Russian Users MikroTik | Форум пользователей MikroTik

Казалось бы всё просто, дст нат и сёрснат настроил и работает. но проблема в том, что если у клиента есть больше одного видеорегистратора, которые находятся в разных местах. Первый в домашней сети, а остальные где-то неважно где. Клиент подключается к домашнему регу по 1.1.1.1:8000 всё чудесно работает. Клиент решил посмотреть камеры второго регистратора, допустим, по 2.2.2.2:8000 и попадает на домашний рег, хотя если пробует НЕ через микротик - то всё работает. устранил проблему не победив, заменив порт на регистраторе, но это даже не костыль... есть может у кого какие мысли на эту тему

Спасибо.

P.S. Искал подобный вопрос, но в основном народ упирается в хэирпин нат, а тут немного глубже беда... тут есть доступ изнутри и извне на локальный видеорегистратор (IP камеру), а на внешнюю камеру нет.

Скорее всего вы криво пробросили порты, не конкретезировав правило и поэтому весь проходящий через микрот трафик по порту 8000 заварачивается на ваш домашний рег. Укачите в правили или "н интерфейс", или внешний адрес вашего устройства.

KARaS'b писал(а): ↑06 июл 2019, 17:07 Скорее всего вы криво пробросили порты, не конкретезировав правило и поэтому весь проходящий через микрот трафик по порту 8000 заварачивается на ваш домашний рег. Укачите в правили или "н интерфейс", или внешний адрес вашего устройства.

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none

1 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=8001
protocol=tcp dst-port=8001 log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=8080
protocol=tcp dst-port=8080 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.0.64 to-ports=554
protocol=tcp dst-port=554 log=no log-prefix=""

4 chain=srcnat action=masquerade protocol=tcp src-address=10.50.50.0/24
dst-address=192.168.0.64 out-interface=bridge dst-port=8001 log=no
log-prefix=""

5 chain=srcnat action=masquerade protocol=tcp src-address=10.50.50.0/24
dst-address=192.168.0.64 out-interface=bridge dst-port=8080 log=no

всё, вроде, строго по инструкции...

пробовал стаить ин интерфейс таже фигня... ему не важно.

вообще не вижу правила с 8000 портом
Но глядя на остальные, как и говорил, они у вас не конкретизированы, любой проходящий трафик через ваш мирокт по портам которые вы пробросили будет заворачиваться на внутреннюю машину. Пробросите таким образом рдп и все рдп подключения буду вести внутрь, а не дай бог пробросите 80 или 443 вообще без инета останетесь.

KARaS'b писал(а): ↑06 июл 2019, 18:16 вообще не вижу правила с 8000 портом

"устранил проблему не победив, заменив порт на регистраторе, но это даже не костыль"

KARaS'b писал(а): ↑06 июл 2019, 18:16 вообще не вижу правила с 8000 портом
Но глядя на остальные, как и говорил, они у вас не конкретизированы, любой проходящий трафик через ваш мирокт по портам которые вы пробросили будет заворачиваться на внутреннюю машину. Пробросите таким образом рдп и все рдп подключения буду вести внутрь, а не дай бог пробросите 80 или 443 вообще без инета останетесь.

т.е. нужно везде выставить "in interface"? но оно всё равно не помогло... попробую на днях ещё раз поковорять у клиента роутер...

Спасибо. надеюсь всё-таки я недосмотрел и это поможет...

Вообще лучше такие правила писать максимально строго.