Перейти к содержимому
Калькуляторы

Микротик маршрутизация и пробросы Не хватает теоретической части

Доброго дня. Есть 2 микрота, на обоих белая статика, оба на одном провайдере. В хвосте от провайдера вместе с инетом прилетает влан_1 для связи офисов.

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24, скорость инета 100мб/с, на влане скорость не режется

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24, скорость инета 5мб/с, на влане скорость не режется

На микроте_1 C_ВНЕШКИ (т.е. из интернета) делаю dst-nat в локалку микрота_2 (несколько портов, для просмотра ip-камеры). Не работает.

В какую сторону рыть или что почитать?

До этого подобные задачки решались l2tp-туннелем, пробросы работали.

Изменено пользователем sizerus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем вы делаете

На микроте_1 делаю dst-nat в локалку микрота_2 (несколько портов, для просмотра ip-камеры). Не работает.

 

на втором тике добавляйте правила dst-nat в локалку , унтерфейс укажите тот по которому хотите шоб прошел трафик,думаю это влан1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24, скорость инета 100мб/с, на влане скорость не режется

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24, скорость инета 5мб/с, на влане скорость не режется

 

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними? Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

 

или я неправильно понимаю суть задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat print в студию

 

UPD

Тебе надо SRC еще перебивать при пробросе на МТ_1, т.к. иначе МТ_2 отвечает через свой дефолт.

Изменено пользователем SOs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними?

Маршрутизация между сетями настроена, и там и там есть серверы/пользователи/камеры. Все всё видят.

 

Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

или я неправильно понимаю суть задачи.

Нужен внешний доступ к камере. В одном офисе инет просто медленный, а поток у камеры жирный.

 

/ip firewall nat print в студию

 

0 ;;; default configuration

chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

16 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16001 protocol=tcp in-interface=ether1-gateway dst-port=16001 log=no log-prefix=""

 

17 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16002 protocol=tcp in-interface=ether1-gateway dst-port=16002 log=no log-prefix=""

 

18 ;;; 210.101

chain=dstnat action=netmap to-addresses=192.168.210.101 to-ports=16003 protocol=tcp in-interface=ether1-gateway dst-port=16003 log=no log-prefix=""

 

Тебе надо SRC еще перебивать при пробросе на МТ_1, т.к. иначе МТ_2 отвечает через свой дефолт.

Не совсем понял что на что менять. При аналогичной ситуации на L2tp-туннеле - ничего не менял, так воркало.

Изменено пользователем sizerus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микрот_1: vlan1_ip 192.168.123.1/24, локалка 192.168.200.0/24

Микрот_2: vlan1_ip 192.168.123.2/24, локалка 192.168.210.0/24

На микроте_1 делаю dst-nat в локалку микрота_2

 

Что за адрес 192.168.7.101?

 

 

Не совсем понял что на что менять.

 

У тебя при пробросе перебивается DST и пакет летит на МТ_2, а ответ МТ_2 отправляет на свой дефолт, т.к. SRC оригинальные. Тебе надо, чтобы SRC менялся при трансляции на адрес МТ_1. МТ-2 будет ему обратно отвечать и дальше МТ_1 будет обратно транслировать.

Изменено пользователем SOs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что за адрес 192.168.7.101?

Мильпардон, читать как 192.168.210.101

У тебя при пробросе перебивается DST и пакет летит на МТ_2, а ответ МТ_2 отправляет на свой дефолт, т.к. SRC оригинальные. Тебе надо, чтобы SRC менялся при трансляции на адрес МТ_1. МТ-2 будет ему обратно отвечать и дальше МТ_1 будет обратно транслировать.

На МТ_2(192.168.210.1) прилетает пакет от МТ_1 (192.168.200.1), разве МТ_2 вернёт не туда же его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На МТ_2(192.168.210.1) прилетает пакет от МТ_1 (192.168.200.1), разве МТ_2 вернёт не туда же его?

 

Если у него (МТ_2) есть дефолт в инет, куда он отправит пакет с DST скажем 1.1.1.1?

Возьми снифер, да послушай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Sizerus, доброго времени суток.

 

Насколько понял схему, Ваша «IP камера» находится в подсети маршрутизатора,

с «малой скоростью» доступа в Интернет. Вы хотите прогнать трафик «IP камеры»

через VLAN провайдера, до маршрутизатора с «широким» каналом доступа в Интернет,

используя NAT на этом маршрутизаторе, хотите пробросить порт «IP камеры» в «Мир»?

 

При статической маршрутизации Ваших подсетей, трафик «IP камеры» уходит дефолтным

(0.0.0.0/0) маршрутом через маршрутизатор с «малой скоростью» доступа в Интернет.

