Jump to content
Калькуляторы

Доступ пользователей за NATом к самим себе

Коллеги, возникает проблемы с тем что пользователи с внутренними ип адресами не могут попасть на свои же устройства по внешнему адресу и приходиться все эти софты прописать один для внутреннего пользования другие для просмотра с других сетей(интернет) . Можно ли это как-то пофиксить ?

 

Схема сети :

 

Внешний ип (NAT) Проброс порта ( NAT)

----------------> Mikrotik ---------------------- > Mikrotik -----> Юзер

 

Router OS 6.27

Share this post


Link to post
Share on other sites

Можно.

- Включить UPnP IGD

- Выдать белые адреса

- Пересадить на IPv6

- Предложить заюзать всякие тунельно-впнные сервисы

 

Везде свои плюсы и минусы.

Share this post


Link to post
Share on other sites

Можно.

- Включить UPnP IGD

- Выдать белые адреса

- Пересадить на IPv6

- Предложить заюзать всякие тунельно-впнные сервисы

 

Везде свои плюсы и минусы.

 

не нашёл как igd включить на mt

Share this post


Link to post
Share on other sites

Есть оно там, на 750 модели я его включал. МТиковцы его могли просто UPnP обозвать, у них же "мозгов вагон".

Share this post


Link to post
Share on other sites

Есть оно там, на 750 модели я его включал. МТиковцы его могли просто UPnP обозвать, у них же "мозгов вагон".

 

Оки , просто ничего что там за 50 активных устройств в одном влане могут быть и надо ли мне это включать на обоих рутерах Upnp?

Share this post


Link to post
Share on other sites

Оно каскадом через два ната не пройдёт, как минимум нужен будет какой то хитрый демон на роутере с натом к которому подключён пользователь, чтобы он ретранслировал проброс порта.

Проброс мультикаста от внешнего роутера на пользователей - не поможет: внешний роутер может и будет порты открывать, но внутренние своим натом отфильтруют.

Share this post


Link to post
Share on other sites

в линусах можно похимичить с dnat и snat, тогда запросы из локалки занятятся обратно от внутреннего ip роутера, но гемор с настройкой и отладкой гарантирован, особенно при наличии cstate.

Share this post


Link to post
Share on other sites

в линусах можно похимичить с dnat и snat, тогда запросы из локалки занятятся обратно от внутреннего ip роутера, но гемор с настройкой и отладкой гарантирован, особенно при наличии cstate.

 

подскажите как , мт тот же линукс

Share this post


Link to post
Share on other sites

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

1:1 mapping

If you want to link Public IP subnet 11.11.11.0/24 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 \

action=netmap to-addresses=2.2.2.0/24

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24 \

action=netmap to-addresses=11.11.11.0/24

Same can be written using different address notation, that still have to match with the described network

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0-11.11.11.255 \

action=netmap to-addresses=2.2.2.0-2.2.2.255

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0-2.2.2.255 \

action=netmap to-addresses=11.11.11.0-11.11.11.255

Share this post


Link to post
Share on other sites

http://wiki.mikrotik...IP/Firewall/NAT

1:1 mapping

If you want to link Public IP subnet 11.11.11.0/24 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 \

action=netmap to-addresses=2.2.2.0/24

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24 \

action=netmap to-addresses=11.11.11.0/24

Same can be written using different address notation, that still have to match with the described network

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0-11.11.11.255 \

action=netmap to-addresses=2.2.2.0-2.2.2.255

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0-2.2.2.255 \

action=netmap to-addresses=11.11.11.0-11.11.11.255

Оки , но я статические ипы экономлю(их мало у меня очень) и делают простой глобалный порт форвардинг , разве этот netmap на даст экслюзивный доступ на ип тому абоненте?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this