Казалось бы всё просто, дст нат и сёрснат настроил и работает. но проблема в том, что если у клиента есть больше одного видеорегистратора, которые находятся в разных местах. Первый в домашней сети, а остальные где-то неважно где. Клиент подключается к домашнему регу по 1.1.1.1:8000 всё чудесно работает. Клиент решил посмотреть камеры второго регистратора, допустим, по 2.2.2.2:8000 и попадает на домашний рег, хотя если пробует НЕ через микротик - то всё работает. устранил проблему не победив, заменив порт на регистраторе, но это даже не костыль... есть может у кого какие мысли на эту тему
Спасибо.
P.S. Искал подобный вопрос, но в основном народ упирается в хэирпин нат, а тут немного глубже беда... тут есть доступ изнутри и извне на локальный видеорегистратор (IP камеру), а на внешнюю камеру нет.
dst-nat переадресовывает исходящее обращение на локальный адрес
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Скорее всего вы криво пробросили порты, не конкретезировав правило и поэтому весь проходящий через микрот трафик по порту 8000 заварачивается на ваш домашний рег. Укачите в правили или "н интерфейс", или внешний адрес вашего устройства.
-
nikita.dunaytsev
- Сообщения: 5
- Зарегистрирован: 06 июл 2019, 14:26
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none
1 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=8001
protocol=tcp dst-port=8001 log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=8080
protocol=tcp dst-port=8080 log=no log-prefix=""
3 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=554
protocol=tcp dst-port=554 log=no log-prefix=""
4 chain=srcnat action=masquerade protocol=tcp src-address=10.50.50.0/24
dst-address=192.168.0.64 out-interface=bridge dst-port=8001 log=no
log-prefix=""
5 chain=srcnat action=masquerade protocol=tcp src-address=10.50.50.0/24
dst-address=192.168.0.64 out-interface=bridge dst-port=8080 log=no
всё, вроде, строго по инструкции...
пробовал стаить ин интерфейс таже фигня... ему не важно.
Последний раз редактировалось nikita.dunaytsev 06 июл 2019, 18:18, всего редактировалось 1 раз.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
вообще не вижу правила с 8000 портом
Но глядя на остальные, как и говорил, они у вас не конкретизированы, любой проходящий трафик через ваш мирокт по портам которые вы пробросили будет заворачиваться на внутреннюю машину. Пробросите таким образом рдп и все рдп подключения буду вести внутрь, а не дай бог пробросите 80 или 443 вообще без инета останетесь.
Но глядя на остальные, как и говорил, они у вас не конкретизированы, любой проходящий трафик через ваш мирокт по портам которые вы пробросили будет заворачиваться на внутреннюю машину. Пробросите таким образом рдп и все рдп подключения буду вести внутрь, а не дай бог пробросите 80 или 443 вообще без инета останетесь.
-
nikita.dunaytsev
- Сообщения: 5
- Зарегистрирован: 06 июл 2019, 14:26
-
nikita.dunaytsev
- Сообщения: 5
- Зарегистрирован: 06 июл 2019, 14:26
т.е. нужно везде выставить "in interface"? но оно всё равно не помогло... попробую на днях ещё раз поковорять у клиента роутер...KARaS'b писал(а): ↑06 июл 2019, 18:16 вообще не вижу правила с 8000 портом
Но глядя на остальные, как и говорил, они у вас не конкретизированы, любой проходящий трафик через ваш мирокт по портам которые вы пробросили будет заворачиваться на внутреннюю машину. Пробросите таким образом рдп и все рдп подключения буду вести внутрь, а не дай бог пробросите 80 или 443 вообще без инета останетесь.
Спасибо. надеюсь всё-таки я недосмотрел и это поможет...
-
gard
- Сообщения: 125
- Зарегистрирован: 07 май 2013, 10:44
Вообще лучше такие правила писать максимально строго.