Excelente material! Ya he tenido que usar este tipo de NAT para resolver problemas de redireccionamiento con una PBX Yeastar y ahora su explicación me lo deja mas claro. Gracias y saludos desde Argentina
Hola soy programador y esto es justo lo que necesito para poder dar acceso desde fuera de mi red a los clientes que usan mi página web, gracias por tal aporte. Agradezco muchísimo su aporte. Saludos desde RD
Estimado Wilmer: De corazón te agradezco este video. Está muy bien explicado y yo ya tenía tiempo sufriendo con este tema. De hecho es como la veinteava vez que veo tu video pero no terminaba de entender qué estaba haciendo mal. Hay dos puntos que no mencionas en el video y que creo que son importantes. Por lo menos a mi me hicieron toda la diferencia: 1.- Cada regla de DST-NAT requiere su regla "hermana" de Hairpin NAT. 2.- Cada regla de Hairpin NAT debe ir inmediatamente después de su correspondiente regla de DST-NAT. En mi caso tengo abiertos como 8 puertos a diferentes servidores y yo estaba poniendo una sola regla de Hairpin NAT hasta adelante de los masquerade de los enlaces de internet. Ahora que volví a ver tu video se me prendió el foco y lo hice así como te menciono y funcionó de maravilla. De verdad muchas gracias. P.D.: ¿Tienes algún video de políticas de routing? Quiero poner mis dos enlaces en ECMP y forzar a que cierto tráfico vaya de ida y vuelta por un enlace y el resto por el otro, sin perder la funcionalidad del failover.
Wilmer buenas, muy buen video. Tendrias que hacer un tutorial utilizando Nginx Proxy Manager u otro parecido, para poder tener varios subdominios apuntados a la misma ip publica, pero que permita acceder a diferentes servicios o IPs en nuestra red privada.
Hola Martin, eso puede hacerse simplemente con Virtual Hosts. Hare una series de videos orientados a servidores proximamente, a nivel de networking en el router no hay nada diferente que hacer.
Excelente, la explicación mejor precisada sobre el tema que he tenido...tengo una duda, si quisiera este mismo escenario pero solo a nivel LAN, que el server multimedia solo fuera accesible localmente desde cualquiera de los host de la LAN, teniendo en cuenta que no tenemos un bridge si no el server en una interfaz ether y los otros host en una interfaz Vlan cargada sobre otro puerto ether de la misma RB. Gracias por sus aportes.
buenas muy buena explicacion, aunque ya tengo todo eso configurado se me presenta un inconvenente al momento de adquirir otro servicio de ISP, este nuevo servicio lo configuro en el IP/Routes para que sea el principal, y aqui es donde me viene el dolor de cabeza no logro hacer que mis servicios de WEBSERVER y SQL salgan por el isp que ya poseo, cabe destacar que uso el servicio de no-ip el cual si esta configurado a la salida del ISP por el cual debo salir
Buenas tardes, no me ha funcionado porque desde las redes internas que consultan el servidor, se encuentran en difernetes VLANs, supongo que este video aplica solo si el cliente de la red interna y el servidor se encuentran en la misma red😢
Saludos excelente video, Una ves teniendo esta configuración puedo hacer un DNS estático para ponerle nombre a mi domino y funcionara para web? o que opción tengo solo para ponerle el nombre a mi dominio por web aunque no tenga el hairpin nat?
Buenísimo como siempre Wilmer. Pero tengo una consulta si por corte en el servicio de internet por problemas de mi ISP. Seguirá haciendo el Hairpin NAT por más que esa IP Pública no esté disponible?
Buen día tengo una regla de Drop ips suspendidas y mis clientes por address list, queueTree, si desactivo esa regla en firewall puede acceder desde afuera si la activo no me permite, como puedo solucionar eso
Cordial saludo. En mi red no tengo un servidor, tengo un PC normal con Win 11, y me gustaría acceder a una Carpeta compartida que está en ese PC. Cómo podría hacerlo? ...muchas gracias.
Hola como estas?. desde ya gracias por tus consejos y clases ya que me han sido de mucha ayuda..... UNA PREGUNTA... en este caso, si dentro de mi red con este mismo esquema que planteas, tengo un acceso directo a RDP mismo puerto pero a otra IP remota, esto no funciona, a menos que en la regla de nat hacia mi red este especificada la interfaz de origen... y cuando hago esto ya el Hairpin deja de funcionar... me podras ayudar?. Un abrazo.
ok le detallo tengo un anillo de red donde estan conectados 6 locales dentro de un enlace digitel tengo acceso a cada equipo pero ahora tengo un servidor el cual maneja un ejecutable de inventario el cual esta remoto pero dentro del anillo digitel por medio de enrutamiento de puertos tengo acceso al servidor por wed pero necesito tener acceso directo a una carpeta especifica compartida denro del servidor por donde puedo hacer esa configuracion en el mikrotik
Hola Disyel, tengo varios videos mostrando buenas practicas de seguridad que le ayudaran a mitigar ese problema. Hare uno hablando directamente de ese tema, gracias por la sugerencia.
