Jump to content
Калькуляторы

Микротик маршрутизация и пробросы Не хватает теоретической части

Доброго дня. Есть 2 микрота, на обоих белая статика, оба на одном провайдере. В хвосте от провайдера вместе с инетом прилетает влан_1 для связи офисов.

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24, скорость инета 100мб/с, на влане скорость не режется

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24, скорость инета 5мб/с, на влане скорость не режется

На микроте_1 C_ВНЕШКИ (т.е. из интернета) делаю dst-nat в локалку микрота_2 (несколько портов, для просмотра ip-камеры). Не работает.

В какую сторону рыть или что почитать?

До этого подобные задачки решались l2tp-туннелем, пробросы работали.

Edited by sizerus

Share this post


Link to post
Share on other sites

А зачем вы делаете

На микроте_1 делаю dst-nat в локалку микрота_2 (несколько портов, для просмотра ip-камеры). Не работает.

 

на втором тике добавляйте правила dst-nat в локалку , унтерфейс укажите тот по которому хотите шоб прошел трафик,думаю это влан1.

Share this post


Link to post
Share on other sites

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24, скорость инета 100мб/с, на влане скорость не режется

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24, скорость инета 5мб/с, на влане скорость не режется

 

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними? Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

 

или я неправильно понимаю суть задачи.

Share this post


Link to post
Share on other sites

/ip firewall nat print в студию

 

UPD

Тебе надо SRC еще перебивать при пробросе на МТ_1, т.к. иначе МТ_2 отвечает через свой дефолт.

Edited by SOs

Share this post


Link to post
Share on other sites

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними?

Маршрутизация между сетями настроена, и там и там есть серверы/пользователи/камеры. Все всё видят.

 

Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

или я неправильно понимаю суть задачи.

Нужен внешний доступ к камере. В одном офисе инет просто медленный, а поток у камеры жирный.

 

/ip firewall nat print в студию

 

0 ;;; default configuration

chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

16 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16001 protocol=tcp in-interface=ether1-gateway dst-port=16001 log=no log-prefix=""

 

17 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16002 protocol=tcp in-interface=ether1-gateway dst-port=16002 log=no log-prefix=""

 

18 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16003 protocol=tcp in-interface=ether1-gateway dst-port=16003 log=no log-prefix=""

 

Тебе надо SRC еще перебивать при пробросе на МТ_1, т.к. иначе МТ_2 отвечает через свой дефолт.

Не совсем понял что на что менять. При аналогичной ситуации на L2tp-туннеле - ничего не менял, так воркало.

Edited by sizerus

Share this post


Link to post
Share on other sites

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24

На микроте_1 делаю dst-nat в локалку микрота_2

 

Что за адрес 192.168.7.101?

 

 

Не совсем понял что на что менять.

 

У тебя при пробросе перебивается DST и пакет летит на МТ_2, а ответ МТ_2 отправляет на свой дефолт, т.к. SRC оригинальные. Тебе надо, чтобы SRC менялся при трансляции на адрес МТ_1. МТ-2 будет ему обратно отвечать и дальше МТ_1 будет обратно транслировать.

Edited by SOs

Share this post


Link to post
Share on other sites

Что за адрес 192.168.7.101?

Мильпардон, читать как 192.168.210.101

У тебя при пробросе перебивается DST и пакет летит на МТ_2, а ответ МТ_2 отправляет на свой дефолт, т.к. SRC оригинальные. Тебе надо, чтобы SRC менялся при трансляции на адрес МТ_1. МТ-2 будет ему обратно отвечать и дальше МТ_1 будет обратно транслировать.

На МТ_2(192.168.210.1) прилетает пакет от МТ_1 (192.168.200.1), разве МТ_2 вернёт не туда же его?

Share this post


Link to post
Share on other sites

На МТ_2(192.168.210.1) прилетает пакет от МТ_1 (192.168.200.1), разве МТ_2 вернёт не туда же его?

 

Если у него (МТ_2) есть дефолт в инет, куда он отправит пакет с DST скажем 1.1.1.1?

Возьми снифер, да послушай.

Share this post


Link to post
Share on other sites

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Share this post


Link to post
Share on other sites

Sizerus, доброго времени суток.

 

Насколько понял схему, Ваша «IP камера» находится в подсети маршрутизатора,

с «малой скоростью» доступа в Интернет. Вы хотите прогнать трафик «IP камеры»

через VLAN провайдера, до маршрутизатора с «широким» каналом доступа в Интернет,

используя NAT на этом маршрутизаторе, хотите пробросить порт «IP камеры» в «Мир»?

