Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jarda Antoš 31. 03. 2014, 12:55:36
-
Zdravím,
měl bych dotaz, jestli by mi někdo nedokázal poradit s nastavením Mikrotiku RB1100AHx2. Přebral jsem síť po někom, kdo tu nenechal moc informací a já s Mikrotikama nemám žádné zkušenosti.
Mám 2 problémy.
1) Je teď důležitý, proto více konkrétní - Mám od poskytovatele drát s internetem, který vede do routeru na eth12 - má veřejnou IP a myslím, že je to ta, kterou mi vrací stránka whatismyip.com; pak je ale v mikrotiku zapsana verejna adresa serveru a prý ještě jedna verejna IP. Nemam potuchy, o ktera zarizeni jde. Ale jde mi o to, ze za Mikrotikem je na eth10 je pripojen router ZyXell (ZyWall USG 100) , coz je tady takova docela cerna dira. V ZyXellu je pripojena vnitrni sit na ktery jsou pocitace a treba i kamery. A muj dotaz je, jak udelat abych zadal verejnou IP adresu:port a vlezlo mi to na vnitrni IP adresu? Zkousel jsem navody na internetu na presmerovani pomoci NAT, ale zadny z techto navodu mi nefungoval.
Delal jsem chain:dstnat DSTaddress: verejna adresa firmy (tam jsem zkousel dat vsechny 3, co jsem myslel, ze mame); protocol: 6tcp; DST port:8020 (take jsem zkousel do ANYport zadat); (obcas jsem zkousel i pridat INT.interface: eth12); dale na zalozce Action jsem daval action dstnat a To address: Lokalni IP adresu zarizeni (z vnitrni site je kamera dostupna); obcas jsem zkusil dat i do ToPort: ten port 8020 i kdyz zarizeni je pristupne bez portu, pouze na IP adrese.
Poradil by mi nekdo, jak tohle udelat?
2) Tento dotaz je vice obecny. Jelikoz jsem prevzal sit s mikrotikem, ktera ma byt jako maly ISP potreboval bych poradit, protoze moc zkusenosti se sitema nemam, jak se toho chopit. Stav je takovy, ze mame mikrotik do ktereho vede internet, do mikrotiku je zapojen ZyWall na kterem je zbytek vnitrni site a pak jsou do mikrotiku pripojeny nejaky 3 anteny, kdy na kazdy bezi jeden clovek a ma internet a pak jeste 1 clovek pripojene primo kabelem do mikrotiku.
Muj dotaz je, jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem. Byl zde (resp. jeste bezi) na nejakym linux serveru program MikroBill, ale k tomu nemam vice udaju a webove prostredi mu nefunguje. Chtel bych co nejmene omezit stavajici lidi, ale nejakym zpusobem predelat sit, abych se v tom vic vyznal. Jde mi o to, ze ted vubec nevim, kam mam zapojit noveho cloveka a co mu nastavit, aby mu bezel internet. Zaroven bychom chteli pridavat vice novych lidi. Na mikrotiku je par eth dírek a my máme pro lidi nastavene 3 tarify ve kterých budou. Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak? Mohl by mi nekdo pomoci?
Děkuji predem za projevenou snahu a budu rad pokud mi nekdo poradi.
Jiste jste poznali i mou uroven, tak budu rad pokud budete shovívaví k memu dotazu. Dekuji.
S pozdravem,
Jaroslav Antos.
-
Jardo, nechci Vás urazit, ale není u vás (hádám ve firmě?) někdo, kdo se tímto opravdu zabývá? Přeci jen člověk, co těmto věcem nerozumí, může nakonec udělat ještě víc zmatků než v té síti teď je. Rozhodně bych trval na předání nějaké té dokumentace. Tak bych to asi dělal já.
Pro lepší pochopení by to chtělo vidět stávající pravidla firewallu na MK, strukturu sítě a tak dále. Na MK je asi nastaven shaping, omezování rychlostí a asi všechno. To byste si měl projít.
-
takze vlastne mas nieco co ani nevies co je, ale ides to nastavovat? Mikrotik vyzaduje iste znalosti, to nie je wifi router s instalaciou typu dalej a dokoncit.
Ak sa dobre vyznas do sieti, tak vtedy sa velmi rychlo naucis s nim pracovat, ak nie, tak ta caka tazka cesta.
Ak ste maly ISP, tak to tam nemate nikoho, kto sa do toho vyzna? priprav sa na pekny bordel na sieti, kde si deti zakaznikov urobia testovacie prostredie pre ich hackerske pokusy.
Byt tebou, necham to na niekoho, kto sa rozumie do sieti, usetris si vela nervov a telefonatov od nespokojnych zakaznikov, pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku (nie, nerobim si srandu, v predchadzajucej praci sa to stavalo).
