Russian Users MikroTik | Форум пользователей MikroTik

Есть проблема, может для кого-то и не проблема, но…
Nanostation M2(настройка как SOHO Router) со своёй подсеткой сквозняком идёт через MikroTik в интернет.
У MikroTik есть внешний IP и пробрасываются порты на нужные устройства в его подсетке и все работает из Инета, т.е. когда клиент с гаджетом цепляется откуда угодно по внешнему IP к MikroTik, то всё нормально, а когда клиенты цепляются, с теми же настройками внешнего IP MikroTik через WiFi Nanostation, то не попадает в пробросы портов MikroTika.
Вопрос: Что исправить и куда глянуть. Подскажите плиз.

А зачем Вам внутри сети использовать внешний IP? Используйте IP подсети микротика.

Очень просто. Начальник, с настроенным гаджетом, любит смотреть из дома видеокамеры расставленные по конторе и настроено на внешний IP, а когда он в конторе, то внешний IP не работает через Nanostation.
Собственно и вся проблема.

Читайте здесь
viewtopic.php?f=3&t=4070

А это http://wiki.mikrotik.com/wiki/Hairpin_NAT не выручает?

днс свой поднимите.
И будет у вас во внутреннем и внешнем ДНС камеры под одним именем. но с разными IP.
С какой стороны зайдет, такие адреса и получит.

Или поднимите ему ВПН, а камеры наружу не пускайте. Подключится - посмотрит.

Или добавьте ему в смотрелку каждую камеру 2 раза, с разными IP. В любой момент в смотрелке будет доступна правильная половина адресов.

А почему изнутри доступ по внешним адресам не работает то?

Erik_U писал(а):А почему изнутри доступ по внешним адресам не работает то?

Потому, что он микротике по-умолчанию не работает. Нужно настраивать, в терминологии микротка - это Hairpin NAT, у других это еще называет NAT LoopBack.

gmx писал(а):Потому, что он микротике по-умолчанию не работает. Нужно настраивать, в терминологии микротка - это Hairpin NAT, у других это еще называет NAT LoopBack.

Все равно же придется оперировать не реал айпи, который оператор где-то в недрах своей сети натит, а адресами внешних интерфейсов микротика, которые все равно другие.

И чтобы внешние айпи во внутренней сети доступны стали, не достаточно их на инерфейсах поднять, нужно до них еще маршрут написать. Т.е. по сути нарезать во внутренней сети подсеть с реальными интернетовскими айпи.

Hairpin NAT не все проблемы же решает?

Или имеется в виду, что во внуренней сети вдруг появляется клиент со статичным айпи из внешней сети, и ему подсовывают псевдо-инфраструктуру, а в честной внутренней сети про это никто не подозревает?

Нет не все, конечно.


Честно, я с трудом представляю, как все организовано у топикстартера. Харпин нат - это первое, что приходит в голову при прочтении. Понять, что будет с пакетами по двум-трем предложениям в первом посте невозможно.
По хорошему нужна схема. Подробное описание. И то не факт, что сможем помочь. Сложно это все удаленно делать.

Я бы этот внешний IP завел на микротик, а дальше рулил как мне надо. В таком случае и харпин нат легко решит проблему доступа из локальной сети по внешнему адресу. Но допускаю, что есть еще какие-то заморочки, которые не позволяют все это сделать.


Erik_U, ваше предложение выше с ДНС очень правильное, но это при условии, что можно еще и локальный адрес железке назначить и маршрут до нее прописать.