Cómo se haría para que el uso de ancho de banda hacia dicho servidor no sea limitado por un queue? Ejemplo: Queue 10/10 hacia internet, pero el consumo hacia nuestra plataforma Emby no tenga límite.
Hola Alexander, Puede crear una cola simple limitando el trafico hacia la Ip del servidor + una regla de FasTtrack al trafico yendo de su red interna al servidor (en Ip/Firewall/Filter)
Buenas lo que estaria pasando aqui es que con el masquerade que aplicas obligas a pasar la comunicacion por el router? y otra pregunta cuando se enmascara, con cual direccion ip se esta enmascarando?. Estaría bien una buena explicación de cómo funciona Nat, Srcnar,dstnat , maquerade, como se están traduciendo las direcciones IP en cada tipo de nat . Pq lo hago pero muchas veces no entiendo lo que está pasando.
Hola, La comunicacion siempre pasará por el router. Lo que se esta haciendo es cambiando la IP origen porque la respuesta debe llegar con la IP en el router. En mi curso QoS y Control de Trafico en www.aprenderedes.online esta todo esto a detalle (mas de 80 clases), si por casualidad es suscriptor puede acceder a todo eso y mas de 1000 clases adicionales mas. Exitos.
Hola, si tiene IP mPublica dinamica puede usar IP/Cloud/DDNS. Crea un address-list con ese dominio, y usa ds-address-list en lugar de dst-address. Saludos
Hola, Puede usar una lista de direcciones (/ip firewall address-list) con el DDNS y eso tendra la IP publica dinamica. Ahora, en lugar de dst-address puede usar dst-address-list en la regla de dstnar. Saludos
Tengo un servidor con Plex pero la ves que abrí un Puerto llegaron una gran cantidad de ataques y eso que tengo un buen firewall en el Mikrotik. que podría hacer para evitar eso.
Hola! Todo está completo y funcionando en el vídeo. Si no le funciona, debe haber algo extra en su configuración que está afectando el hairpin Nat. Saludos.
Saludos a todos. Tienen un servidor multimedia en tu red? Que plataforma usas?
Plex
Jellyfin
Emby
EMBY
No tengo peri si quiero tener, claro algo eficiente.
Gracias Wilmer. Tienes la magia de entender cómo funciona la red y explicarlo de manera sencilla y práctica.
Gracias 😃
Perfecto Funcionó llevaba semanas sin lograrlo, y con vos en 20 minutos , mil gracias !!!
Excelente material! Ya he tenido que usar este tipo de NAT para resolver problemas de redireccionamiento con una PBX Yeastar y ahora su explicación me lo deja mas claro. Gracias y saludos desde Argentina
Gracias Pablo, excelente. Saludos hasta Argentina
muy util para los que programamos.... gracias🙂
Hola soy programador y esto es justo lo que necesito para poder dar acceso desde fuera de mi red a los clientes que usan mi página web, gracias por tal aporte.
Agradezco muchísimo su aporte.
Saludos desde RD
Excelente! Saludos
Estimado Wilmer: De corazón te agradezco este video. Está muy bien explicado y yo ya tenía tiempo sufriendo con este tema. De hecho es como la veinteava vez que veo tu video pero no terminaba de entender qué estaba haciendo mal.
Hay dos puntos que no mencionas en el video y que creo que son importantes. Por lo menos a mi me hicieron toda la diferencia:
1.- Cada regla de DST-NAT requiere su regla "hermana" de Hairpin NAT.
2.- Cada regla de Hairpin NAT debe ir inmediatamente después de su correspondiente regla de DST-NAT.
En mi caso tengo abiertos como 8 puertos a diferentes servidores y yo estaba poniendo una sola regla de Hairpin NAT hasta adelante de los masquerade de los enlaces de internet. Ahora que volví a ver tu video se me prendió el foco y lo hice así como te menciono y funcionó de maravilla.
De verdad muchas gracias.
P.D.: ¿Tienes algún video de políticas de routing? Quiero poner mis dos enlaces en ECMP y forzar a que cierto tráfico vaya de ida y vuelta por un enlace y el resto por el otro, sin perder la funcionalidad del failover.
Excelente como todos sus cursos, muy buenos videos.!!!