-
pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku
ty vole to je jako co ta zakazana stranka :)
-
1) ... drát s internetem ... takova docela cerna dira...
No, vypada to ze tam mas dva NATy, jeden na mikrotiku, druhy na zyxelu, ale z tveho popisu to uplne neni poznat. Popis nam tu co presne mikrotik a zyxel dela. Mikrotik muze fungovat jako router, switch, vpn, firewall...
2) jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem.
Jestli tam mas malo lidi, tak kazdemu nastav Queue, viz http://wiki.mikrotik.com/wiki/Manual:Queue
Na mikrotiku je par eth dírek
Nazývejme to prosím např. "porty"..
Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak?
jj, dělá se to jinak. Každýmu userovi uděláš zvlášť frontu (garazove reseni) a nebo shapujes někde centrálně..
Mohl by mi nekdo pomoci?
určitě, myslím že se v CZ dělají celkem rozumná a levná školení mikrotiku i síťařiny.., zkus pogooglit.. Nechá se najmout i konzultant.
Mám 2 problémy.
Myslím, že máš ještě jeden problém. Doufám, že si z nás děláš trochu legraci, ale pokud se o tu síť budeš fakt starat se svojí stávající úrovní znalostí, nechtěl bych být v tvé kůži až se na tvé síti stane nějaký problém, nevím ani jak to dopadlo s tímto zákonem: http://www.lidovky.cz/chysta-se-bic-na-spravce-site-dgx-/veda.aspx?c=A081126_174639_ln-svet-techniky_poh
-
pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku
ty vole to je jako co ta zakazana stranka :)
stranka, kde je pedofilny obrazok napr. Sranda je, ze si ta sice zavolaju ohladom podania vysvetlenia, ale nemozu tu povedat adresu ten stranky, resp. obrazka. Ale mas im povedat kto tam bol. Je interne nejaka celosvetova db stranok, ktore obsahuju blacklistove adresy.
Kludne sa moze stat, ze sa ti tam pripoji na pozadi nejaky frame v stranke, alebo virus sa tam pripoji a mas problem.
-
Dobrý den,
předem bych chtěl poděkovat všem, kteří se pokouší pomoci. K časté otázce, bohužel to nemůžu nechat nikomu, kdo tomu více rozumí, ty lidé zde už nepracují a bohužel dokumentace od nich zůstala naprosto minimální. Já dostal příležitost tohle dělat a možnost se všechno naučit, což bych rád využil, jen nevím pořádně jak začít, proto jsem využil tohle fórum. Jen pro upřesnění. :)
1) ... drát s internetem ... takova docela cerna dira...
No, vypada to ze tam mas dva NATy, jeden na mikrotiku, druhy na zyxelu, ale z tveho popisu to uplne neni poznat. Popis nam tu co presne mikrotik a zyxel dela. Mikrotik muze fungovat jako router, switch, vpn, firewall...
ZyXell zde byl jako prvni a bezi na nem Firewall pravidla i NAT. Pak se pred nej pripojil Mikrotik, na kterem bezi take nejaka Firewall pravidla a i NAT.
2) jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem.
Jestli tam mas malo lidi, tak kazdemu nastav Queue, viz http://wiki.mikrotik.com/wiki/Manual:Queue
Lidi je tu opravdu malo asi 4, proto je moznost to vsechno relativne v klidu predelat a naucit se vsechny potrebene veci, nez se to bude rozjizdet ve vetsim. Podivam se tedy na tvoreni front, dekuji za odkaz.
Na mikrotiku je par eth dírek
Nazývejme to prosím např. "porty"..
Budu. :) Jen me osobne prijde trochu matouci ze jednou je port zdirka na routeru a jednou je to rozlišovadlo v adresách.
Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak?
jj, dělá se to jinak. Každýmu userovi uděláš zvlášť frontu (garazove reseni) a nebo shapujes někde centrálně..
Jak je myšleno, že "shapuju někde centrálně"? Mohl byste vysvětlit co je tím myšleno, popřípadě mě někam nasměrovat?
Mohl by mi nekdo pomoci?
určitě, myslím že se v CZ dělají celkem rozumná a levná školení mikrotiku i síťařiny.., zkus pogooglit.. Nechá se najmout i konzultant.
Školení jako takové teď moc nepřipadá v úvahu, na to mě zde upozornili rovnou, že mi teď školení nikdo platit nebude a musím se tím prokousat sám. Proto jsem taky myslel pomoc tady od lidí na fóru.
Mám 2 problémy.
