอร์เฉพาะที่- จากเมนูบริบท ให้เลือก "เพิ่มนโยบายความปลอดภัย" (สร้างนโยบายความปลอดภัย).



ตัวช่วยสร้างนโยบายความปลอดภัยใหม่จะเปิดตัว คลิก "ต่อไป" (ต่อไป).



ในขั้นตอนถัดไป ให้ป้อนชื่อของนโยบายใหม่ ตัวอย่างเช่น "การบล็อกที่อยู่ IP ที่ไม่ต้องการ"- คำอธิบายเป็นทางเลือก คลิก "ต่อไป" (ต่อไป).



แล้ว ลบตัวเลือก "เปิดใช้งานกฎเริ่มต้น" (เปิดใช้งานกฎการตอบกลับเริ่มต้น) และกด "ต่อไป" (ต่อไป).



บน ขั้นตอนสุดท้ายทิ้งทุกอย่างไว้เหมือนเดิมแล้วคลิกที่ปุ่ม "พร้อม" (เสร็จ).



หน้าต่างคุณสมบัติของนโยบายที่สร้างขึ้นจะเปิดขึ้น บนแท็บ "กฎ" (กฎ) ยกเลิกการเลือกตัวเลือก “ใช้ตัวช่วย” (ใช้ตัวช่วยสร้างเพิ่ม) และคลิกที่ปุ่ม "เพิ่ม" (เพิ่ม).


หน้าต่างจะปรากฏขึ้น "พารามิเตอร์กฎใหม่" (คุณสมบัติกฎใหม่- บนแท็บ "ตัวกรองที่อยู่ IP" (รายการตัวกรอง IP) คลิกที่ปุ่ม "เพิ่ม" (เพิ่ม).


ในหน้าต่างที่ปรากฏขึ้น ในสนาม "ชื่อ" (ชื่อ) ป้อนชื่อกลุ่มที่อยู่ IP ที่จะบล็อก ตัวอย่างเช่น: “บล็อคการโจมตี”- ยกเลิกการเลือกตัวเลือก “ใช้ตัวช่วย” (ใช้ตัวช่วยสร้างเพิ่ม) และคลิกที่ปุ่ม "เพิ่ม" (เพิ่ม).



ในหน้าต่างคุณสมบัติตัวกรอง IP บนแท็บ "ที่อยู่" (ที่อยู่) ในส่วน "แหล่งที่มา" (ที่อยู่ต้นทาง) ออกจาก "ที่อยู่ IP ของฉัน" (ที่อยู่ IP ของฉัน).

ในส่วน "ปลายทาง" (ที่อยู่ปลายทาง) เลือก "ที่อยู่ IP เฉพาะ" (ที่อยู่ IP เฉพาะ) หรือ "ซับเน็ต" (ซับเน็ต IP เฉพาะ) และระบุที่อยู่ IP ที่คุณต้องการปฏิเสธการเข้าถึงเซิร์ฟเวอร์

ตัวเลือก "กระจกเงา" (มิเรอร์) ปล่อยทิ้งไว้


บนแท็บ "โปรโตคอล" (โปรโตคอล) คุณสามารถเลือกโปรโตคอลที่จะใช้ตัวกรองได้ ตามค่าเริ่มต้น ตัวกรองจะถูกใช้สำหรับโปรโตคอลทั้งหมด


บนแท็บ "คำอธิบาย" (คำอธิบาย) คุณสามารถระบุคำอธิบายของตัวกรองได้ คำอธิบายนี้จะถูกใช้ในรายการตัวกรองเพื่อให้คุณค้นหาตัวกรองได้ง่ายขึ้นในภายหลัง วิธีที่ดีที่สุดคือระบุที่อยู่ IP ที่จะบล็อกเป็นคำอธิบาย


