«серый» ip-адрес

Стадия 3. Установка L2TP IPsec сервера

cat /etc/network/interfaces

Нас интересует название интерфейса, в данном случае ens3,

Правим скрипт под себя

Если на вашем сервере интерфейс так же отличается от eth0, то выполняем еще команду

#sed -i 's/eth0/ens3/g' vpnsetup.sh

Обращаю внимание, что скрипт создает ppp интерфейсы и пулы адресов со своей адресацией. Если адресация по-умолчанию не устраивает, ее нужно изменить заранее:

nano vpnsetup.sh

L2TP_NET=${VPN_L2TP_NET:-'192.168.42.0/24'}
L2TP_LOCAL=${VPN_L2TP_LOCAL:-'192.168.42.1'}
L2TP_POOL=${VPN_L2TP_POOL:-'192.168.42.10-192.168.42.250'}
XAUTH_NET=${VPN_XAUTH_NET:-'192.168.43.0/24'}
XAUTH_POOL=${VPN_XAUTH_POOL:-'192.168.43.10-192.168.43.250'}
DNS_SRV1=${VPN_DNS_SRV1:-'8.8.8.8'}
DNS_SRV2=${VPN_DNS_SRV2:-'8.8.4.4'}

Я обычно использую рандомайз. Меняю первые 2 октета например на 10.250:

L2TP_NET=${VPN_L2TP_NET:-'10.250.250.0/24'}
L2TP_LOCAL=${VPN_L2TP_LOCAL:-'10.250.250.1'}
L2TP_POOL=${VPN_L2TP_POOL:-'10.250.250.10-10.250.250.250'}
XAUTH_NET=${VPN_XAUTH_NET:-'10.250.251.0/24'}
XAUTH_POOL=${VPN_XAUTH_POOL:-'10.250.251.10-10.250.251.250'}
DNS_SRV1=${VPN_DNS_SRV1:-'8.8.8.8'}
DNS_SRV2=${VPN_DNS_SRV2:-'8.8.4.4'}

Как узнать внутренний IP адрес на Windows

Для просмотра внутреннего и внешнего IP применяются разные способы. Начнем с внутреннего.

«Панель управления» в Windows

Этот простой способ подходит практически для всех версий ОС. Даже те, кто использует Windows 7 или Vista смогут просмотреть свой IP. Сделать требуется следующее.

1. Запускаем «Панель управления» с помощью специального ярлыка и кликаем по пункту «Центр управления сетями и общим доступом».
2. Теперь выбираем пункт «Изменение параметров адаптера».3. Кликаем правой кнопкой мыши по активному соединению (сеть должна быть подключена) (п. 1 на скриншоте) и в выпадающем меню выбираем «Состояние» (2).4. В появившемся окошке щелкаем «Сведения». 5. И в следующем окошке можно будет найти внутренний IP адрес компьютера, который был ему присвоен роутером или маршрутизатором

Командная строка

Многих пользователей пугает данный достаточно архаичный компонент операционной системы, так как управлять командной строкой нужно с помощью текстовых команд. Но на самом деле он очень полезен и может предоставить всю необходимую информацию о компьютере.

Узнать IP своего компьютера при помощи командной строки можно с помощью всего лишь одной команды. Сделать нужно следующее.

1. Нажимаем сочетание клавиш «Win+R» и вызываем системный компонент «Выполнить». В его строке вводим «cmd» (1) и жмем «ОК» или «Enter» на клавиатуре (2).
2. Сразу же запустится командная строка Windows. Вводим «ipconfig /all» (без кавычек) и жмем «Enter».
3.  После ввода этой команды появится вся информация о текущих соединениях.

Данный способ позволяет определить адрес компьютера в локальной сети. Консоль предоставит информацию как об IPv4, так и об IPv6 (на скриншоте выше).