 

При статической маршрутизации Ваших подсетей, трафик «IP камеры» уходит дефолтным

(0.0.0.0/0) маршрутом через маршрутизатор с «малой скоростью» доступа в Интернет.

Проще говоря, пытается убежать в «Мир», не зная, что где-то для него существует шлюз

с NAT и переброской портов через него.

 

В данной схеме, можно попробовать:

 

Между «IP камерой» и её маршрутизатором назначить отдельную подсеть.

 

«IP камера» должна ссылаться шлюзом по умолчанию на этот маршрутизатор.

 

На маршрутизаторе «IP камеры», используя технологию «Policy Based Routing» (терминология Cisco),

завернуть весь трафик этой сети на маршрутизатор с «широким» каналом, через VLAN провайдера.

 

Избегая тем самым «ухода» IP пакетов на дефолтный шлюз.

 

Со стороны маршрутизатора с «широким» доступом, настроить статический маршрут до выделенной сети

«IP камеры», разрешив NAT с переброской необходимого порта.

Share this post


Link to post
Share on other sites

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Saab95, доброго времени суток.

 

Подскажите, какой смысл, включать протокол динамической маршрутизации (OSPF)

на единственном канале связи (VLAN провайдера)?

 

Если у человечка и так прекрасно работает статическая маршрутизация!

 

В задаче стоит проблема перенаправления портов, а не анонса сетей.

 

Правда думаете, что включение OSPF поможет разрешить любые проблемы,

связанные с топологией сети? Боюсь, только горюшко принесёт!

 

Слово, какое красивое - «динамический протокол, обнаружения сети – OSPF».

Работает по алгоритмам «Дейкстры»! Само всё может, само всё знает.

 

Только правила для него пишут километрами, кому оно нужно.

 

Одноранговые сети Saab, так не строят, если нет резервирования!

 

На танке не ездят на дачу за 200 километров, у него траки сломаются,

их подвозят на поездах когда это нужно.

Share this post


Link to post
Share on other sites

Serejka (Вчера, 11:36) писал:

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними?

 

Маршрутизация между сетями настроена, и там и там есть серверы/пользователи/камеры. Все всё видят.

 

Serejka (Вчера, 11:36) писал:

Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

или я неправильно понимаю суть задачи.

 

Нужен внешний доступ к камере. В одном офисе инет просто медленный, а поток у камеры жирный.

 

 

Тогда на том, где широкий канал

 

 

/ip firewall filter

add chain=input comment="PORT FORWARDING " dst-address=xxx.xxx.xxx.xxx dst-port=19909 protocol=tcp

add chain=forward protocol=tcp src-address=172.28.178.20 src-port=37777

add chain=forward dst-address=172.28.178.20 dst-port=37777 protocol=tcp

 

 

 

/ip firewall nat

add action=netmap chain=dstnat comment="xxx" dst-address=xxx.xxx.xxx.xxx dst-port=19909 protocol=tcp to-addresses=172.28.178.20 to-ports=37777

 

 

Вместо xxx.xxx.xxx.xxx - белый адрес на широком канале. Дальше для лёгкости понимания не комментил. Суть в пробросе с порта 19909 белого айпишника, на фейковый адрес 172.28.178.20 на порт 37777

Share this post


Link to post
Share on other sites

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Выделил в начале топика что хочу получить. Оспф умею немного, под условия задачи он не подходит (статические маршруты уже прибиты гвоздём со шляпкой).

 

Sizerus, доброго времени суток...

Наверное неправильно объяснил суть. Есть 2 сетки, между ними влан. На обоих сетках есть маршрут в другую, настроен он на микротах, они же (микроты) являются шлюзами в своих сетках.

Т.е. когда к камере (192.168.210.101) прилетает пакет от мт_1(192.168.200.1) - она ответит на этот пакет "своему" мт_2 (192.168.210.1), а у него есть маршрут на мт_1.

Повторюсь - раньше была эта же схема, только вместо влана от прова был L2tp-туннель. Маршруты те же остались, адресация та же.

 

Суть в пробросе с порта 19909 белого айпишника, на фейковый адрес 172.28.178.20 на порт 37777

Этого вообще не понял, почему не обычный дст-нат?

 

ps Отвечаю не сразу т.к. пока лимит ежедневных сообщений

Share this post


Link to post
Share on other sites

sizerus, дай /ip firewall nat полностью, с маскарадом

Выше приводил, вырезал аналогичные правила для других камер только.

Share this post


Link to post
Share on other sites

0 ;;; default configuration

chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

Сделай такое жа правило, но out-interface укажи внутренний, in-interface - внешний.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.