Registrován: 18.12.2010
Příspěvků: 4

Mikrotik - routování

Příspěvek č. 1

Dobrý den, mám Mikrotik RB433H. Mám ho zapojen tak, že jeden port je WAN a pak mám wifi, a 2 x LAN. Wifi má jiný adresní rozsah, LAN1 jiný a LAN2 jiný.
Mám nastavené přesměrování portů na 1 PC v síti LAN1. Konkrétně se jedná o kamery, kde koukám na webové rozhraní na portu 5500. Na WAN mám veřejnou IP. Problém je v tom, že pokud se připojím k internetu z jiného připojení a chci se podívat na kamery, přesměrování funguje, ale pokud to zkusím buď ze sítě LAN2 či wifi tak mi to nejde. Můžete mi někdo poradit, kde by mohl být problém?

Registrován: 04.12.2002
Příspěvků: 543

s takovýmhle popisem asi dost těžko někdo poradí ...

V rámci jednoho routeru žádné přesměrování nenastavuješ. To jsou jeho rozhraní, jeho segmenty. Funguje tak z principu samo. Pokud tedy nemáš vypnutý forwarding jako takový - jenže to snad ani na MK nevypneš a kdybys to měl vypnutý, tak ti nejede ani internet.

__________________

Registrován: 18.12.2010
Příspěvků: 4

diky, za zpravu. Jinak mam celkem 4 interface Eth0, Eth1 Eth2 a wlan.
Adresy mam prirazeny následovně Eth0 192.168.168.1/24
Eth1 83.69.35.134/24, Eth2 192.168.167.1/24 a wlan 10.0.0.1/24.
Na Eth2 a wlan mám nastavený DHCP server, ale to neni podstatne.
Interface Eth1 je Wan, ve Firewall - NAT - action: masquerade chain:srcnat out. interface: Eht1.
Dále pak mám ve Firewall - NAT - action: dstnat - dst. adress 83.69.35.134 - protocol: TCP - Dst. Port: 5500 - to adresses: 192.168.168.233 - to ports: 5500.

Vice nastaveno nemam, internet funguje ze všech interfaců, ale když do prohlížeče zadám adresu 83.69.35.134:5500 vyhodí mi to, že vypršel časový limit. Když koukám na to pravidlo s forvardingem pomocí winboxu, je vidět, že tam pakety nějaké prochází, ale vypadá to, že se už nevrátí tam kam mají. Pokud se ale přípojím jiným připojení k internetu, tak se na ty kamery dostanu bez problému.

Registrován: 30.08.2008
Příspěvků: 35

Zkus přidat tyhle dvě pravidla, doufám že jsem je dobře upravil na Tvou situaci:

add action=src-nat chain=srcnat comment="" disabled=no dst-address=192.168.168.233 src-address=192.168.0.0/16 to-addresses=192.168.167.1 to-ports=0-65535

add action=src-nat chain=srcnat comment="" disabled=no dst-address=192.168.168.233 src-address=10.0.0.0/24 to-addresses=10.0.0.1 to-ports=0-65535

Registrován: 22.12.2002
Příspěvků: 227

Mas na vsech bodech, VCETNE kamery, nastaveny onen mikrotik jako default gateway?

__________________

Registrován: 04.12.2002
Příspěvků: 543

že to vůbec řešíš. Jsi-li mimo domov, použij veřejnou IP. Jsi-li doma, tak 192.168.... A máš po problému.

__________________

Registrován: 18.12.2010
Příspěvků: 4

Jo, jo gw mám nastavený všude. Ty pravidla jsem zkusil přidat, ale jaksi přes ně nic nechodí. Připadá mi, že pokud se připojím na wlan tj. na síť 10.0.0.0/24 a zadám 83.69.35.134:5500 tak mi přes to pravidlo dst-nat pakety prochází na adresu 192.168.168.233:5500, ale nevrací se zpět, ale putují ven přes wan.
Jinak, řeším to proto, že v síti 192.168.168.0/24 jsou kromě PC s kamerama připojeny další PC + netdisk s datama a nechci aby byly přístupny ze sítě 10.0.0.0/24 ani z ostatních.
A když se pohybuju po firmě a mám k dispozici wlan, tak se přeci nebudu připojovat fyzicky někde k ethernetu kabelem či přes mobilní připojení t-mobile - to využívám pro přístup, když jsem mimo firmu. Jinak pokud se připojím do sítě 192.168.168.0/24 tak samozřejmě mi ty kamery fungují.

Registrován: 22.12.2002
Příspěvků: 227

Tak jeste napis, jak je zajisteno, aby se z 10.0.0.0/8 nedalo dostat do 192.168.0.0/24 a je-li to firewall, zkus to vypnout.

__________________

Registrován: 18.12.2010
Příspěvků: 4

no právě, že takové pravidlo tam není jak jsem již napsal v IP - Firewall je pouze nastaveno pravidlo s akcí masquerade pro out interface kde je veřejná IP

Registrován: 04.12.2002
Příspěvků: 543

__________________