Приложение «Параметры» (Windows 10)

Пользователи Windows 10 имеют возможность посмотреть IP компьютера альтернативным способом. В «десятке» появилось приложение «Параметры», которое призвано заменить стандартную «Панель управления». Хотя последняя тоже никуда не делась.

Приложение «Параметры» обладает новым оформлением, выполненным в стиле Windows 10 и дает доступ пользователю ко всем настройкам операционной системы. Делаем следующее.

1. Открываем меню «Пуск» и щелкаем по значку с изображением шестеренки.
2. Появится главное окно приложения. Здесь нужно выбрать раздел «Сеть и интернет».
3. Теперь щелкаем пункт «Просмотр свойств сети».

Вот и он.

Диспетчер задач

Диспетчер задач – это универсальный инструмент, который позволяет узнать практически все о текущем состоянии операционной системы. Он отображает количество запущенных процессов, расход оперативной памяти и многое другое.

Предлагаем разобраться как открыть диспетчер задач в статье как открыть диспетчер задач в Windows.

Мало кто знает, но с помощью этого инструмента можно также определить IP адрес компьютера в локальной сети. Запускаем меню «Пуск» перемещаемся в каталог «Windows – Служебные» (1) и щелкаем по пункту «Диспетчер задач» (2).

1. 2. В главном окне диспетчера перемещаемся на вкладку «Производительность».3. Теперь щелкаем на пункт с отображением сети (там может быть написано «Wi-Fi» или «Ethernet»).4. В следующем окне будет отображен IP адрес компьютера. Такой вариант подходит тем, кто использует Windows 7, 8, 8.1 и 10. Способ позволяет не только узнать сетевой адрес ПК, но и проследить за состоянием сети в режиме реального времени. Очень полезная штука.

С помощью компонента «Информация о системе»

Это альтернативный вариант. Он также отличается простотой и доступностью.

1. Запускаем компонент «Выполнить» (с помощью «Win+R») и в строке вводим «msinfo32» (1). Нажимаем «ОК» или «Enter» (2).
2. Сразу же откроется окно с огромным количеством информации. Здесь требуется кликнуть по пункту «Компоненты» (1), перейти на «Сеть» (2) и выбрать «Адаптер» (3). Информация об IP будет отображаться в правой части окна. Как видите, вычислить IP компьютера не так-то сложно. Но речь шла исключительно о внутреннем адресе. Теперь поговорим о внешнем.

Многие пользователи удивляются, что в свойствах подключения обычно отображается два IP. Не стоит волноваться. Правильные оба. Просто один относится к типу IPv4, а другой – IPv6. Они даже отличаются стилем написания. В первом исключительно цифры, отделенные точками, а во втором – цифры и буквы латинского алфавита, отделенные двоеточиями.

IP роутера

И тут сразу нужно уточнить, что у маршрутизатора есть два IP. Так как он является неким шлюзом, то у него есть как внешний IP, так и внутренний или локальный. Именно за счет локального с ним способны общаться другие внутренние устройства: телефоны, планшеты, телевизор, компьютер и т.д.

Изначально локальный IP уже статический. Но это логично, так как если бы он был динамическим, то в один прекрасный момент все аппараты отвалились от сети. Стандартный IP можно посмотреть на бумажке, которая находится под корпусом. Или вбить команду «ipconfig» в компьютер, который подключен к интернет-центру.

Настроить статические IP адреса локальных устройств

И вот тут мы подошли к тому, чтобы назначить всем вашим локальным сегментам определенный IP. Очень часто это требуется на предприятии или для проброса порта на внутреннюю камеру видеонаблюдения, чтобы иметь на неё доступ из интернета. Поводов достаточно много.

Для начала вы должны уже быть подключены к интернет-центру по кабелю или по Wi-Fi. После этого вам нужно с подключенного компьютера, ноутбука, планшета или телефона – открыть Web-браузер и вписать «АйПи» или DNS маршрутизатора. Адрес по умолчанию находится на той же самой бумажке под корпусом. Далее будут инструкции по разным моделям роутеров.