คลิกที่ปุ่ม "ตกลง"เพื่อสร้างตัวกรอง คุณจะกลับออกไปนอกหน้าต่าง "รายการตัวกรอง IP" (รายการตัวกรอง IP) ซึ่งตัวกรองที่สร้างขึ้นใหม่จะปรากฏขึ้น



คลิกที่ปุ่ม "ตกลง"เพื่อปิดรายการตัวกรอง IP คุณจะกลับออกไปนอกหน้าต่าง "พารามิเตอร์กฎใหม่" (คุณสมบัติกฎใหม่- รายการที่สร้างขึ้นใหม่จะปรากฏในรายการรายการตัวกรอง IP เลือกมัน


ไปที่แท็บ "การกระทำ" (การดำเนินการกรอง- ยกเลิกการเลือกตัวเลือก “ใช้ตัวช่วย” (ใช้ตัวช่วยสร้างเพิ่ม) และคลิกที่ปุ่ม "เพิ่ม" (เพิ่ม).


ในหน้าต่างที่ปรากฏขึ้นบนแท็บ "การป้องกัน" (วิธีการรักษาความปลอดภัย) ตั้งค่าตัวเลือก "ปิดกั้น" (ปิดกั้น).


ไปที่แท็บ "ทั่วไป" (ทั่วไป) และในสนาม "ชื่อ" (ชื่อ) ระบุชื่อของการดำเนินการ ตัวอย่างเช่น: "ปิดกั้น".


คลิกที่ปุ่ม "ตกลง"- การกระทำที่สร้างขึ้นใหม่จะปรากฏในรายการการกระทำ เลือกมัน


คลิกที่ปุ่ม "ตกลง".

เพียงเท่านี้ก็มีการสร้างนโยบายแล้ว หากต้องการเปิดใช้งาน ให้คลิกขวาที่ชื่อนโยบายและเลือกจากเมนูบริบท "เปิดใช้งาน" (กำหนด).



ในทำนองเดียวกัน คุณสามารถปิดการใช้งานนโยบายที่สร้างขึ้นได้ผ่านเมนูบริบท

คุณสามารถเพิ่มสิ่งที่ไม่ต้องการลงในคุณสมบัติของนโยบายที่สร้างขึ้นได้อย่างง่ายดาย ที่อยู่ IP.

คุณสามารถเชื่อมต่อคอมพิวเตอร์ของคุณกับเซิร์ฟเวอร์ผ่านอินเทอร์เน็ตโดยใช้ VPN (Virtual Private Network) สิ่งนี้จะช่วยให้คุณสามารถกระจายทรัพยากรของเครือข่ายระยะไกลได้อย่างถูกต้องรวมถึงกำหนดค่าเซิร์ฟเวอร์ตามลำดับที่ถูกต้อง