Проще говоря, пытается убежать в «Мир», не зная, что где-то для него существует шлюз

с NAT и переброской портов через него.

 

В данной схеме, можно попробовать:

 

Между «IP камерой» и её маршрутизатором назначить отдельную подсеть.

 

«IP камера» должна ссылаться шлюзом по умолчанию на этот маршрутизатор.

 

На маршрутизаторе «IP камеры», используя технологию «Policy Based Routing» (терминология Cisco),

завернуть весь трафик этой сети на маршрутизатор с «широким» каналом, через VLAN провайдера.

 

Избегая тем самым «ухода» IP пакетов на дефолтный шлюз.

 

Со стороны маршрутизатора с «широким» доступом, настроить статический маршрут до выделенной сети

«IP камеры», разрешив NAT с переброской необходимого порта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Saab95, доброго времени суток.

 

Подскажите, какой смысл, включать протокол динамической маршрутизации (OSPF)

на единственном канале связи (VLAN провайдера)?

 

Если у человечка и так прекрасно работает статическая маршрутизация!

 

В задаче стоит проблема перенаправления портов, а не анонса сетей.

 

Правда думаете, что включение OSPF поможет разрешить любые проблемы,

связанные с топологией сети? Боюсь, только горюшко принесёт!

 

Слово, какое красивое - «динамический протокол, обнаружения сети – OSPF».

Работает по алгоритмам «Дейкстры»! Само всё может, само всё знает.

 

Только правила для него пишут километрами, кому оно нужно.

 

Одноранговые сети Saab, так не строят, если нет резервирования!

 

На танке не ездят на дачу за 200 километров, у него траки сломаются,

их подвозят на поездах когда это нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Serejka (Вчера, 11:36) писал:

а что мешает просто настроить маршрутизацию между сетями, разрешить в фаерволле forwarding между ними?

 

Маршрутизация между сетями настроена, и там и там есть серверы/пользователи/камеры. Все всё видят.

 

Serejka (Вчера, 11:36) писал:

Проброс портов нужен, когда вы клиентов натите, а натите вы их на интерфейсе с реальным ip.

или я неправильно понимаю суть задачи.

 

Нужен внешний доступ к камере. В одном офисе инет просто медленный, а поток у камеры жирный.

 

 

Тогда на том, где широкий канал

 

 

/ip firewall filter

add chain=input comment="PORT FORWARDING " dst-address=xxx.xxx.xxx.xxx dst-port=19909 protocol=tcp

add chain=forward protocol=tcp src-address=172.28.178.20 src-port=37777

add chain=forward dst-address=172.28.178.20 dst-port=37777 protocol=tcp

 

 

 

/ip firewall nat

add action=netmap chain=dstnat comment="xxx" dst-address=xxx.xxx.xxx.xxx dst-port=19909 protocol=tcp to-addresses=172.28.178.20 to-ports=37777

 

 

Вместо xxx.xxx.xxx.xxx - белый адрес на широком канале. Дальше для лёгкости понимания не комментил. Суть в пробросе с порта 19909 белого айпишника, на фейковый адрес 172.28.178.20 на порт 37777

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто надо не делать никаких пробросов и настроить везде OSPF, тогда подключившись в любом месте сети можно получить доступ куда угодно.

Выделил в начале топика что хочу получить. Оспф умею немного, под условия задачи он не подходит (статические маршруты уже прибиты гвоздём со шляпкой).

 

Sizerus, доброго времени суток...

Наверное неправильно объяснил суть. Есть 2 сетки, между ними влан. На обоих сетках есть маршрут в другую, настроен он на микротах, они же (микроты) являются шлюзами в своих сетках.

Т.е. когда к камере (192.168.210.101) прилетает пакет от мт_1(192.168.200.1) - она ответит на этот пакет "своему" мт_2 (192.168.210.1), а у него есть маршрут на мт_1.

Повторюсь - раньше была эта же схема, только вместо влана от прова был L2tp-туннель. Маршруты те же остались, адресация та же.

 

Суть в пробросе с порта 19909 белого айпишника, на фейковый адрес 172.28.178.20 на порт 37777

Этого вообще не понял, почему не обычный дст-нат?

 

ps Отвечаю не сразу т.к. пока лимит ежедневных сообщений

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sizerus, дай /ip firewall nat полностью, с маскарадом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sizerus, дай /ip firewall nat полностью, с маскарадом

Выше приводил, вырезал аналогичные правила для других камер только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

0 ;;; default configuration

chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

Сделай такое жа правило, но out-interface укажи внутренний, in-interface - внешний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.