Серый и белый IP — что это такое и чем отличаются

Сейчас высокоскоростной доступ в Интернет развивается очень стремительно. Вместе с этим идёт рост домовых, районных и городских сетей. Это вносит коррективы и в нашу жизнь. Если раньше что такое белый и серый IP рассуждали инженеры и компьютерные специалисты, то сейчас не удивляйтесь, если услышите размышление на эту тему среди обычных школьников. Ели Вы не знаете чем отличаются эти два понятия, то эта статья для Вас.

На сегодняшний день есть два основных вида сетей:

1. Глобальная или Интернет — WAN

2. Локальная — LAN (домашняя, офисная, районная, областная, кампусная и т.п.)

Так вот публичный или белый IP-адрес — это тот адрес, под которым компьютер, ноутбук, планшет, телефон или иное устройство видно и работает в Интернете, то есть единой глобальной сети, которая охватывает весь земной шар. И из любой точки земли, где он есть, этот Ай-Пи будет доступен.

Частный или серый IP-адрес используется во внутренних локальных сетях. С ним компьютер будет доступен с любого другого из этой сети, но из Интернета его видно не будет.

Для объединения локальной и внешней сети используется специальное устройство которое имеет одновременно и белый и серый Айпи — это маршрутизатор или роутер (что есть одно и то же). Он одновременно присутствует и там, и там, за счёт того, что имеет WAN-порт (Wide Area Network) для доступа в глобальную паутину и хотя бы один LAN-порт (Local Area Network) для организации локалки, в которой он является главным шлюзом. В некоторых случаях вместо роутера используется Прокси-сервер (Proxy) — компьютер, который так же имеет два сетевых интерфейса для внешней сети и для внутренней.

Реквизиты предпринимателя

ОГРНИП
312482121600048

ИНН
482101386613

Вид предпринимательства
Индивидуальный предприниматель

Налоговый орган
Межрайонная инспекция Федеральной налоговой службы № 7 по Липецкой области

Код ИФНС
4828

Дата постановки на учет
1 января 2013 г.

Сведения о регистрации в ФНС

ОГРНИП
312482121600048

Дата регистрации
3 августа 2012 г.

Код регистрирующего органа
4827

Регистратор
Межрайонная инспекция Федеральной налоговой службы № 6 по Липецкой области

Адрес регистратора
398059, Липецк г, Неделина ул, д 4, корп А

Сведения о регистрации в ПФР

Регистрационный номер ПФР
058088025725

Дата регистрации
7 августа 2012 г.

Территориальный орган
Государственное учреждение — Управление Пенсионного фонда РФ в г.Ельце Липецкой области

Код отделения
058088

Сведения о регистрации в ФСС

Регистрационный номер ФСС
480021335548003

Территориальный орган
Государственное учреждение — Липецкое региональное отделение Фонда социального страхования Российской Федерации

Код отделения
4800

Зачем нужен белый IP-адрес пользователю?

Так как белый IP – это прямой и общедоступный адрес сети Интернет, проще показать, какие минусы имеются у серого IP, сделав выводы о нужности или ненужности белого IP для подключения к глобальной сети.

Поскольку выход в Интернет часто осуществляется множеством пользователей через один адрес IPv4, все выходящие в глобальную сеть зависят от этого IP.

В результате может сложиться ситуация, когда на каком-либо ресурсе одного из пользователей с серым IP «забанили» по его IP-адресу. Из-за этого все остальные пользователи, выходящие в Интернет через этот же IP, попадают под действие санкций, наложенные на пользователя на этом ресурсе.

Серый IP-адрес может быть забанен из-за присвоения его многим пользователям

Проблема также касается и сервисов обмена файлами, к примеру, Turbobit, DepositFiles и т.д. При установленном ограничении на скачивание по IP-адресу пользователи могут получать сообщение, что идет скачивание файлов или получать сообщение о превышении лимита скачиваний, если один из пользователей уже превысит этот лимит.

