[medik83]

Добрый день помогите пожалуйста разобраться с вопросом.

 

Вступление

Роутер MikroTik SXTG-5HPacD - 2 шт. настроены в режиме bridge.

Один из них с адресом 192.168.0.1/24 смотрит в Интернет через vpn. На нем же поднят DHCP сервер. Ко второй такой же железке подцеплены IP камеры через свитч адреса получены по DHCP и в дальнейшем записаны на аренду на 20 лет. Имеется белый внешний IP от провайдера. Настроен маскарадинг подсети 192.168.0.0/24

 

Задача:

Пробросить порты от камер 192.168.0.230 и 192.168.0.231 для доступа из вне.

Попытка выполнить это по инструкции https://habrahabr.ru/post/182166/ выдает ошибку Couldn't add New NAT Rule - outgoing interface matching not possible in input and prerouting chains. Погуглив я увидел, что подобный вопрос требует отдельной настройки prerouting и postrouting, особенно если необходимо увидеть мои камеры в локалке. Но не имею ни малейшего представления как мне сделать это. Прошу вашей помощи друзья!

PS Наткнулся еще на UPNP возможности автоматической проброски портов, сможет ли это сработать и упростить настройку?

[nkusnetsov]

medik83, смотрите внимательнее в статье. Не спешите. При настройке dstnat используется in-interface. Картинка оттуда и взята.

Совет: не используйте экшен netmap. Он для другого предназначен. На вкладке "action" выбирайте "dst-nat"

Edited July 21, 2016 by nkusnetsov

[dronis3]

medik83, смотрите внимательнее в статье. Не спешите. При настройке dstnat используется in-interface. Картинка оттуда и взята.

Совет: не используйте экшен netmap. Он для другого предназначен. На вкладке "action" выбирайте "dst-nat"

А для чего netmap предназначен? Просто я заметил что некоторые через netmap пробрасывают порты.

[medik83]

medik83, смотрите внимательнее в статье. Не спешите. При настройке dstnat используется in-interface. Картинка оттуда и взята.

Совет: не используйте экшен netmap. Он для другого предназначен. На вкладке "action" выбирайте "dst-nat"

Благодарю за помощь. Я указывал параметр In Interface - Ethernet .А Какой интерфейс должен быть в моем случае (Ethernet,Bridge, VPN??? WiFi). Я указывал Ethernet ошибка выдавалась и при установленном параметре.

[Saab95]

Это указывается что бы понимать при обращении с какого интерфейса делать проброс. Можно поступить иначе, допустим у вас есть бридж на котором висит серый адрес, к которому уже привязаны сетевые порты. В пункте in interface укажите ! bridge1, то есть при запросе с любого интерфейса кроме бриджа будет идти проброс.

[dronis3]

Это указывается что бы понимать при обращении с какого интерфейса делать проброс. Можно поступить иначе, допустим у вас есть бридж на котором висит серый адрес, к которому уже привязаны сетевые порты. В пункте in interface укажите ! bridge1, то есть при запросе с любого интерфейса кроме бриджа будет идти проброс.

Это про netmap?

[medik83]

Это указывается что бы понимать при обращении с какого интерфейса делать проброс. Можно поступить иначе, допустим у вас есть бридж на котором висит серый адрес, к которому уже привязаны сетевые порты. В пункте in interface укажите ! bridge1, то есть при запросе с любого интерфейса кроме бриджа будет идти проброс.

Указал на In Interface Bridge1 ( в бридже у меня Wireless и Ethernet). Не понимаю сам почему у меня не принималась данная конфигурация раньше, наверное просто уже к вечеру просто сильно тупил.))) Слава Богу сделано))). Ура! Но

В браузере иду по своему белому адресу от провайдера 91.203.176.xxx:6120 на проброшенный порт к камере - и ничего((.

[nkusnetsov]

medik83 вот так. Восклицательный знак обозначает логическое "НЕ". Тогда условие читается "входящий интерфейс НЕ 'bridge1' ". Не внутренний. Внешний.

Edited July 22, 2016 by nkusnetsov

[Saab95]

Это про netmap?

 

Нет.