คำแนะนำ

  • กำหนดค่า Windows เพื่อเชื่อมต่อกับเซิร์ฟเวอร์อย่างถูกต้อง โดยทั่วไปแล้วซอฟต์แวร์ที่จำเป็นสำหรับ การสร้าง VPNที่มาพร้อมกับระบบปฏิบัติการ วินโดวส์เซิร์ฟเวอร์- ควรติดตั้งเพื่อไม่ให้ซื้ออุปกรณ์เครือข่ายเพิ่มเติม
  • บูต Windows Server แล้วคลิกปุ่มเริ่ม เลือกโปรแกรม เครื่องมือการดูแลระบบ และกำหนดค่าตัวช่วยสร้างเซิร์ฟเวอร์ เปิด " การเข้าถึงระยะไกล/VPN-North" ในรายการบริการ
  • คลิกที่วงกลมทางด้านซ้ายของ Virtual Private เครือข่ายวีพีเอ็นและแนท" เลือกอะแดปเตอร์เครือข่ายที่เชื่อมต่อคอมพิวเตอร์ของคุณกับอินเทอร์เน็ต หากมี
  • เลือกตัวเลือกเพื่อกำหนดที่อยู่ IP โดยอัตโนมัติ เลือก ไม่ ใช้การกำหนดเส้นทางและการเข้าถึงระยะไกลเพื่อตรวจสอบสิทธิ์คำขอการเชื่อมต่อเพื่อไปที่หน้าจัดการเซิร์ฟเวอร์การเข้าถึงระยะไกลหลายรายการ
  • คลิกปุ่ม Start เลือก Programs, Administrative Tools และเปิด ผู้ใช้ที่ใช้งานอยู่และคอมพิวเตอร์" ไปที่ส่วน "การเข้าถึงระยะไกล" และไปที่แท็บ "คุณสมบัติ" ระบุ “อนุญาตการเข้าถึง” สำหรับผู้ใช้แต่ละรายที่คุณต้องการอนุญาตให้เข้าถึงเซิร์ฟเวอร์ผ่าน VPN
  • นำทางไปยังชื่อของคอมพิวเตอร์ที่คุณต้องการเชื่อมต่อกับเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ต กดปุ่ม "Start" เปิด "Control Panel" จากนั้น "เครือข่ายและอินเทอร์เน็ต" "Network and Switching Center" และ "ตั้งค่าการเชื่อมต่อหรือเครือข่ายใหม่"
  • เลือกเชื่อมต่อกับที่ทำงาน ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน และป้อนที่อยู่ IP ของเราเตอร์ของคุณเพื่อเชื่อมต่อเซิร์ฟเวอร์ หากต้องการค้นหาที่อยู่นี้ ให้เปิดหน้าการกำหนดค่าเราเตอร์
  • กรอกชื่อผู้ใช้และรหัสผ่านของคุณสำหรับ บัญชีซึ่งเข้าถึง VPN ได้ ใช้การเชื่อมต่อ VPN เพื่อเชื่อมต่อกับเซิร์ฟเวอร์
    • ให้คะแนนบทความ!

    ขั้นตอนในการเปิดการเข้าถึงเซิร์ฟเวอร์เกี่ยวข้องกับการให้การเข้าถึงโฟลเดอร์เครือข่ายที่เลือกหรือการแชร์โฟลเดอร์ ปัญหากำลังได้รับการแก้ไข วิธีการมาตรฐาน Windows OS และไม่ต้องการเพิ่มเติมใดๆ ซอฟต์แวร์- ในกรณีนี้ เรากำลังพิจารณา Windows Server 2003

    คำแนะนำ

    เรียกเมนูระบบหลักโดยคลิกปุ่ม "เริ่ม" และไปที่ "โปรแกรมทั้งหมด ขยายลิงก์ "มาตรฐาน" และเปิดแอปพลิเคชัน " วินโดวส์เอ็กซ์พลอเรอร์- ค้นหาโฟลเดอร์ที่คุณต้องการให้สิทธิ์การเข้าถึงและเรียกเมนูบริบทโดยคลิก ปุ่มขวาหนู เลือก "คุณสมบัติ" และใช้ช่องทำเครื่องหมายในบรรทัด "เปิด" การเข้าถึงทั่วไปไปที่โฟลเดอร์นี้" ในกล่องโต้ตอบที่เปิดขึ้น

    พิมพ์ชื่อที่ต้องการสำหรับชื่อที่คุณกำลังสร้าง ทรัพยากรเครือข่ายในบรรทัด "แชร์" และใช้ช่องทำเครื่องหมายในบรรทัด "สูงสุดที่เป็นไปได้" ของส่วน "ขีดจำกัดผู้ใช้" คลิกปุ่ม "สิทธิ์" เพื่อเพิ่มผู้ใช้ที่สามารถเข้าถึงโฟลเดอร์ที่เลือกและใช้คำสั่ง "เพิ่ม" เลือกผู้ใช้ที่ต้องการจากรายการในกล่องโต้ตอบใหม่ และใช้ช่องทำเครื่องหมายเพื่อกำหนดสิทธิ์การเข้าถึง:

    เข้าถึงได้เต็มรูปแบบ
    - เปลี่ยน;
    - การอ่าน.