На серый IP-адрес могут быть ограничения в скачивании файлов из сети

Еще одна проблема серого IP – невозможность прямого подключения к серверу в Интернете, т.к. клиент с серым IP не может предоставить внешнего соединения. Это касается программ, где сервер устанавливает синхронное соединение, идентифицируя клиента по IP и запрашивая открытие портов – онлайн-игр, программ Remote Administrator, Emule, активной передачи файлов по ICQ, передачи видео с IP-видеокамер и т.д.

Взаимодействие клиентов и серверов

Существуют способы обхода этой ситуации, в частности, с помощью VPN-сервисов Интернет, настроив PPTP или L2TP-соединение, но это может работать не всегда и требует от пользователя определенных знаний.

Третья проблема – возможное снижение скорости соединения с Интернетом при большом количестве пользователей, выходящих через один IP-адрес.

Единственным плюсом подключения серого IP можно считать его более высокую безопасность, т.к. к такому пользователю сложно подключиться извне, при этом порты его персонального компьютера закрыты.

Защита сервера

Я буду настраивать , и по вот этому очень хорошему гайду. (еще раз, моя цель не скопипастить все что я нашел, а собрать все в одно место, чтобы не забыть) Я делаю все для Ubuntu Server, но в том гайде есть для CentOS и Red Hat.

Во-первых сделаем еще одного пользователя помимо root (1), зададим ему пароль (2) и разрешим использовать root привелегии через sudo (3):

SSH

Настраивайте по инструкции в статье упомянутой выше. Там мне совсем нечего добавить, кроме подроностей о public и private ключах:

• генерирует 2 ключа открытый (тот что имеет .) и приватный который (не имеет такого расширения)

• Открытый ключ отправляется на сервер в файл в папке в домашней директории пользователя ()

  Для этого можно исапользовать команду:

Закрытый ключ используется для аутентификации, скопируйте его куда-нибудь чтобы не потерять
Использовать ключ для входа можно командой:

Важно отключить аутентификацию по паролю иначе мы все это делали зря

Firewall

Используя проброс портов мы разрешаем доступ к нашему серверу лишь посредством подключений к определенным портам, но DMZ зона допускает почти все типы запросов. Используя DMZ зону нам строит поднять FireWall на сервере, который как раз и ограничит количество портов которые могут принимать внешние запросы.

Разрешим использование SSH (1) и порта 5000 (2) в ufw (Firewall), и запустим Firewall (3):

Подняв FireWall важно не забыть разрешить доступ к порту SSH (22) и порту Flask (5000) (ну или другого ПО, которое мы собираемся использовать). Я забыл и долго не понимал, почему мой сервер не отвечает

На сайте хорошо разобраны команды для управления Firewall-ом.

Fail2ban

Fail2ban ограничивает количество попыток подключения, это сильно усложнит подбор аутентификационных данных SSH.

Для начала установим его (1) и запустим (2, 3):

Теперь можем настроить его, используя эти конфигурационные файлы: и . Во втором находятся ограничения на количество подключений за определенный промежуток времени и время бана.

Что делать дальше с полученным IP адресом?

Полученный IP адрес не поможет определить абсолютно точный почтовый адрес отправителя, но укажет регион расположения сервера, организацию, на которую проводилась регистрация, и данные о провайдере.

Для определения местонахождения можно воспользоваться несколькими сервисами. Например, через этот: «Определить месторасположение». По умолчанию он определяет ваше местонахождение.

Данные о местонахождении выводятся в виде интерактивной карты с краткой сопроводительной информацией о стране, городе, организации и провайдере интересующего нас IP.

