MikroTIK NAT

 ( vlezlee | 2014. november 4., kedd - 22:11 )

Sziasztok, kis segítséget kérnék, nem tudom mikrotik specifikusan hogyan lehetne megoldani:

Adott egy mikrotik rb951:
ether1: kábelmodemtől kap dhcp-n publikus IP-t (dyndns.hu-nál van DDNS szolgáltatás)
ether2-5 bridge-elve 192.168.1.0/24 hálón, router ip-je: 192.168.1.1
van egy dvr a routeren, dst-nat szabályokkal kiforwardolva a 80-as 34579 és 34599-es portok.

Az egyetlen probléma, hogy a belső hálón levő gépekről a külső DNS-el hivatkozok, akkor nem lehet elérni a DVR-t. Kívülről minden tökéletesen működik.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

/ip firewall nat add disabled=no \
action=masquerade chain=srcnat comment="Nat HAIRPIN" \
dst-address=192.168.1.x src-address=192.168.1.0/24 to-addresses=192.168.1.x \
place-before=0

ahol 192.168.1.x=dvr címe

"belső hálón levő gépekről a külső DNS-el hivatkozok"
kérem pörgessen.

Sajnos sok helyen bele lehet futni ilyenbe.

Én konkrétan arra gondoltam, h a kommented nem válasz a kérdésre,
abból kiindulva, h teljesen máshogy oldottam meg.
Ha ez is megoldja, akkor elnézést, és én megyek pörgetni :-)

Lehet pörgetni, mert amit írtam szabályt az pont erre jó ;-)

Főnök bejön a telefonjával és nem megy a kamera képe ...

ráhibáztál :)

Üdv.
Gondoltam nem nyitok feleselegesen új topicot.
Szóval ezt a szabályt hogy tudom beültetni Mikrotik alá?
iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
A prerouting gondolom az src-nat, de action-ben nincs DROP lehetőség.
Előre is köszi a választ!

Van mangle tábla prerouting chain-nel...

ha beidézed a dst-nat szabályt amivel a forwardod csinálod, és végigmész rajta betűnkét, különösen tekintettel az interfész paraméterre, megérted.

segítek: dst-nat-ban in-interface=ether1 lesz.
a belülről kiküldött request melyik chainben kerül feldolgozásra?
és melyik interfészen érkezik?
ha létrehozol egy log szabály erre a portra, mindent meg fogsz érteni.

Hali,

Én ezt a problémát ez alapján a leírás alapján oldottam meg.

--

kincza

+1, így is kell :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

nem túl elegáns, de én ezt úgy oldottam meg, hogy a mikrotiken hozzáadtam a dns-be a dyndns címet, ami a belső címre mutat..

Nincs ezzel sem probléma (ezt split DNS-nek hívják), de ha nagyon sok címet, aldomaint, stb... kell ezen a módon kezelni, akkor nyűgös tud lenni. Ahol lehet ezért tértem (térek) át én is a Hairpin NAT használatára.
--

kincza

Cserébe ha kevés van akkor sokkal érthetőbb a split DNS és Mikrotik-en triviális statikus DNS bejegyzést írni. Ellentétben a NAT-al, amin 2 hónap múlva te vagy valaki más fogja vakarni a fejét 5 percig.

És a DNS regexp is pofonegyszerű (.*valami\.com). Nekem pl. a reklámszűrés is így megy a lakásban.

és ez a megoldás tökéletesen működik és pofonegyszerű :)

subs

A mikrotikben hozzáadni a dns-be a dyndns címet, ami belső ip-re mutat ->, ok, működik, de nem ez az igazi megoldás.

Ahogy a fentiekben írták, a problémára a megoldás a hairpin nat.
Részletes magyarázat : https://wiki.mikrotik.com/wiki/Hairpin_NAT.