Mikrotik RouterBoard 750G

Hálózati eszközök

Sziasztok

Az alábbi problémával nézek szembe és nem tudok rájönni a megoldásra.

Adott egy Mikrotik RB750G ami megoszt egy fix-ip-s netet kifelé korlát nélkül. A belső hálón található 2 ip-kamera (is), melyeknek a képe be van linkelve egy weboldalba és a port forwardnak köszönhetően megfelelően látszik kivülről. Viszont a belső hálóról nem jönnek be a kamera képek, mivel a cam1.akarmi.hu a Mikrotik külső if-re mutat.

Milyen tűzfalszabályt kell ahhoz létrehoznom, hogy a belső hálóról is működjenek a kamera képei?

Előre is köszönöm

  • 6931 megtekintés

( zsotya v | 2010. 12. 16., cs – 15:56 )

Szia,

Lehet csak felreertettem valait de ez nem magyarazat a hibara: "mivel a cam1.akarmi.hu a Mikrotik külső if-re mutat."

Esetleg leirnad a ipconfigod, routeconfigod, interfaceconfigod es esetleg ha nincs benne sokminden a fw beallitasid?

a belső hálózat 192.168.1.x/24

cam 1 .101
cam 2 .102

weboldal hivatkozas
akarmi.hu:9980 --> 101:80
akarmi.hu 9981 --> 102:80

port fw-megy kivülről

belülről viszont várakozik a bongésző akarmi.hu:9980 es akarmi.hu:9981-re

ha gondolod feltöltöm pontosan a tuzfal szabalyokat

Üdv

( freeoli v | 2010. 12. 16., cs – 16:16 )

tedd a kamerákat dmz-be, vagy route vagy port forvard vagy rip

( gigalomania v | 2010. 12. 16., cs – 20:14 )

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; MASQ internet
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=ether1-gateway
1 ;;; CAM1 port fw
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=9981 protocol=tcp in-interface=ether1-gateway dst-port=9981
2 ;;; CAM2 port fw
chain=dstnat action=dst-nat to-addresses=192.168.1.102 to-ports=9982 protocol=tcp in-interface=ether1-gateway dst-port=9982

/ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; Intranet alias
192.168.1.254/24 192.168.1.0 192.168.1.255 ether2-local-master
1 D 83.215.63.x/21 83.215.56.0 83.215.63.255 ether1-gateway

( csabka v | 2010. 12. 20., h – 15:02 )

lehet hülye ötlet, de mi lenne, ha szimplán a lokál dns cache-be felvennéd a belső ip-t :-)
name: cam1.akarmi.hu address: 192.168.1.101
name: cam1.akarmi.hu address: 192.168.1.102

aztán annyi... amúgy annó nekem is kellett volna, de aztán nem foglalkoztam vele... bár lehet megcsináltam... de nem emlékszem.

( hawk | 2010. 12. 20., h – 15:25 )

Az egyik megoldás, hogy a cam1.akarmi.hu-t felveszed a mikrotik DNS részébe a belső hálózatos IP címmel pl.

( hackac | 2010. 12. 20., h – 15:27 )

Mi is a belső DNS-ből belső címekkel szolgáljuk ki, így megy csont nélkül.

( TuXzA | 2010. 12. 20., h – 15:56 )

A belső hálózatbol csinálsz egy dst natot a külső IP-re és átirányitod a belso IP re.

Nem igazán jó megoldás!

no-ip-s ddns rá van lőve a wan címre, de a belső hálóról nem akarok egy laptopra 2 féle elérhetőséget...

Ha a belső hálóról kell elérni a 2 szerver közül valamelyiket az oké,
de ha magát a router-t kell elérni nah akkor van a gond... (pptp, ntp, etc...)

Oykawa

Köszi ez jól néz ki!

pl.:
add chain=dstnat dst-address=37.191.17.11 protocol=tcp dst-port=80 action=dst-nat to-address=10.0.0.253 to-ports=80
add chain=srcnat src-address=10.0.0.0/24 dst-address=10.0.0.253 protocol=tcp dst-port=80 out-interface=bridge-local action=masquerade

És ha változik az public ip address (dst-address) akkor meg írhatom át?
Vagy akkor a dst-address helyett használhatom az in-interface=ether1-gateway -t??
Oykawa

Úgy mégsem megy... -.-

chain=dstnat action=dst-nat to-addresses=10.0.0.253 to-ports=80 protocol=tcp in-interface=ether1-gateway dst-port=80
chain=srcnat action=masquerade protocol=tcp src-address=10.0.0.0/24 dst-address=10.0.0.253 out-interface=bridge-local dst-port=80

csak így:
chain=dstnat action=dst-nat to-addresses=10.0.0.253 to-ports=80 protocol=tcp dst-address=37.191.17.11 dst-port=80
chain=srcnat action=masquerade protocol=tcp src-address=10.0.0.0/24 dst-address=10.0.0.253 out-interface=bridge-local dst-port=80

De nem tudom miért...

Oykawa