Таким образом выясняется, что «электронный перевод» мне «пытаются» сделать из Швеции, тогда как покупки в Амазоне я делаю исключительно через Великобританию. Такое, конечно, бывает: офисы международных компаний могут находиться в разных странах. Но может и насторожить. Особенно, если точно известно, где находятся представительства фирм, от лица которых вы получаете рассылки. Аналогичную проверку можно провести и при получении странных писем через контакты на сайтах знакомств: пишут якобы из США или Италии, а IP- адрес определяется в Ереване или ближайшем Подмосковье.

Аналогичным образом работает и сервис по определению местонахождения по IP адресу под названием Информация об IP адресе или домене.

Для получения сведений нужно ввести цифровое значение IP и нажать на кнопку «Проверить»:

В итоговой выдаче можно увидеть не только регион расположения провайдера и его название, но и контактные данные. При желании можно подать жалобу на спам-рассылку по указанному телефону или почтовому адресу:

Как узнать какой у меня IP — белый или серый?!

На сегодняшний день для домашних и частных сетей выделены и зарезервированы несколько диапазонов серых IP адресов:

10.0.0.0/8 (то есть с 10.0.0.0 по 10.255.255.255) — используется на предприятиях и крупных компаниях 172.16.0.0/12 (c 172.16.0.0. по 172.31.255.255) — так же используются в производственных и корпоративных сферах) 192.168.0.0/16 (с 192.168.0.0. по 192.168.255.255) — домашние и малые корпоративные сети. Таким образом примелькавшиеся уже АйПи 192.168.0.1 и 192.168.1.1 являются серыми.

Все остальные используются под нужды Интернета. Если Ваш IP не попадает ни в один из этих диапазонов, то это уже белый адрес.

Кстати, сейчас имеет место быть проблема нехватки белых адресов, так как число сетевых устройство давно превысило количество доступных IP. Именно поэтому сейчас провайдеры либо переходят на новую, шестую версию протокола, либо используют специальные шлюзы. Такое сейчас активно практикуется в Ростелекоме и у 3G/4G операторов типа Мегафон, МТС или Билайн, например. Абоненту выдаётся адрес из серого диапазона, например, 10.64.64.68, а в глобальную паутину он выходит через специальный сервер, имеющий внешний Айпи. Вот яркий пример:

Хорошо это для клиента или плохо?

Сложный вопрос. Плюсы использования такого решения в для провайдера в банальной экономии. Для абонента — плюс только с точки зрения безопасности. В остальном сплошной минус: нет возможности подключится к ПК из вне, нельзя открыть порт, возможны проблемы со скоростью, не работает активный режим в программах для файлообмена. И это только самое основное.

Как сделать или получить белый IP у провайдера?!

Единственный вариант, который работает на 100% — это купить адрес у оператора связи. На сегодняшний день такая услуга не очень дорого стоит и если оно Вам нужно, то сильной дыры в бюджете не сделает. Так купить выделенный статический белый IP у Мегафон, Билайн или Ростелеком стоит около 100-150 рублей в месяц. Все остальные способы ни к каким положительным результатам не приведут — это всё сказки. Ещё одно заблуждение, которое присутствует у многих пользователей — это то, что надо настроить белый Айпи после того, как купил его у оператора связи. Это действительно надо делать только в том случае, если внешний адрес у Вас прописывается статически. В большинстве же случаев используется протокол PPPoE или L2TP, где IP присваивается биллингом автоматически и никаких особых настроек делать не надо!

Как сделать бесплатный статический IP-адрес

Многие современные семьи имеют дома один или несколько компьютеров, ноутбуки. Чаще всего эти устройства объединены в общую локальную сеть, что позволяет иметь доступ ко всем файлам, которые хранятся в разных устройствах. Однако это возможно лишь в том случае, если каждый компьютер имеет статический IP-адрес. Если же адрес компьютера с каждым включением изменяется, о доступе к устройствам по локальной сети не может быть и речи. Потому у пользователей возникает естественный вопрос: как сделать IP-адрес статическим? Мы расскажем об особенностях этого процесса, но сразу предупреждаем: придется немного потрудиться.