Gracias Nelson, saludos
Excelente!!! Funciona correctamente. Lo utilice en mi Mkt para el rustdesk.
muchas gracias ing. Esperaba este video
Excelente, un placer
Sos un crack, una regla tan simple me resolvió problemas que hace tiempo no logre solucionar. Gracias por tanto!
Gracias, me alegra que haya sido de utilidad
Muchisimas gracias, hace tiempo uqe venía buscando una solución para este problema...Muy buena la explicación...
Gran solución! y espectacular explicación. muchas gracias
Gracias Pedro, un placer compartir. Saludos.
me ayudó mucho, gracias desde Brasil
Con mucho gusto
Buena información profe. Gracias
A la orden
Muchas gracias por el tutoríal, pude resolver mi problema!
Excelente amigos, gracias por la ayuda, si resolvió el problema que tenía 👍
Excelente, en mi red Plex en el puerto 32400. Esperamos su serie de videos ing. Saludos!!
Gracias Leo, saludos. Pendiente
excelente gracias profe
Gracias, saludos
Muy bueno los tutoriales... Me gustaría que hagas una de las, (VLAN).. desde ya muchas gracias..
Hola saludos. Proximamente se viene el tema de Vlans
Excelente, funciono de inmediato. gracias por la ayuda
Yo uso jellyfin.. Muy interesante el video me aclaro unas interrogates jeje
Excelente, saludos
Aí sabe explicar, parabéns e obrigado!
Wilmer buenas, muy buen video. Tendrias que hacer un tutorial utilizando Nginx Proxy Manager u otro parecido, para poder tener varios subdominios apuntados a la misma ip publica, pero que permita acceder a diferentes servicios o IPs en nuestra red privada.
Hola Martin, eso puede hacerse simplemente con Virtual Hosts. Hare una series de videos orientados a servidores proximamente, a nivel de networking en el router no hay nada diferente que hacer.
@@WilmerAlmazan estaremos esperando los nuevos videos!!!
Excelente, la explicación mejor precisada sobre el tema que he tenido...tengo una duda, si quisiera este mismo escenario pero solo a nivel LAN, que el server multimedia solo fuera accesible localmente desde cualquiera de los host de la LAN, teniendo en cuenta que no tenemos un bridge si no el server en una interfaz ether y los otros host en una interfaz Vlan cargada sobre otro puerto ether de la misma RB. Gracias por sus aportes.
Un cordial saludo tiene el vídeo para configurar un servidor multimedia con mikrotik
buenas muy buena explicacion, aunque ya tengo todo eso configurado se me presenta un inconvenente al momento de adquirir otro servicio de ISP, este nuevo servicio lo configuro en el IP/Routes para que sea el principal, y aqui es donde me viene el dolor de cabeza no logro hacer que mis servicios de WEBSERVER y SQL salgan por el isp que ya poseo, cabe destacar que uso el servicio de no-ip el cual si esta configurado a la salida del ISP por el cual debo salir
Hola!
Para ello necesita PBR, tengo un vídeo sobre eso aquí en el canal.
@@WilmerAlmazan siguiendo tus pasos el hairpin No me funciona que podría ser…?
Buenas tardes, no me ha funcionado porque desde las redes internas que consultan el servidor, se encuentran en difernetes VLANs, supongo que este video aplica solo si el cliente de la red interna y el servidor se encuentran en la misma red😢
Aplica en cualquier caso. Solo genere un lista de las redes y úsela en src-address-list.
Excelente Video, tengo ese problema con DVR ahora podré resolver pero tengo una duda esta recla funciona con ddns ya que tengo ip dinámica
Hola Jorge, si funciona con DDNS, solo use dst-address-list en lugar de dst-addresss. Y ponga el dominio en esa lista. Exitos.
Excelente solución! una pregunta ¿que pasa si tengo mas de un servidor corriendo, es decir tengo varios puerto ejemplo 3306, 7655, 5000. 9079 y 9080?
Hola Hector,
Simplemente genera varias reglas haciendo el mapeo de un puerto externo al puerto interno. Cada puerto necesita una regla diferente.
Saludos excelente video,
Una ves teniendo esta configuración puedo hacer un DNS estático para ponerle nombre a mi domino y funcionara para web?
o que opción tengo solo para ponerle el nombre a mi dominio por web aunque no tenga el hairpin nat?
Mui Bueno , Gracias
trato de hacerlo por la configuracion SMD pero no he podido crear la ruta exacta no estoy seguro que se pueda hacer x alli
saludos desde venezuela la conexion mediante puertos nat la hice bien pero necesito tener acceso a una carpeta compartida en el servidor
Muchisimas Gracias! Más claro ni el agua, ni te agradezco mucho!
Buenísimo como siempre Wilmer. Pero tengo una consulta si por corte en el servicio de internet por problemas de mi ISP. Seguirá haciendo el Hairpin NAT por más que esa IP Pública no esté disponible?
