05.RouterOS配置动态公网IP的本地网络回流

特别注意!!配置动态源地址伪装时若未限制出接口,则回流已自动生效,无需参考本文设置

本文介绍动态源地址伪装时限制出接口为pppoe-out1的情况下,如何在动态公网IP环境中,为ROS配置域名的本地网络回流。以动态公网IPv6为例,IPv4同理

注:先做好域名的DDNS

  • 在/ipv6/firewall/address-list中添加域名(任意一个能解析到ros的域名均可),以 ros.11111.xyz 为例
  • 添加来自公网(pppoe-out1接口)的端口映射
    :dc00::6666为内网反向代理服务(caddy)的ip,8443为转发的端口
1
/ipv6 firewall nat add action=dst-nat chain=dstnat dst-port=8443 in-interface=pppoe-out1 protocol=tcp to-address=dc00::6666/128 to-ports=8443

  • 添加来自内网(bridge1接口)的端口映射
    :Dst.Address List选择第一步添加的域名,转发端口依然是8443
1
/ipv6 firewall nat add action=dst-nat chain=dstnat dst-address-list=ros.11111.xyz dst-port=8443 in-interface=bridge1 protocol=tcp to-address=dc00::6666/128 to-ports=8443

  • 为来自内网的回流流量添加动态伪装
    :dc00::/64为内网IPv6段
1
/ipv6 firewall nat add action=masquerade chain=srcnat dst-port=8443 out-interface=bridge1 protocol=tcp src-address=dc00::/64

若手机使用hy2回家,在家里WIFI下回家节点不通,参照回流操作即可