Myslím, že máš ještě jeden problém. Doufám, že si z nás děláš trochu legraci, ale pokud se o tu síť budeš fakt starat se svojí stávající úrovní znalostí, nechtěl bych být v tvé kůži až se na tvé síti stane nějaký problém, nevím ani jak to dopadlo s tímto zákonem: http://www.lidovky.cz/chysta-se-bic-na-spravce-site-dgx-/veda.aspx?c=A081126_174639_ln-svet-techniky_poh
Aha, tak vidím, že mě čeká ještě víc učení než jsem si myslel.
Každopádně, jak jsem psal. Dostal jsem pracovní příležitost a chci ji využít. Takže se rád budu učit novým věcem. Jinak to ani nepůjde. A všem vám moc děkuji za pomoc. A podporu. :) Čekal jsem, že se do mě pár lidí trochu naveze, ale jako motivace je to dobrý. :)
-
No... uh... juj... tak nevím, buď na tom Mikrotiku zkus zprovoznit nějaký WRT, nebo to vyhoď a pořiď si něco, kam se dá dát klikadlo typu pfSense/m0n0wall apod. A rozhodně bych zlikvidoval ten dvojitej NAT. ::)
-
Teď se do mě všichni pustí, ale zkuste mi prosím ligickými argumenty vyvrátit, že by na tom místě měl být někdo jiný.
Nevím čím je pán vyučen, ale pokud je například pekař, tím že zastává tuto pozici:
-svět přichází o dobré pečivo
- někdo kdo se naučil něco o IT přichází o své místo
- někdo (třeba já nebo vy) může a časem také bude bez internetu
Má tohle cenu? Proč firma nepřiplatí pár tisíc a nedosadí na pozici někoho, kdo ví co dělá?
-
Jardo, nechci Vás urazit, ale není u vás (hádám ve firmě?) někdo, kdo se tímto opravdu zabývá? Přeci jen člověk, co těmto věcem nerozumí, může nakonec udělat ještě víc zmatků než v té síti teď je. Rozhodně bych trval na předání nějaké té dokumentace. Tak bych to asi dělal já.
Pro lepší pochopení by to chtělo vidět stávající pravidla firewallu na MK, strukturu sítě a tak dále. Na MK je asi nastaven shaping, omezování rychlostí a asi všechno. To byste si měl projít.
Děkuji za odpověď. Jak jsem psal níže, bohužel zde ve firmě nikdo jiný není. Takže je to na mě a já se tím musím prokousat. :) Rozhodl jsem se připravit obrázek, pro lepší komunikaci, takže struktura sítě je asi takováto:
(http://www.imgup.cz/image/BH3)
Zde je nahraný obrázek:http://www.imgup.cz/image/BH3
-
Teď se do mě všichni pustí, ale zkuste mi prosím ligickými argumenty vyvrátit, že by na tom místě měl být někdo jiný.
Nevím čím je pán vyučen, ale pokud je například pekař, tím že zastává tuto pozici:
-svět přichází o dobré pečivo
- někdo kdo se naučil něco o IT přichází o své místo
- někdo (třeba já nebo vy) může a časem také bude bez internetu
Má tohle cenu? Proč firma nepřiplatí pár tisíc a nedosadí na pozici někoho, kdo ví co dělá?
Mozna o IT neco vim, ale ne tak dobre v tehle oblasti. Rikam, ucim se. Radsi ocenim nejakou pomoc od nekoho zkuseneho, kdo rekne, jak by mi doporucil zacit. K te druhe otazce to tak je. Nehledam konkretni odpoved, ale spis postup.
Děkuji.
-
Ještě bych chtěl doplnit pár informací:
Predelavkou site jsem nemyslel asi to, co jsi mel na mysli ty. Spis se jednalo o to, jak spravne nastavit NATy na zarizenich a jestli nebude lepsi pridat switche pro kazdy tarif, ktery si vytvorime nez abysme je vsechny pripojovali do mikrotiku, kde je min portu - to prave nevim, jak se dela. To o nastudovani je mi jasny, je to asi dlouha cesta, ale byl bych rad, kdyby mi nekdo pomohl me nejakym zpusobem smerovat. Jakoze mit za sebou 2 NATY je uplna blbost jsem ted zjistil a za info jsem rad. Ale mam ten NAT mit na mikrotiku na zacatku nebo ho mit na ZyXelu? Potreboval bych nakopavat takovym smerem, popripade pridat par informaci. Ja si rad ostatni dohledam, ale sam ted vidim, ze bez pomoci na to stacit nebudu nebo mi to zabere milionkrat vic casu a budu hodne chybovat, coz si muzu dovolit, ale ne v tak velke mire. Preci jen na tom uz nekdo bezi.
Kazdopadne dekuji za vsechny reakce. :)
-
Obrázek je dobrý základ. Teď bych si do něj začal z konfigurace připosovat IP adresy, případně které porty v tom routeru tvoří dohromady na jednom portu bridge, ..., co se podaří zjistit.