Hola Pedro, un placer.
Si la interface esta activa (aunque el Internet esta caido), si seguirá disponible desde dentro de la red.
Buen día tengo una regla de Drop ips suspendidas y mis clientes por address list, queueTree, si desactivo esa regla en firewall puede acceder desde afuera si la activo no me permite, como puedo solucionar eso
Cordial saludo. En mi red no tengo un servidor, tengo un PC normal con Win 11, y me gustaría acceder a una Carpeta compartida que está en ese PC. Cómo podría hacerlo? ...muchas gracias.
Hola como estas?. desde ya gracias por tus consejos y clases ya que me han sido de mucha ayuda..... UNA PREGUNTA... en este caso, si dentro de mi red con este mismo esquema que planteas, tengo un acceso directo a RDP mismo puerto pero a otra IP remota, esto no funciona, a menos que en la regla de nat hacia mi red este especificada la interfaz de origen... y cuando hago esto ya el Hairpin deja de funcionar... me podras ayudar?. Un abrazo.
Aplique está configuración y funcionó pero he notado que el servico ahora va más lento dentro de mi red que podrá ser, como puedo solucionar eso?
ok le detallo tengo un anillo de red donde estan conectados 6 locales dentro de un enlace digitel tengo acceso a cada equipo pero ahora tengo un servidor el cual maneja un ejecutable de inventario el cual esta remoto pero dentro del anillo digitel por medio de enrutamiento de puertos tengo acceso al servidor por wed pero necesito tener acceso directo a una carpeta especifica compartida denro del servidor por donde puedo hacer esa configuracion en el mikrotik
¿De casualidad tendrás algunas reglas de firewall para evitar que la IP publica caiga en lista negra?
Hola Disyel, tengo varios videos mostrando buenas practicas de seguridad que le ayudaran a mitigar ese problema.
Hare uno hablando directamente de ese tema, gracias por la sugerencia.
@@WilmerAlmazan Gracias por el aporte, esperare para ver el video sobre ese tema. ¡saludos!
Cómo se haría para que el uso de ancho de banda hacia dicho servidor no sea limitado por un queue? Ejemplo: Queue 10/10 hacia internet, pero el consumo hacia nuestra plataforma Emby no tenga límite.
Hola Alexander,
Puede crear una cola simple limitando el trafico hacia la Ip del servidor + una regla de FasTtrack al trafico yendo de su red interna al servidor (en Ip/Firewall/Filter)
Buenas lo que estaria pasando aqui es que con el masquerade que aplicas obligas a pasar la comunicacion por el router? y otra pregunta cuando se enmascara, con cual direccion ip se esta enmascarando?. Estaría bien una buena explicación de cómo funciona Nat, Srcnar,dstnat , maquerade, como se están traduciendo las direcciones IP en cada tipo de nat . Pq lo hago pero muchas veces no entiendo lo que está pasando.
Hola,
La comunicacion siempre pasará por el router. Lo que se esta haciendo es cambiando la IP origen porque la respuesta debe llegar con la IP en el router.
En mi curso QoS y Control de Trafico en www.aprenderedes.online esta todo esto a detalle (mas de 80 clases), si por casualidad es suscriptor puede acceder a todo eso y mas de 1000 clases adicionales mas. Exitos.
Y si tengo ip publica dinamica?
Hola, si tiene IP mPublica dinamica puede usar IP/Cloud/DDNS. Crea un address-list con ese dominio, y usa ds-address-list en lugar de dst-address. Saludos
A mi no me funciona
Y si la IP wan es dinámica, con un ddns.
Hola,
Puede usar una lista de direcciones (/ip firewall address-list) con el DDNS y eso tendra la IP publica dinamica. Ahora, en lugar de dst-address puede usar dst-address-list en la regla de dstnar.
Saludos
Tengo un servidor con Plex pero la ves que abrí un Puerto llegaron una gran cantidad de ataques y eso que tengo un buen firewall en el Mikrotik. que podría hacer para evitar eso.
Hola, puede agregar geo-blocking a su configuracion th-cam.com/video/0-wz6_il7yM/w-d-xo.html
Como sería si en el mismo rb tengo otras subredes y quiero compartir el servidor multimedia a todas las subredes sin tener que usar la ip publica
Hola Leo,
Si va a usar la IP privada, no necesita hacer nada. La comunicacion entre redes es permitida por defecto.
@@WilmerAlmazan Gracias!!! Ing
Lo probe y no funciona, algo faltara?
Hola!
Todo está completo y funcionando en el vídeo. Si no le funciona, debe haber algo extra en su configuración que está afectando el hairpin Nat. Saludos.
podrias apoyarme en la resolucion de mi problema?