    ยืนยันการเลือกของคุณโดยคลิกตกลง

    โปรดทราบว่าคุณสามารถตั้งค่าขั้นสูงสำหรับการอนุญาตสิทธิ์การเข้าถึงได้เมื่อคุณคลิกปุ่ม "ขั้นสูง" ยกเลิกการเลือกบรรทัด "Allow inheritance..." เนื่องจากไม่เช่นนั้นผู้ใช้ที่เลือกจะได้รับสิทธิ์จากระดับที่สูงกว่า (โดยปกติจะมาจากดิสก์ที่ทุกคนตั้งค่าเป็น "อ่านอย่างเดียว" ตามค่าเริ่มต้น) ใช้ช่องทำเครื่องหมายในบรรทัด "แทนที่การอนุญาต" และยืนยันการบันทึกการเปลี่ยนแปลงที่ทำโดยคลิกปุ่ม "ใช้" โปรดทราบว่าเวลาที่กระบวนการจัดสรรสิทธิ์อาจใช้เวลานั้นไม่ได้ขึ้นอยู่กับขนาด แต่ขึ้นอยู่กับจำนวนไฟล์ในโฟลเดอร์ ดังนั้นจึงอาจใช้เวลานานพอสมควร รอให้กระบวนการเสร็จสิ้นและทำซ้ำขั้นตอนข้างต้นสำหรับผู้ใช้แต่ละรายหรือกลุ่มผู้ใช้ที่ต้องการได้รับสิทธิ์ในการเข้าถึงเซิร์ฟเวอร์

    มีผู้ใช้เพียงไม่กี่รายเท่านั้นที่รู้ว่ามีความเป็นไปได้ที่จะตั้งค่าเครือข่ายท้องถิ่นในบ้านในลักษณะที่คอมพิวเตอร์ทุกเครื่องที่รวมอยู่ในนั้นสามารถเข้าถึงอินเทอร์เน็ตได้โดยไม่ต้องซื้ออุปกรณ์ราคาแพง


    คุณจะต้อง

    คำแนะนำ

    ขั้นแรก ให้เลือกคอมพิวเตอร์ที่จะเชื่อมต่ออินเทอร์เน็ตโดยตรง ในกรณีนี้จะมีการติดตั้ง ระบบปฏิบัติการ วินโดวส์วิสต้า- หากคอมพิวเตอร์เครื่องนี้มีอะแดปเตอร์เครือข่ายเพียงตัวเดียว ให้ซื้อการ์ดเครือข่ายตัวที่สอง จะต้องเชื่อมต่อคอมพิวเตอร์สองเครื่องกับเครือข่ายท้องถิ่น

    ซื้อสายเคเบิลเครือข่ายตามความยาวที่ต้องการ เชื่อมต่อซึ่งกันและกันโดยใช้มัน การ์ดเครือข่ายคอมพิวเตอร์ทั้งสองเครื่อง เชื่อมต่อสายเคเบิลของผู้ให้บริการเข้ากับอะแดปเตอร์เครือข่ายตัวที่สองของคอมพิวเตอร์ที่เลือก ในกรณีนี้วิธีการเข้าถึงอินเทอร์เน็ต (ผ่านพอร์ต LAN หรือโมเด็ม DSL) นั้นไม่สำคัญเลย

    เปิดคอมพิวเตอร์เครื่องแรก เปิดรายการที่มีอยู่ การเชื่อมต่อเครือข่าย- เลือกอะแดปเตอร์เครือข่ายที่เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น เปิดคุณสมบัติของมัน เลือก "อินเทอร์เน็ตโปรโตคอล TCP/IPv4" คลิกปุ่มคุณสมบัติ ไฮไลต์ตัวเลือก "ใช้ที่อยู่ IP ต่อไปนี้" ตั้งค่า IP สำหรับสิ่งนี้ อะแดปเตอร์เครือข่ายเท่ากับ 25.25.25.1

