Из Nanostation вернуться в MikroTik через внешний IP

Обсуждение оборудования и его настройки
Ответить
Screba
Сообщения: 2
Зарегистрирован: 10 янв 2015, 14:27

Есть проблема, может для кого-то и не проблема, но…
Nanostation M2(настройка как SOHO Router) со своёй подсеткой сквозняком идёт через MikroTik в интернет.
У MikroTik есть внешний IP и пробрасываются порты на нужные устройства в его подсетке и все работает из Инета, т.е. когда клиент с гаджетом цепляется откуда угодно по внешнему IP к MikroTik, то всё нормально, а когда клиенты цепляются, с теми же настройками внешнего IP MikroTik через WiFi Nanostation, то не попадает в пробросы портов MikroTika.
Вопрос: Что исправить и куда глянуть. Подскажите плиз.
Последний раз редактировалось Screba 12 дек 2015, 10:19, всего редактировалось 1 раз.


Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

А зачем Вам внутри сети использовать внешний IP? Используйте IP подсети микротика.


Screba
Сообщения: 2
Зарегистрирован: 10 янв 2015, 14:27

Очень просто. Начальник, с настроенным гаджетом, любит смотреть из дома видеокамеры расставленные по конторе и настроено на внешний IP, а когда он в конторе, то внешний IP не работает через Nanostation.
Собственно и вся проблема.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Читайте здесь
viewtopic.php?f=3&t=4070


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А это http://wiki.mikrotik.com/wiki/Hairpin_NAT не выручает?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

днс свой поднимите.
И будет у вас во внутреннем и внешнем ДНС камеры под одним именем. но с разными IP.
С какой стороны зайдет, такие адреса и получит.

Или поднимите ему ВПН, а камеры наружу не пускайте. Подключится - посмотрит.

Или добавьте ему в смотрелку каждую камеру 2 раза, с разными IP. В любой момент в смотрелке будет доступна правильная половина адресов.

А почему изнутри доступ по внешним адресам не работает то?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Erik_U писал(а):А почему изнутри доступ по внешним адресам не работает то?



Потому, что он микротике по-умолчанию не работает. Нужно настраивать, в терминологии микротка - это Hairpin NAT, у других это еще называет NAT LoopBack.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

gmx писал(а):Потому, что он микротике по-умолчанию не работает. Нужно настраивать, в терминологии микротка - это Hairpin NAT, у других это еще называет NAT LoopBack.


Все равно же придется оперировать не реал айпи, который оператор где-то в недрах своей сети натит, а адресами внешних интерфейсов микротика, которые все равно другие.

И чтобы внешние айпи во внутренней сети доступны стали, не достаточно их на инерфейсах поднять, нужно до них еще маршрут написать. Т.е. по сути нарезать во внутренней сети подсеть с реальными интернетовскими айпи.

Hairpin NAT не все проблемы же решает?

Или имеется в виду, что во внуренней сети вдруг появляется клиент со статичным айпи из внешней сети, и ему подсовывают псевдо-инфраструктуру, а в честной внутренней сети про это никто не подозревает?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Нет не все, конечно.


Честно, я с трудом представляю, как все организовано у топикстартера. Харпин нат - это первое, что приходит в голову при прочтении. Понять, что будет с пакетами по двум-трем предложениям в первом посте невозможно.
По хорошему нужна схема. Подробное описание. И то не факт, что сможем помочь. Сложно это все удаленно делать.

Я бы этот внешний IP завел на микротик, а дальше рулил как мне надо. В таком случае и харпин нат легко решит проблему доступа из локальной сети по внешнему адресу. Но допускаю, что есть еще какие-то заморочки, которые не позволяют все это сделать.


Erik_U, ваше предложение выше с ДНС очень правильное, но это при условии, что можно еще и локальный адрес железке назначить и маршрут до нее прописать.


Ответить