проброс портов за 2 ната

Обсуждение ПО и его настройки
Ответить
Flint
Сообщения: 4
Зарегистрирован: 23 ноя 2016, 09:52

Добрый день!
Столкнулся с такой проблемой. У меня установлено 2 роутера Mikrotik. Первому подключен провайдер который даёт несколько белых IP. Далее за эти роутером находится другой микротик, который от первого получает IP из серой сетки. На первом роутере настроены правила dst nat с белого IP на IP второго микротика. У меня получается попадать на второй микротик по этому белому IP по винбоксу и по вебу. Далее ко второму роутеру уже в его сеть 192.168.88.1/24 подключен видерегистратор с IP 192.168.88.105. На этом регистраторе имеется порт 34567 для программы видеонаблюдения и 80 порт для веба.
Настроил на втором микротике правила dst nat для перенаправления с IP этого роутера при запросе на порт 34567 на IP видеорегистратора на порт 34567.

Код: Выделить всё

add action=dst-nat chain=dstnat dst-address=172.22.172.5 dst-port=34567 in-interface=ether1-gateway comment=videoreg dst-port=34567 to-addresses=192.168.88.105 to-ports=34567

По аналогии настроен проброс на 80 порт при запросе 8080 и ещё сделаны несколько пробросов на 80-е порты роутеров стоящих за вторым микротиком.
Ни на одно устройство извне попасть не получается, как по белому IP, так и по IP их серой сетки. В локалке все доступы работают.

Подскажите что проверять и куда копать.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Доброго времени суток =) ну начнём с того, что пробрасывать снаружи внутрь один и тот же порт - не очень прилично... т.к. злобные друзья из поднебесной начнут всячески попадать на Ваш регистратор и всячески его хакать..... ну это ладно....
Если написанное правило проброса настроено на втором микротике, то работать и не будет..... Т.к. второй микротик не знает что за адрес 172.22.172.5, вместо него нужно вписать 192.168.88.1 (т.е. адрес второго микротика, т.к. именно на него идёт проброс порта с первого)


Flint
Сообщения: 4
Зарегистрирован: 23 ноя 2016, 09:52

В той настроке что у меня была изначально, в правиле нат которым пробрасывается опрт, я видел то что при попытке открыть страницу через веб туда падают пакеты, но получал ответ о превышении времени ответа от сервера, сейчас же при замене IP адреса 172.22.172.5, который настрое на wan порте второго микротика, на IP 192.168.88.1, падение пакетов теперь не вижу


Flint
Сообщения: 4
Зарегистрирован: 23 ноя 2016, 09:52

Может быть кому-то будет удобнее и быстрее для понимая зайти и посмотреть что там настроено. На первом микротике стоит только правило с dst nat и больше ничего касаемо этого микротика и его IP.

Надеюсь это поможет и кто-нибудь подскажет в чём я наложал
Последний раз редактировалось Flint 28 ноя 2016, 09:59, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Самый главный вопрос, зачем вам 2 ната? Ваши "танцы" можно будет с легкостью упростить избавившись от второго ната и настроив обычную маршрутизацию.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

KARASB прав.

Дело не в количество NAT, а в маршрутизации между подсетями. Нужно добиться, чтобы микротик 1 увидел нужное вам устройство в сети за вторым микротиком и все проблемы решаться сами собой.


Swimmer
Сообщения: 2
Зарегистрирован: 05 янв 2017, 15:17

А как этого добиться в одной подсети?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Swimmer писал(а):А как этого добиться в одной подсети?


В какой одной???

Вы вопрос более подробно формулируйте, пожалуйста.


Ответить