Как скрыть IP адрес компьютера

Скрыть свой реальный IP адрес в интернете можно несколькими способами:

1. С  помощью VPN.
2. Через TOR Browser.
3. Использовать Proxy сервер.

Услуги по компьютерной помощи — оставьте заявку в группе VK

Скрываем IP с помощью VPN

VPN Virtual Private Network – Виртуальная Частная Сеть, которая создаёт канал между вами и провайдером VPN. Все программы на компьютере думают, что они подключены напрямую к серверу вашего провайдера VPN, а не вашего реального провайдера Internet.

Принцип работы VPN соединения

Чтобы задействовать VPN и скрыть свой реальный IP адрес, я использую расширение в Google Chrome — ZenMate.

1. В хроме кликаем в правом верхнем углу браузера — три точки.
2. Раскрываем — Дополнительные инструменты.
3. Открываем — Расширения.

Открываем расширения в Google Chrome

1. В левом верхнем углу браузера хром кликаем по трем полоскам.
2. Открываем — Интернет магазин Chrome.

Открываем Интернет магазин ChromeУстанавливаем расширение ZenMate для VPN в Google Chrome

После установки расширения, в правом верхнем углу открываем расширение, выбираем доступную страну и жмем на щит.

Запуск VPN соединения через ZenMate

Для проверки работы VPN можете проверить изменился ли ваш IP адрес — 2ip.ru

Если IP изменился на другую страну, значит VPN работает.

Скрываем IP через TOR браузер

Браузер TOR гарантирует анонимность подменяя IP адреса. Соединение осуществляется случайным образом через несколько слоев компьютеров TOR. При каждом новом подключении трафик идет другим путями. Главный недостаток TOR — медленная скорость соединения с сервером.

Принцип работы сети TOR

Все что нужно это скачать и запустить браузер — TOR

После запуска TOR можно убедиться, что IP адрес изменен на другой — 2ip.ru

В браузере TOR IP адрес сменился на IP Германии

Скрываем IP с помощью Proxy

Прокси-сервер принимает запрос от вашего компьютера, и перенаправляет дальше, заменив ваш IP-адрес на свой. Сайт к которому вы обратились, обрабатывает запрос и отправляет ответ по адресу прокси сервера. Прокси уже перенаправляет его к вам.

Принцип работы прокси-сервера

Прокси бывают нескольких видов и делятся по анонимности на:

• прозрачные – при этом передают ваш реальный IP;
• анонимные – скрывают ваш IP адрес, но при этом сообщают, что используется прокси;
• элитные – самые лучшие прокси, так как являются самыми анонимными.

Основные виды прокси по типу подключения:

• HTTP, HTTPS прокси – бывают прозрачные, анонимные и элитные. Нужно правильно выбирать вид прокси, чтобы быть анонимными.
• Socks прокси относятся к элитным, так как сам технология не подразумевает передачу настоящего IP адреса пользователя.

Список прокси серверов берем здесь — Hidemy.name

Список прокси серверов на hidemy.name

Нужно идти сверху вниз по списку и вписывать в настройки прокси IP и порт из proxy листа, пока не найдете рабочий proxy сервер. Для примера из списка у меня заработал proxy из страны France, где IP адрес 51.178.220.22 и порт 80.

Покажу как настроить прокси на примере браузера Google Chrome.

Открываем настройки прокси сервера в хроме, как показано на рисунке ниже:

1. Нажимаем три точки в правом верхнем углу.
2. Открываем настройки.
3. В поле поиска пишем — прокси.
4. Нажимаем — Открыть настройки прокси-сервера для компьютера.

Настройки прокси-сервера в гугл хром

• Во вкладке Подключения нажимаем — Настройка сети.
• Ставим галочку — Использовать прокси-сервер.
• В поле Адрес и Порт вписываем из списка proxy на — hidemy.name

Вписываем IP адрес и порт прокси сервера в Windows 7

В Windows 10 откроется окно, где принцип тот же, нужно ввести IP адрес и порт из proxy листа.

