Страница 1 из 1

проброс портов за 2 ната

Добавлено: 23 ноя 2016, 13:51
Flint
Добрый день!
Столкнулся с такой проблемой. У меня установлено 2 роутера Mikrotik. Первому подключен провайдер который даёт несколько белых IP. Далее за эти роутером находится другой микротик, который от первого получает IP из серой сетки. На первом роутере настроены правила dst nat с белого IP на IP второго микротика. У меня получается попадать на второй микротик по этому белому IP по винбоксу и по вебу. Далее ко второму роутеру уже в его сеть 192.168.88.1/24 подключен видерегистратор с IP 192.168.88.105. На этом регистраторе имеется порт 34567 для программы видеонаблюдения и 80 порт для веба.
Настроил на втором микротике правила dst nat для перенаправления с IP этого роутера при запросе на порт 34567 на IP видеорегистратора на порт 34567.

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=172.22.172.5 dst-port=34567 in-interface=ether1-gateway comment=videoreg dst-port=34567 to-addresses=192.168.88.105 to-ports=34567

По аналогии настроен проброс на 80 порт при запросе 8080 и ещё сделаны несколько пробросов на 80-е порты роутеров стоящих за вторым микротиком.
Ни на одно устройство извне попасть не получается, как по белому IP, так и по IP их серой сетки. В локалке все доступы работают.

Подскажите что проверять и куда копать.

Re: проброс портов за 2 ната

Добавлено: 23 ноя 2016, 14:29
EdkiyGluk
Доброго времени суток =) ну начнём с того, что пробрасывать снаружи внутрь один и тот же порт - не очень прилично... т.к. злобные друзья из поднебесной начнут всячески попадать на Ваш регистратор и всячески его хакать..... ну это ладно....
Если написанное правило проброса настроено на втором микротике, то работать и не будет..... Т.к. второй микротик не знает что за адрес 172.22.172.5, вместо него нужно вписать 192.168.88.1 (т.е. адрес второго микротика, т.к. именно на него идёт проброс порта с первого)

Re: проброс портов за 2 ната

Добавлено: 23 ноя 2016, 15:44
Flint
В той настроке что у меня была изначально, в правиле нат которым пробрасывается опрт, я видел то что при попытке открыть страницу через веб туда падают пакеты, но получал ответ о превышении времени ответа от сервера, сейчас же при замене IP адреса 172.22.172.5, который настрое на wan порте второго микротика, на IP 192.168.88.1, падение пакетов теперь не вижу

Re: проброс портов за 2 ната

Добавлено: 23 ноя 2016, 16:52
Flint
Может быть кому-то будет удобнее и быстрее для понимая зайти и посмотреть что там настроено. На первом микротике стоит только правило с dst nat и больше ничего касаемо этого микротика и его IP.

Надеюсь это поможет и кто-нибудь подскажет в чём я наложал

Re: проброс портов за 2 ната

Добавлено: 23 ноя 2016, 16:58
KARaS'b
Самый главный вопрос, зачем вам 2 ната? Ваши "танцы" можно будет с легкостью упростить избавившись от второго ната и настроив обычную маршрутизацию.

Re: проброс портов за 2 ната

Добавлено: 23 ноя 2016, 17:12
gmx
KARASB прав.

Дело не в количество NAT, а в маршрутизации между подсетями. Нужно добиться, чтобы микротик 1 увидел нужное вам устройство в сети за вторым микротиком и все проблемы решаться сами собой.

Re: проброс портов за 2 ната

Добавлено: 06 янв 2017, 10:42
Swimmer
А как этого добиться в одной подсети?

Re: проброс портов за 2 ната

Добавлено: 06 янв 2017, 12:30
gmx
Swimmer писал(а):А как этого добиться в одной подсети?


В какой одной???

Вы вопрос более подробно формулируйте, пожалуйста.