Sziasztok, kis segítséget kérnék, nem tudom mikrotik specifikusan hogyan lehetne megoldani:
Adott egy mikrotik rb951:
ether1: kábelmodemtől kap dhcp-n publikus IP-t (dyndns.hu-nál van DDNS szolgáltatás)
ether2-5 bridge-elve 192.168.1.0/24 hálón, router ip-je: 192.168.1.1
van egy dvr a routeren, dst-nat szabályokkal kiforwardolva a 80-as 34579 és 34599-es portok.
Az egyetlen probléma, hogy a belső hálón levő gépekről a külső DNS-el hivatkozok, akkor nem lehet elérni a DVR-t. Kívülről minden tökéletesen működik.
- 6976 megtekintés
Hozzászólások
/ip firewall nat add disabled=no \
action=masquerade chain=srcnat comment="Nat HAIRPIN" \
dst-address=192.168.1.x src-address=192.168.1.0/24 to-addresses=192.168.1.x \
place-before=0
ahol 192.168.1.x=dvr címe
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Sajnos sok helyen bele lehet futni ilyenbe.
- A hozzászóláshoz be kell jelentkezni
Én konkrétan arra gondoltam, h a kommented nem válasz a kérdésre,
abból kiindulva, h teljesen máshogy oldottam meg.
Ha ez is megoldja, akkor elnézést, és én megyek pörgetni :-)
- A hozzászóláshoz be kell jelentkezni
Lehet pörgetni, mert amit írtam szabályt az pont erre jó ;-)
- A hozzászóláshoz be kell jelentkezni
Főnök bejön a telefonjával és nem megy a kamera képe ...
- A hozzászóláshoz be kell jelentkezni
ráhibáztál :)
- A hozzászóláshoz be kell jelentkezni
Üdv.
Gondoltam nem nyitok feleselegesen új topicot.
Szóval ezt a szabályt hogy tudom beültetni Mikrotik alá?
iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
A prerouting gondolom az src-nat, de action-ben nincs DROP lehetőség.
Előre is köszi a választ!
- A hozzászóláshoz be kell jelentkezni
Van mangle tábla prerouting chain-nel...
- A hozzászóláshoz be kell jelentkezni
ha beidézed a dst-nat szabályt amivel a forwardod csinálod, és végigmész rajta betűnkét, különösen tekintettel az interfész paraméterre, megérted.
segítek: dst-nat-ban in-interface=ether1 lesz.
a belülről kiküldött request melyik chainben kerül feldolgozásra?
és melyik interfészen érkezik?
ha létrehozol egy log szabály erre a portra, mindent meg fogsz érteni.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
+1, így is kell :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
nem túl elegáns, de én ezt úgy oldottam meg, hogy a mikrotiken hozzáadtam a dns-be a dyndns címet, ami a belső címre mutat..
- A hozzászóláshoz be kell jelentkezni
Nincs ezzel sem probléma (ezt split DNS-nek hívják), de ha nagyon sok címet, aldomaint, stb... kell ezen a módon kezelni, akkor nyűgös tud lenni. Ahol lehet ezért tértem (térek) át én is a Hairpin NAT használatára.
--
kincza
- A hozzászóláshoz be kell jelentkezni
Cserébe ha kevés van akkor sokkal érthetőbb a split DNS és Mikrotik-en triviális statikus DNS bejegyzést írni. Ellentétben a NAT-al, amin 2 hónap múlva te vagy valaki más fogja vakarni a fejét 5 percig.
- A hozzászóláshoz be kell jelentkezni
És a DNS regexp is pofonegyszerű (.*valami\.com). Nekem pl. a reklámszűrés is így megy a lakásban.
- A hozzászóláshoz be kell jelentkezni
és ez a megoldás tökéletesen működik és pofonegyszerű :)
- A hozzászóláshoz be kell jelentkezni
subs
- A hozzászóláshoz be kell jelentkezni
A mikrotikben hozzáadni a dns-be a dyndns címet, ami belső ip-re mutat ->, ok, működik, de nem ez az igazi megoldás.
Ahogy a fentiekben írták, a problémára a megoldás a hairpin nat.
Részletes magyarázat : https://wiki.mikrotik.com/wiki/Hairpin_NAT.
- A hozzászóláshoz be kell jelentkezni