Проброс портов в другую подсеть

Обсуждение ПО и его настройки
Ответить
inok
Сообщения: 3
Зарегистрирован: 21 авг 2017, 13:58

Доброго времени суток.
у меня следующая задача:
Есть две сети 192.168.55.0/24 - обычная сеть(компы принтеры)
и 192.0.0.0/24 - сеть видеонаблюдения
два здания, два свитча, объединены по оптике.
(сеть192.168.55.0 работает, компы доступ получают к инету, но появилась необходимость подключаться к серверу192.0.0.155)

к провайдеру будет подключаться через MikroTik RB951Ui-2HnD(который будет включаться в один из свичей)
Сеть настроил по мануалам. инет от провайдера по стат.IP
не могу извне попасть на видеосерврер.192.0.0.155
Необходимо что бы клиенты достучались до видеосервера на 192.0.0.155 по 80(и 5000) порту.
У роутера задействовано 1 порт eth1 к провайдеру
eth2-в сеть (раздает инет)
eth2,3,4,5 - объединены в мост
к сожалению не могу найти подобный мануал, если есть возможность- дайте ссылку или подскажите советом
как правильно настроить проброс портов во вторую сеть в коммутаторе MikroTik RB951Ui-2HnD?
в вложении картинка.
screenshot 2017-08-21 001.png


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Сеть видеонаблюдения за NAT основного микротика или есть еще дополнительный микротик и NAT? Или сеть видеонаблюдения существует отдельно от сети микротика???

Если NAT один, то проброс делается как обычно, самое главное, чтобы с основного микротика нужный компьютер (устройство) было доступно.
При необходимости прописывается соответствующий маршрут. Правило просброса самое обычное, в поле To Address указывается IP нужного устройства.


Картинку я вашу поглядел - но на ноутбуке все очень мелко, все сливается...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Поглядел картинку еще раз...

Да все ж просто. Микротику наряду с адресом 192.168.55.1 присваиваете еще один адрес 192.168.0.1. На устройстве 192.0.0.155 обязательно указываете шлюз 192.168.0.1. В правиле NAT на микротике, если это необходимо, дописываете подсеть 192.168.0.0/24, ну или создаете еще одно правило на эту подсеть.
Проверяете на 192.0.0.155 интернет.

А дальше обычное правило проброса порта и все работает!!!


Да, еще момент, когда проверять будете проброс портов, делайте это не с компа в локальной сети, а из реального внешнего инета (3G, из дома, соседней организации). Чтобы из локальной сети проверять, нужно делать специальные настройки.


inok
Сообщения: 3
Зарегистрирован: 21 авг 2017, 13:58

Спасибо большое за быстрый ответ.
настроил и резервирование канала, и проброс портов на сеть 192.168.55.xxx (все работает)
а как сделать проброс до 192.0.0.155 не понимаю.
NAT 1
то ли делать отдельный бридж для сети видео. то ли делать vlan.. пытался и так и так.. не получается.
ссылку на картинку в большем размере приложил.
http://i075.radikal.ru/1708/86/2aedf7768a28.jpg
может мне в раздел для начинающих?
инет на 195.0.0.155 не нужен. надо только доступ к портам. (


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Это что-то новое. Без инета на устройстве не будет и доступа.

Я вам все написал:

1. Добавить на микротике IP 192.0.0.1.
2. Указать на устройстве 192.0.0.155 шлюз - 192.0.0.1.
3. Настроить правило проброса порта:
chain=dstnat action=dst-nat to-addresses=192.168.77.10 to-ports=3389 protocol=tcp in-interface=pppoe-out1 dst-port=4000 log=no log-prefix=""
по образу и подобию переделайте его под свои реалии, меняйте IP, порт и интерфейс.
4. Времено отключаете ВСЕ правила фаерволла.
5. Проверяете из ВНЕШНЕЙ сети.


inok
Сообщения: 3
Зарегистрирован: 21 авг 2017, 13:58

Спасибо большое.
1-добавил на микротике в адреса IP 192.0.0.1
2- Указал на устройстве(пк сервер) 192.0.0.155 шлюз - 192.0.0.1 (если на пк не указывать днс - инета на нем не будет, как мне и требуется,)
3-Пробросил нужные порты:
**** ip firewall nat add chain=dstnat dst-port=3080 action=dst-nat protocol=tcp to-address=192.0.0.155 to-port=3080*** и т.д
4-доступ к пк серверу и камерам из внешней сети появился. Работает так как надо.
Еще раз спасибо.


Ответить