    ตั้งค่าการเชื่อมต่ออินเทอร์เน็ตหากยังไม่ได้ดำเนินการนี้ ไปที่คุณสมบัติของการเชื่อมต่อนี้ เลือกแท็บการเข้าถึง ค้นหาตัวเลือก “อนุญาตให้คอมพิวเตอร์ใช้การเชื่อมต่ออินเทอร์เน็ตนี้” เครือข่ายท้องถิ่น- ระบุเครือข่ายที่คอมพิวเตอร์สองเครื่องของคุณสร้างขึ้น บันทึกการตั้งค่าของคุณ

    เปิดคอมพิวเตอร์เครื่องที่สอง เปิดรายการการเชื่อมต่อเครือข่ายที่มีอยู่ ไปที่คุณสมบัติโปรโตคอล TCP/IPv4 หากคอมพิวเตอร์เครื่องที่สองใช้ Windows XP คุณต้องมีโปรโตคอล TCP/IP

    เปิดใช้งานตัวเลือก "ใช้ที่อยู่ IP ต่อไปนี้" ป้อนค่าของมันเท่ากับ 25.25.25.5 กดปุ่ม Tab เพื่อรับซับเน็ตมาสก์โดยอัตโนมัติ ค้นหาตัวเลือก "เกตเวย์เริ่มต้น" และ "เซิร์ฟเวอร์ DNS ที่ต้องการ" กรอกที่อยู่ IP ของคอมพิวเตอร์เครื่องแรก บันทึกการตั้งค่าเครือข่ายของคุณ

    สมมติว่าคุณกำหนดค่าไว้ และทุกอย่างทำงานได้ดีจากเครือข่ายภายนอก แต่บางครั้งอาจจำเป็นต้องจัดระเบียบการเข้าถึงคอมพิวเตอร์หรือเซิร์ฟเวอร์โดยใช้ที่อยู่ IP ภายนอกไม่เพียงแต่จากภายนอกเท่านั้น แต่ยังมาจากเครือข่ายท้องถิ่นด้วย ในกรณีนี้จะใช้ Hairpin NAT หรือ NAT LoopBack ที่เรียกว่า - การส่งและรับแพ็กเก็ตผ่านอินเทอร์เฟซเราเตอร์เดียวกันเปลี่ยนที่อยู่จากท้องถิ่นเป็นภายนอกและในทางกลับกัน มาดูการตั้งค่าที่จำเป็นกัน

    สมมติว่าเรามี:

    1. เราเตอร์ที่มี IP ภายนอก (WAN IP) 1.1.1.1
    2. คอมพิวเตอร์ที่มีที่อยู่ในเครื่อง 192.168.88.229 และเซิร์ฟเวอร์ แอปพลิเคชัน ฯลฯ ที่ทำงานอยู่เพื่อการเข้าถึงจากเครือข่ายภายนอก ในกรณีของเรา จะใช้พอร์ต 8080 สำหรับการเชื่อมต่อ
    3. คอมพิวเตอร์บนเครือข่ายท้องถิ่นที่มีที่อยู่ 192.168.88.110

    เรามีกฎการส่งต่อที่กำหนดค่าไว้สำหรับพอร์ต 8080 แล้ว:



    แต่จะไม่ทำงานเมื่อเข้าถึงจาก LAN เนื่องจากการตั้งค่าจะเน้นไปที่แพ็กเก็ตจากเครือข่ายภายนอกผ่านพอร์ต WAN ดังนั้นเราจึงต้องระบุกฎอีก 2 ข้อ

    การตั้งค่าการเข้าถึงจากเครือข่ายท้องถิ่นโดยใช้ที่อยู่ IP ภายนอก

    1. สร้างกฎเพื่อเปลี่ยนเส้นทางคำขอผ่าน IP ภายนอกจากเครือข่ายท้องถิ่น

    แท็บทั่วไป

    โซ่- dstnat.

