Доступ пользователей за NATом к самим себе

[shafiev]

Коллеги, возникает проблемы с тем что пользователи с внутренними ип адресами не могут попасть на свои же устройства по внешнему адресу и приходиться все эти софты прописать один для внутреннего пользования другие для просмотра с других сетей(интернет) . Можно ли это как-то пофиксить ?

 

Схема сети :

 

Внешний ип (NAT) Проброс порта ( NAT)

----------------> Mikrotik ---------------------- > Mikrotik -----> Юзер

 

Router OS 6.27

[Ivan_83]

Можно.

- Включить UPnP IGD

- Выдать белые адреса

- Пересадить на IPv6

- Предложить заюзать всякие тунельно-впнные сервисы

 

Везде свои плюсы и минусы.

[shafiev]

Можно.

- Включить UPnP IGD

- Выдать белые адреса

- Пересадить на IPv6

- Предложить заюзать всякие тунельно-впнные сервисы

 

Везде свои плюсы и минусы.

 

не нашёл как igd включить на mt

[Ivan_83]

Есть оно там, на 750 модели я его включал. МТиковцы его могли просто UPnP обозвать, у них же "мозгов вагон".

[shafiev]

Есть оно там, на 750 модели я его включал. МТиковцы его могли просто UPnP обозвать, у них же "мозгов вагон".

 

Оки , просто ничего что там за 50 активных устройств в одном влане могут быть и надо ли мне это включать на обоих рутерах Upnp?

[Ivan_83]

Оно каскадом через два ната не пройдёт, как минимум нужен будет какой то хитрый демон на роутере с натом к которому подключён пользователь, чтобы он ретранслировал проброс порта.

Проброс мультикаста от внешнего роутера на пользователей - не поможет: внешний роутер может и будет порты открывать, но внутренние своим натом отфильтруют.

[MMM]

в линусах можно похимичить с dnat и snat, тогда запросы из локалки занятятся обратно от внутреннего ip роутера, но гемор с настройкой и отладкой гарантирован, особенно при наличии cstate.

[shafiev]

в линусах можно похимичить с dnat и snat, тогда запросы из локалки занятятся обратно от внутреннего ip роутера, но гемор с настройкой и отладкой гарантирован, особенно при наличии cstate.

 

подскажите как , мт тот же линукс

[verhoum]

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

1:1 mapping

If you want to link Public IP subnet 11.11.11.0/24 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 \

action=netmap to-addresses=2.2.2.0/24

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24 \

action=netmap to-addresses=11.11.11.0/24

Same can be written using different address notation, that still have to match with the described network

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0-11.11.11.255 \

action=netmap to-addresses=2.2.2.0-2.2.2.255

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0-2.2.2.255 \

action=netmap to-addresses=11.11.11.0-11.11.11.255

[shafiev]

http://wiki.mikrotik...IP/Firewall/NAT

1:1 mapping

If you want to link Public IP subnet 11.11.11.0/24 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 \

action=netmap to-addresses=2.2.2.0/24

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24 \

action=netmap to-addresses=11.11.11.0/24

Same can be written using different address notation, that still have to match with the described network

 

/ip firewall nat add chain=dstnat dst-address=11.11.11.0-11.11.11.255 \

action=netmap to-addresses=2.2.2.0-2.2.2.255

 

/ip firewall nat add chain=srcnat src-address=2.2.2.0-2.2.2.255 \

action=netmap to-addresses=11.11.11.0-11.11.11.255

Оки , но я статические ипы экономлю(их мало у меня очень) и делают простой глобалный порт форвардинг , разве этот netmap на даст экслюзивный доступ на ип тому абоненте?