 

Допустим вы провайдер и у вас есть белый постоянный IP на сервере, например 11.22.33.44, при создании правила проброса достаточно указать dst-address=11.22.33.44 и далее там протокол-порт, что бы работал проброс - это будет менее затратно по ресурсам, чем делать то же самое через in-interface, потому что туда могут попадать и другие данные, например если белых IP целая подсеть и они предоставляются абонентам для работы без НАТ.

 

Но если IP динамический, то нельзя его указать, поэтому тут используют in-interface=ether1 как вариант. Или, если используется туннель типа PPPoE, то его. Но когда бывают ситуации, что подключение может происходить через несколько интерфейсов, или, допустим, несколько подключений и через каждый должен работать проброс (хотя тут встают проблемы с маршрутами), то можно указать in-interface=!bridge1, тогда при запросе на любой интерфейс будет идти проброс, кроме бриджа.

 

Однако есть и еще ситуации, что какой-то сервис должен работать и внутри сети, и в интернете, когда на компьютерах можно указать только один адрес в настройках. Тогда нужно делать 2 правила проброса - первое стандартное, а второе с указанием dst-address=нужный IP, а in-interface (или src-address) куда подключена локальная сеть или адресация этой сети.

[dronis3]

Не совсем конечно понимаю в чем дело тут) Но по dst проброс я делаю всегда удачно и ногда вижу как делают через netmap. Вот и вопрос для чего netmap?

[medik83]

Добрый день

Друзья,

привожу настройки NAT на роутере в скриншотах.

Ожидаю увидеть камеру в Интернет. По белому адресу в браузере вводим 91.203.176.xxx:6210, но никак).

[mafijs]

Сделай так

/ip firewall nat

add action=dst-nat chain=dstnat comment=IP Camera dst-address=91.203.176.xxx dst-port=6210 protocol=tcp to-addresses=(IP camera) to-ports=80

 

скопируй эту строку в New Terminal , сменив (IP camera) на адрес камеры. И исправь dst-address=91.203.176.xxx

Edited July 23, 2016 by mafijs

[medik83]

Сделай так

/ip firewall nat

add action=dst-nat chain=dstnat comment=IP Camera dst-address=91.203.176.xxx dst-port=6210 protocol=tcp to-addresses=(IP camera) to-ports=80

 

скопируй эту строку в New Terminal , сменив (IP camera) на адрес камеры. И исправь dst-address=91.203.176.xxx

Спасибо огромное заработало!

Но вопросы для себя остались - просто очень хочется понять почему у меня не получалось.

1. Почему не конфигурировалось через Winbox - в нем после ввода моих команд ничего ведь неизменилось

2. Как мне посмотреть, что я там на конфигурировал, т.е увидеть все прописи в NAT.

3. Как вас поблагодарить в форуме не нашел спасибо, или мне как начинающему юзеру в форуме это пока недоступно?

[mafijs]

1. Почему не конфигурировалось через Winbox - в нем после ввода моих команд ничего ведь неизменилось

2. Как мне посмотреть, что я там на конфигурировал, т.е увидеть все прописи в NAT.

3. Как вас поблагодарить в форуме не нашел спасибо, или мне как начинающему юзеру в форуме это пока недоступно?

 

1. Неверная конфигурация.

2. Просто смотриш IP -> Firewall ->NAT

или средствами New Terminal - открой , нажми клавишу TAB, выводится список доступных команд

вводи ip нажимай и Enter

обратно клавишу TAB - firewall и нажимай Enter

обратно клавишу TAB - nat и нажимай Enter

клавишу TAB необязательно, просто для наглядности .

потом команда print или export

если введёш export file=nat -> то в Files появится текстовый файл "nat.rsc"

Скорируй его на компютер просто перетаскивая мышкой.

3. Не стоит благодарности :)

[divxl]

Вот и вопрос для чего netmap?

Судя по wiki netmap ты можешь целую подсеть маппить 1 к 1. С другой стороны я у себя так и порты пробрасываю, проблем пока не замечал.

[medik83]

Доброго дня всем.

Моя идея с пробросом портов для подключения камер к synology survilliance station потерпела неудачу, система напрочь отказалась их видеть в Интернет. Все равно благодарю за то, что научили это делать.

Теперь все работает так: я поднимаю VPN с Synology до Mikrotik 91.203.176.xxx, далее соответственно нахожусь в сети своих камер и вижу их. Решением не доволен так как весть трафик Synology гоняю через Смоленский IP 91.203.176.xxx.

