Не добавляется правило NAT для входящих сооединений

Обсуждение ПО и его настройки
Ответить
medik83
Сообщения: 2
Зарегистрирован: 21 июл 2016, 16:17

Добрый день помогите пожалуйста разобраться с вопросом.

Вступление
Роутер MikroTik SXTG-5HPacD - 2 шт. настроены в режиме bridge.
Один из них с адресом 192.168.0.1/24 смотрит в Интернет через vpn. На нем же поднят DHCP сервер. Ко второй такой же железке подцеплены IP камеры через свитч адреса получены по DHCP и в дальнейшем записаны на аренду на 20 лет. Имеется белый внешний IP от провайдера. Настроен маскарадинг подсети 192.168.0.0/24

Задача:
Пробросить порты от камер 192.168.0.230 и 192.168.0.231 для доступа из вне.
Попытка выполнить это по инструкции https://habrahabr.ru/post/182166/ выдает ошибку Couldn't add New NAT Rule - outgoing interface matching not possible in input and prerouting chains. Погуглив я увидел, что подобный вопрос требует отдельной настройки prerouting и postrouting, особенно если необходимо увидеть мои камеры в локалке. Но не имею ни малейшего представления как мне сделать это. Прошу вашей помощи друзья!
PS Наткнулся еще на UPNP возможности автоматической проброски портов, сможет ли это сработать и упростить настройку?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Что за камеры? Многие сейчас обладают облачными функциями. Так намного будем проще.


medik83
Сообщения: 2
Зарегистрирован: 21 июл 2016, 16:17

Камеры мультивендорные. Одна из них hikvision. В любом случае требуется проброска портов для видеосервера реализованного на базе synology.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Проброс портов нужно осуществлять на устройстве, которое на синолоджи указано в качестве шлюза.
Хотя схема включения может быть и сложнее, тогда на том роутере, который имеет белый IP на порту WAN, а до синологи должна быть прописана маршрутизация на всех промежуточных микротиках.

И на синолоджи есть отличная функция EZ - internet.


mmv-ru
Сообщения: 3
Зарегистрирован: 14 авг 2016, 18:07

Не обязательно, вместо фильтра по in-interface можно фильтр по src-address использовать.

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp port=81 \
action=dst-nat to-addresses=192.168.0.230 to-ports=80

/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-in
terface=LAN action=masquerade


Mikrotik training partner http://routerz.ru/obuchenie/reg/
Ответить