    รศ. ที่อยู่- เขียนที่อยู่ในเครื่องของคอมพิวเตอร์ที่เราจะเข้าถึงผ่าน IP ภายนอกหรือช่วงของที่อยู่ที่นี่หากจำเป็นต้องให้การเข้าถึงดังกล่าวกับคอมพิวเตอร์หลายเครื่องบนเครือข่าย

    Dst. ที่อยู่- ระบุที่อยู่ภายนอกของคอมพิวเตอร์/เซิร์ฟเวอร์ ฯลฯ ที่จะใช้ในการเข้าถึงจากพื้นที่ท้องถิ่น

    โปรโตคอล Dst. ท่าเรือ- ที่นี่เราระบุพารามิเตอร์พอร์ตและโปรโตคอลที่สอดคล้องกับการเชื่อมต่อของเรา (เช่นเดียวกับในการส่งต่อพอร์ต)


    แท็บการดำเนินการ

    ไปยังที่อยู่- ระบุที่อยู่ในเซิร์ฟเวอร์ของเรา คอมพิวเตอร์ที่เราเข้าถึงโดยใช้ที่อยู่ IP ภายนอก

    ไปยังท่าเรือ -พอร์ตเหมือนกับในแท็บก่อนหน้า ดังนั้นคุณจึงไม่จำเป็นต้องระบุอะไรที่นี่


    ตอนนี้คุณสามารถเข้าสู่ระบบคอมพิวเตอร์ 192.168.88.229จากเครือข่ายท้องถิ่นโดยที่อยู่ IP ภายนอก 1.1.1.1

    แต่ถ้าคุณพยายามโต้ตอบกับเขาด้วยวิธีใดวิธีหนึ่งก็จะไม่มีอะไรเกิดขึ้น ทำไม มาดูกันว่าเกิดอะไรขึ้น

    • คอมพิวเตอร์ของเรา (192.168.88.110) ส่งแพ็กเก็ตไปยังที่อยู่ภายนอกของเซิร์ฟเวอร์ซึ่งเป็นที่อยู่ของเราเตอร์ตามลำดับ - 1.1.1.1
    • เราเตอร์เปลี่ยนเส้นทางอย่างซื่อสัตย์ตามกฎ dst-nat ของเราไปยังคอมพิวเตอร์ที่มีที่อยู่ 192.168.88.229
    • เขายอมรับและส่งคำตอบ แต่เนื่องจากเห็นที่อยู่ IP ในเครื่องเป็นที่อยู่ต้นทาง (ท้ายที่สุดแล้วแพ็กเก็ตมาจากคอมพิวเตอร์บนเครือข่ายท้องถิ่น) จึงส่งการตอบสนองไม่ใช่ไปยังเราเตอร์ แต่ส่งไปยังผู้รับโดยตรง
    • ผู้รับ (192.168.88.10) ส่งข้อมูลผ่าน IP ภายนอก และยังคาดหวังการตอบสนองจาก IP ภายนอกด้วย เมื่อได้รับแพ็กเก็ตจากท้องถิ่น 192.168.88.229 มันก็จะละทิ้งมันโดยไม่จำเป็น


    ดังนั้นเราจึงจำเป็นต้องมีกฎอีกหนึ่งข้อที่จะแทนที่ที่อยู่ต้นทางในเครื่องเมื่อส่งแพ็กเก็ตไปยัง IP ภายนอก

    2. แทนที่ที่อยู่เครื่องคอมพิวเตอร์ด้วยที่อยู่ IP ภายนอก

    บนแท็บการดำเนินการ ให้ตั้งค่าการปลอมแปลง เช่น แทนที่ที่อยู่ต้นทางด้วยที่อยู่ในเครื่องของเราเตอร์

