Доброго времени суток, уважаемые.
В микротиках я новичок. Возник вопрос по пробросу портов в системе NAT за NAT'ом.
В наличии:
1. Головной (к провайдеру) роутер d-link 300nru. Конфиг - pppoe + nat + wi-fi. Сеть 192.168.0.0 адрес 192.168.0.1
2. Организован мост на SXT Lite5 (почти как в посте "Мост на SXT Lite" http://forummikrotik.ru/viewtopic.php?f=15&t=5972#p32518) - в ближнем к d-link'у микротике бридж (ether1 и wlan2) с адресом 192.168.0.248 и режим station bridge на nv2 на wlan2. Отсутствие NAT, маскарад; после прочтения темы добавлен маршрут с шлюзом 192.168.0.1. Конфиг
.
В дальнем от d-link'а микротике режим bridge на wlan2 и разделение подсетей - 192.168.0.249 на wlan2, 192.168.1.254 на ether1; NAT, маскарад, маршрут с шлюзом 192.168.0.1. Конфиг
.
3. Интернет в подсети 192.168.1.0 есть. Когда поднялся вопрос видеонаблюдения, были проброшены порты 34567 и 8080 tcp+udp на d-link'е с интерфейса pppoe на 192.168.0.249. На дальнем от d-link'а микротике также проброшены эти порты (по паре правил на tcp и udp) с интерфейса wlan2 на регистратор в сети 192.168.1.0.
На данный момент снаружи на web-морду регистратора не могу попасть. D-link пробрасывает исправно (проверял изменяя проброс порта 8080 на нём на 80-ый микротика 192.168.0.249 - попадал на веб-морду микротика), прошу подсказать, что я неправильно настроил (ранее пробрасывал порты не далее одной подсети, в маршрутизации почти полный ноль).
P. S. Если бы была возможность, заменил бы головной роутер на микротик и разделил бы подсети по интерфейсам - имхо в данном случае более правильное решение, но увы.
NAT за NAT'ом.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
А зачем вы вторую точку в качестве роутера то настроили?
Настраивайте сквозной мост, определяйтесь с пограничным роутером в сети (пусть тот же длинк) и тогда у вас пробросы будут прекрасно работать.
Вы мост воспринимайте как кусок кабеля от одной железке к другой
Настраивайте сквозной мост, определяйтесь с пограничным роутером в сети (пусть тот же длинк) и тогда у вас пробросы будут прекрасно работать.
Вы мост воспринимайте как кусок кабеля от одной железке к другой
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 06 апр 2016, 13:21
Вторая точка роутером для разделения подсетей (чтобы обезопасить первую подсеть от пользователей нулевой), так как d-link 300nru в стоке почти ничего не умеет, а перепрошивать на *wrt не вариант. Изначально и планировал прозрачный мост *вздыхает*, пока начальство не издало стона "а безопасность как же?!". Вероятно стоит перефразировать вопрос - возможно ли на имеющемся оборудовании решить задачу проброса портов между подсетями (либо можно ли на имеющемся оборудовании разделить доступ в случае прозрачного моста и одной подсети)? Как уже упоминал в постскриптуме, замена головного роутера на что-то удобоваримое - крайняя мера в данном случае.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Увидеть б схему вашу, вообще у микротика довольно мощный инструмент для того что бы трафик ограничить и это можно сделать даже в режиме бриджа
Есть интересная задача и бюджет? http://mikrotik.site
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну вот на уровне бриджа и порежде соединения из сети в сеть Понимаю что не идеальное решение но все лучше чем куча НАТ
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 06 апр 2016, 13:21
Стесняюсь спросить - резать фильтром на бридже по группам адресов/портам? Например, пакеты с локальных адресов диапазона домашней сети (кроме головного роутера) дропать?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
включаете трекинг и ставите галку bridge settings set use-ip-firewall=ye
А дальше как душе угодно, хоть адрес листами, хоть отдельными правилами.
Можите воспользоватся встроенным фильтром в бридж, правда он менее гибкий
А дальше как душе угодно, хоть адрес листами, хоть отдельными правилами.
Можите воспользоватся встроенным фильтром в бридж, правда он менее гибкий
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 06 апр 2016, 13:21
Спасибо, покурю ещё мануалы и буду пробовать.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну и в пробросах у вас ошибка
add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=8080 \
in-interface=wlan2 protocol=tcp src-port=8080 to-addresses=192.168.1.250 \
to-ports=8080
Если хотите что бы корректно отрабатывало то можно так
add action=dst-nat chain=dstnat dst-port=8080 in-interface=wlan2 protocol=tcp to-addresses=192.168.1.250 to-ports=8080
add action=dst-nat chain=dstnat dst-address=192.168.0.249 dst-port=8080 \
in-interface=wlan2 protocol=tcp src-port=8080 to-addresses=192.168.1.250 \
to-ports=8080
Если хотите что бы корректно отрабатывало то можно так
add action=dst-nat chain=dstnat dst-port=8080 in-interface=wlan2 protocol=tcp to-addresses=192.168.1.250 to-ports=8080
Есть интересная задача и бюджет? http://mikrotik.site