Есть желание переделать по схеме: На Synology будет VPN сервер, а Mikrotik будет клиентом, но опять возникает проблема, в том что весь трафик 91.203.176.xxx (Mikrotik) пойдет через Московский IP 95.46.231.xxx, а мне не очень хочется этого. Может ли помочь Netmap или какой нибудь другой инструмент роутера, чтобы VPN клиент использовался только для пакета в диапазоне адресов камер 192.168.0.230 - 192.168.0.240, а остальной трафик гулял через VPN провайдера. Очень все мудрено, понимаю, но пока вижу решение задачи только таким способом. Рад буду выслушать любые идеи.

[divxl]

для пакета в диапазоне адресов камер 192.168.0.230 - 192.168.0.240,

 

На клиенте уберите галку add default route и каждую камеру направьте на Ваш VPN, возможно есть более лучшее решение, первое что пришло в голову.

 

p.s. А нельзя камеры засунуть в другую подсеть? Тогда одним правилос можно отправить в VPN.

Edited July 26, 2016 by divxl

[medik83]

для пакета в диапазоне адресов камер 192.168.0.230 - 192.168.0.240,

 

На клиенте уберите галку add default route и каждую камеру направьте на Ваш VPN, возможно есть более лучшее решение, первое что пришло в голову.

 

p.s. А нельзя камеры засунуть в другую подсеть? Тогда одним правилос можно отправить в VPN.

 

1. Спасибо, надо будет попробовать. А где и как направить каждую камеру по отдельности в VPN? Я не представляю себе где это в Winbox конфигурируется.

2. Можно камеры отправить в другую подсеть легко, только как и в первом случае полагаю, я не смогу их увидеть в локалке дома, у меня локально стоит видеорегистратор в подсети 192.168.0.0/24 на Смоленском IP, с монитора смотрю камеры из дома. По тому же кабелю приходит Интернет в дом. Если только для подсети камер дать Интернет и VPN до Москвы и в нее же отправить регистратор? По моему мы пришли к рабочей схеме. ВЫ согласны? Могу расчитывать на помощь при реализации?

[mafijs]

В обоих концах микротик ?

Подними L2TP между ними и будет счастье :) Прямой доступ к каждой камере через L2TP тунель без проброса портов.

http://adminotes.ru/poshagovaya-instruktsiya-po-obedineniyu-setej-raznyh-provajderov-s-pomoshhyu-l2tp-i-l2tp-ipsec-na-oborudovanii-mikrotik/

Edited July 27, 2016 by mafijs

[medik83]

В обоих концах микротик ?

Подними L2TP между ними и будет счастье :) Прямой доступ к каждой камере через L2TP тунель без проброса портов.

http://adminotes.ru/poshagovaya-instruktsiya-po-obedineniyu-setej-raznyh-provajderov-s-pomoshhyu-l2tp-i-l2tp-ipsec-na-oborudovanii-mikrotik/

Добрый день.

Спасибо за совет, постараюсь разобраться с этим непростым мануалом. У меня с оной стороны микротик а с другой Asus RT-AC66U, но это не проблема его заменить.

Вопрос при такой организации канала в следующем - трафик благодаря настройкам маршрутизации при запросе в Интернет будет идти в Интернет, а при запросе на камеры - на них же соответственно? Я правильно понимаю?

Если я все правильно понял в моем случае я могу поднять VPN также с моего Asus RT-AC66U до Mikrotik, только стоит настроить маршрутизацию на Asuse?

[mafijs]

постараюсь разобраться с этим непростым мануалом. У меня с оной стороны микротик а с другой Asus RT-AC66U, но это не проблема его заменить.

Там нечего сложного нет, внимательно только маршруты прописивать. IPsec ненадо.

 

Вопрос при такой организации канала в следующем - трафик благодаря настройкам маршрутизации при запросе в Интернет будет идти в Интернет, а при запросе на камеры - на них же соответственно? Я правильно понимаю?

Да, правильно.

 

Если я все правильно понял в моем случае я могу поднять VPN также с моего Asus RT-AC66U до Mikrotik, только стоит настроить маршрутизацию на Asuse?

В принципе да, как на деле - не знаю.

Edited July 27, 2016 by mafijs