    บนแท็บทั่วไป เราระบุกฎที่จะใช้:

    โซ่- srcnat เช่น สำหรับคำขอจากเครือข่ายท้องถิ่น

    รศ. ที่อยู่- เขียนที่อยู่ในเครื่องคอมพิวเตอร์หรือช่วงที่อยู่ที่จะส่งแพ็กเก็ตที่นี่

    Dst. ที่อยู่- ที่นี่เราระบุ "ที่อยู่ผู้รับ" เช่น กฎจะใช้กับแพ็กเก็ตที่ส่งถึงเซิร์ฟเวอร์ของเราเท่านั้น

    โปรโตคอล Dst. ท่าเรือ- ที่นี่เราระบุพอร์ตและพารามิเตอร์โปรโตคอลเดียวกัน



    ตอนนี้เมื่อได้รับแพ็กเก็ตจากเครือข่ายท้องถิ่นที่ส่งไปยัง IP ภายนอก 1.1.1.1 เราเตอร์จะไม่เพียงเปลี่ยนเส้นทางไปที่ 192.168.88.229 (ตามกฎข้อแรก) แต่ยังจะแทนที่ที่อยู่ต้นทาง (192.168.88.110) ด้วย แพ็กเก็ตที่มีที่อยู่ในเครื่อง

    ดังนั้นการตอบสนองจากเซิร์ฟเวอร์จะไม่ถูกส่งไปยังเครือข่ายท้องถิ่นโดยตรง แต่ไปยังเราเตอร์ ซึ่งจะส่งต่อไปยังต้นทาง


    วิธีที่สอง Hairpin NAT MikroTik: 2 กฎแทนที่จะเป็น 3

    คุณสามารถทำให้ง่ายยิ่งขึ้นด้วยการแทนที่กฎการส่งต่อพอร์ตด้วยกฎ Hairpin NAT แรก ในกรณีนี้ คุณไม่จำเป็นต้องระบุ In ในการตั้งค่า ส่วนต่อประสานและที่อยู่ Src แต่คุณต้องระบุที่อยู่ปลายทาง

    การเข้าถึงที่อยู่ IP ภายนอกของเซิร์ฟเวอร์หรือคอมพิวเตอร์ของคุณด้วยแอปพลิเคชันจะเปิดทั้งสำหรับการโทรจากภายนอกและจากเครือข่ายท้องถิ่นจากที่อยู่ใด ๆ แต่สำหรับแพ็คเก็ตที่มีที่อยู่ปลายทาง 1.1.1.1:80 เท่านั้น

    ตอนนี้เพิ่มกฎ srcnat ที่อธิบายไว้ข้างต้น เท่านี้ก็เรียบร้อย คุณสามารถเพิ่มการกรองเพิ่มเติมได้โดยระบุอินเทอร์เฟซภายนอกที่จะใช้ส่งแพ็กเก็ตหากจำเป็น

    ข้อเสียเพียงอย่างเดียวของ Hairpin NAT คือภาระบนเราเตอร์เพิ่มขึ้น เนื่องจากการโทรเหล่านั้นที่ก่อนหน้านี้ผ่านเครือข่ายท้องถิ่นโดยตรงระหว่างคอมพิวเตอร์จะผ่านเราเตอร์

    วิธีที่สองนั้นง่ายกว่า แต่วิธีแรกก็สามารถใช้ได้ทั้งนี้ขึ้นอยู่กับการกำหนดค่าเครือข่ายของคุณ

    UPD: เราทดสอบวิธีการกำหนดค่าที่อธิบายไว้ในบทความนี้อีกครั้งโดยใช้ตัวอย่าง รวมถึงการตั้งค่าที่แนะนำในความคิดเห็น- พวกเขาทั้งหมดเป็นคนงาน


    เว็บไซต์