NAT 1:1, три десятка хостов, пара сотен мегабит - чем лучше делать?

[alibek]

Есть сеть с IP-камерами, адресация 192.168.1.0/24.

Всего камер примерно три десятка, суммарный битрейт около 180 Мбит/с.

Эти камеры нужно подключить к системе видеонаблюдения, где используется другая адресация (10.1.0.0/16).

Прямую маршрутизацию между сетями делать нежелательно.

Я подумываю, чтобы поставить маршрутизатор Микротик (RB4011), настроить на нем ACL и NAT 1:1 (192.168.1.x <-> 10.1.1.x).

Может быть есть способ лучше и проще?

[jffulcrum]

4 часа назад, alibek сказал:

Прямую маршрутизацию между сетями делать нежелательно.

Я подумываю, чтобы поставить маршрутизатор Микротик (RB4011), настроить на нем ACL и NAT 1:1 (192.168.1.x <-> 10.1.1.x).

И в чем будет разница-то особо? Там все равно UDP, RTSP и куча рандомных портов - только впустую проц загружать пачкой фильтров. К слову, пачка правил в forward проще и надежнее, чем пачка в NAT. 

 

Если у рега/сервера есть второй порт - ответ очевиден.

[alibek]

53 минуты назад, jffulcrum сказал:

пачка в NAT

Почему пачка?

Вроде бы Микротик умеет маппить подсети.

Но даже если нет, то 30 хостов это 30 правил. Если эти правила делать не списком, а деревом, то это максимум 5-6 сравнений.

 

Я как-то подсознательно избегаю делать маршрутизацию в 192.168. Всегда получается так, что через какое-то время возникает необходимость добавления еще одной подсети и она как назло оказывается такой же 192.168.1.0/24.

Вообще задача в том, чтобы в БГ добавить камеры общественного сооружения. Для 30 камер dstnat уже неудобен, хочется что-то более простое, но при этом хочется оставить эти сети максимально изолированными друг от друга.

[myst]

2 часа назад, alibek сказал:

Я как-то подсознательно избегаю делать маршрутизацию в 192.168.

"подсознательно избегаю самого простого решения."

[sheft]

3 часа назад, alibek сказал:

Вроде бы Микротик умеет маппить подсети. 

 

Умеет, подтверждаю, использую.

разницы в загрузке процессора через netmap и кучи правил сурсната/дестната не заметил, но в конфиге нетмап красивей/лаконичней... подозреваю что в линуксовых(микротовых) потрохах эти правила на самом деле идентичны.

[lugoblin]

On 6/10/2021 at 8:36 AM, alibek said:

Прямую маршрутизацию между сетями делать нежелательно.

Почему?

 

On 6/10/2021 at 8:36 AM, alibek said:

камеры нужно подключить к системе видеонаблюдения

А как камеры общаются с системой видеонаблюдения, на 4-ом уровне OSI? Камера стучится в DVR, или DVR подключается к камере? Если первое, то можно всю 192.168.1.0/24 смапить на один адрес в 10.1.0.0/16.

 

А дать камерам адреса из 10.1.0.0/16, не? Их всё равно можно будет спрятать за Mikrotik-ом от остальной сети, и даже давать им адреса из его DHCP.

[alibek]

Сервер подключается к камерам и берет с них потоки.

 

Я предполагаю, что впоследствии будет ещё несколько подобных случаев. И обязательно будут накладки по подсетям, поэтому лучше сразу использовать NAT.

 

Сменить адресацию на камерах нельзя. Это же чужие камеры, они и в других местах используются. Да и вообще сеть чужая и подключать ее в свою нежелательно.

[lugoblin]

10 hours ago, alibek said:

Сервер подключается к камерам и берет с них потоки.

 

Я предполагаю, что впоследствии будет ещё несколько подобных случаев. И обязательно будут накладки по подсетям, поэтому лучше сразу использовать NAT.

 

Сменить адресацию на камерах нельзя. Это же чужие камеры, они и в других местах используются. Да и вообще сеть чужая и подключать ее в свою нежелательно.

Да, значит NAT не объехать. Выработайте у себя в 10.1.0.0/16 стандартное правило, по которому выделяются диапазоны адресов для отображения "странных" сетей, и мапьте.