Настройка прокси сервера в Windows 10

После включения и настройки прокси сервера проверяем IP адрес на — 2ip.ru. Если IP изменился с местоположением, то значит прокси-сервер работает.

Смена ip адреса с помощью прокси сервера

Если интернет не работает, то вписываем другой IP адрес и порт из proxy списка и ищем рабочий.

Source NAT

Основное назначение Source NAT MikroTik – изменение IP-адреса и/или порта источника и выполнение обратной функции для ответа.

Самое распространенное применение – это выход множества ПК в интернет через один белый IP-адрес.

Стандартные действия для цепочки src-nat:

• src-nat – преобразование адреса и/или порта отправителя;
• masquerad – преобразование адреса отправителя на адрес исходящего интерфейса и порта на случайный порт.

Настройка MikroTik NAT для доступа в интернет

Настройка NAT для статического WAN

Если мы получаем статический IP от провайдера, то рекомендуем для настройки NAT на MikroTik использовать правило src-nat. Это позволит устройствам из LAN выходить в глобальную сеть интернет. Откроем:

IP=>Firewall=>NAT=> “+”.

• Chain: srcnat – указываем цепочку;
• Out. Interface – задаем исходящий WAN-интерфейс.

Откроем вкладку “Action”:

• Action: src-nat;
• To Addresses – Внешний IP WAN интерфейса.

Настройка NAT для динамического WAN

Если мы получаем динамический IP от провайдера, то необходимо использовать правило Masquerade.

Masquerade – это частный случай src-nat для ситуаций, когда внешний IP-адрес может динамически изменяться.

Тогда настройка NAT на MikroTik будет выглядеть следующим образом:

Использование masquerade вместо src-nat может вызвать проблемы:

• С телефонией;
• Большая нагрузка ЦП, если создано много PPPoE соединений.
• Проблемы с установкой соединения при 2 и более WAN-каналов.

Если у вас несколько внешних интерфейсов, то рекомендуется добавлять условие, выделяя трафик по адресу источника:

Где Src. Address – локальная подсеть.

NAT loopback (Hairpin NAT)

Настройка Hairpin NAT MikroTik предназначена, чтобы организовать доступ из LAN к ресурсу в LAN по внешнему IP-адресу WAN. Чтобы подробно описать данную настройку и разобраться в проблеме, рассмотрим пример:

Если хост локальной сети (Ws01) обращается к серверу, находящемуся в этой же сети по внешнему IP, то сервер, получив запрос, зная, что данное устройство находится в одной LAN с IP 192.168.12.10 отвечает ему напрямую. Хост не принимает данный ответ, так как не обращался к серверу по айпи 192.168.12.100.

Правило Hairpin NAT MikroTik для статического WAN

Чтобы избежать проблему, описанную выше, выполним настройку hairpin NAT на MikroTik. При получение статического айпи от поставщика интернет-услуг, советуем использовать правило Src-nat:

Для значений Src. Address и Dst. Address указываем локальную подсеть.

Далее открыв вкладку “Action”:

• Действие: src-nat;
• To Addresses – указываем свой WAN-IP

NAT Loopback при динамическом WAN

При получении динамического IP-адреса от провайдера, для правила NAT loopback нужно использовать masquerade:

• Выбираем цепочку srcnat;
• Для значений Src. Address и Dst. Address указываем локальную подсеть;
• Out. Interface – назначаем bridge;

Затем откроем пункт меню “Action”:

Назначим действие(Action) – маскарад.

Поставим созданное правило вторым:

Покажем пример такого правила:

На этом настройка Hairpin NAT на MikroTik выполнена. Теперь мы сможем обращаться к внутренним ресурсам сети по внешнему IP.