Ohledně té zmínky o MikroBill, to je právě nástroj na nastavování a řízení toho Mikrotiku. Pro 4 uživatele kanón na vrabce, ale je to do 100 uživatelů zdarma. Takže pozor na zásahy do konfigurace toho RB1100AHx2 ručně, MikroBillovi se to nemusí líbit nebo to zase přeplácne. Ale je otázka, v jakém je stavu. Ten by právě měl řešit to omeování rychlostí, účtování dat, ...
Dva NATy za sebou je v ČR dneska naprosto běžná konfigurace pro koncové uživatele (jedne NAT na úrovní ISP - CGN, to ti dělá oto RBčko, druhý koncový router uživatele). Jak jsi zjistil, že ten firemní Zyxel je přes NAT v tom RB? Může a nemusí, to záleží na nastavení. Pokud se dokážeš dostat do jeho webmanagemenetu, tka to dle nastavené IP na WAN straně asi zjistíš rychle.
Přidávat switch bych dělal, až ti nebudou stačit porty v tom RBčku. Fakticky prvních deset portů jsou dva pětiportové switche (ale v defaultu se tvářící jako samostanté ethernet porty).
Jinak ISPíků, kde to dělá někdo, kdo o tom absolutně netuší, neumí to, těch znám celkem řádku a nevypadá to, že by krachovali. :-)
-
Jo, já tomu věřím, proto řeším druhým rokem problémy s připojením a zvažuji zavedení poštovních holubů... To ale není důkazem toho, že je to ok stav.
-
Na mikrotiku je par eth dírek
Nazývejme to prosím např. "porty"..
Budu. :) Jen me osobne prijde trochu matouci ze jednou je port zdirka na routeru a jednou je to rozlišovadlo v adresách.
Ahoj, pokud ti tohle příjde matoucí, tak ti doporučím nastudovat si (aspoň teoreticky) 7 vrstvý ISO/OSI model nebo aspoň ten 4 vrstvý TCP/IP, ať víš, jak data protékají od aplikací, přes routery a switche a nakonec sou z nich 1 a 0 (já vím, moc sem to zjednodušil), tady máš ukázku z reálného života:
http://www.smartgridoregon.org/Resources/Pictures/4_valentine-example.jpg
(chybí tam příměr na relační vrstvu)
Každopádně, být tebou, tak se zatím v nastavení Mikrotiku nehrabu (promiň, že to řeknu takhle natvrdo, ale v síťařině máš, aspoň podle toho, co si tady napsal, hluboké mezery, začni tím ZyWallem, oproti Mikrotiku je naprosto primitivní. Na Mikrotik máš demo stránku, kde si jej můžeš osahat:
http://demo.mt.lv/webfig/
Ještě jedna poznámka: sou věci, na které ti stačí přečíst si "pár" knih/článků/návodů (typicky vše ve WIndows, i když takové DFSR není až tak jednoduché, jak se zdá), a sou věci, na které potřebuješ mentora (typicky IOS od Cisca, je možné, že se najdou geniové, kteří se jej naučí sami, ale je to fakt náročné). Mikrotik je někde uprostřed, něco jde udělat intuitivně, něco je naopak bez vysvětlení a názorné ukázky téměř nemožné (ale opět se můžou najít géniové, kteří to zvládnou sami). A pokud tě nebude někdo aspoň trochu usměrňovat, tak si fakt nejsem jistý, zda je to dobrá pozice pro tebe. (možná se mýlím).
No dobře - druhá poznámka (do budoucna): Pokud nemáš na tom ZyWallu placené služby, tak je to v podstatě obyčejný router a firewall (je trochu lepší než ty SOHO krabičky, ale bez například VPN concatenatoru - to je hnusné slovo, ani nevím, zda se to tak jmenuje, nebo antiviru či jiných funkcí mi to příjde jako zbytečný luxus, a pokud to jen půjde, nahraď jej tím Mikrotikem).
-
Ahoj, navrhuju nasledujici reseni jak se mikrotik naucit a pote problem vyresit:
1) nainstaluj si virtualbox
2) vytvor si vm s dostatkem portu a nainstaluj do nich routerOS
3) vytvor si 1-2 vm s tvym oblibenym operacnim systemem pro simulaci klientu
4) ve virtualboxu to prodratuj tak aby routerOS videl jednim portem do ethernetu a ostatni porty do host-only site s "klienty"
v pripravenem lab prostredi si vyzkousej:
5) zprovoznit sit mezi klienty
6) zprovoznit maskaradu z klientu do Internetu
ted uz budes mit alespon trochu tucha ktera bije, takze
7) si vyzkousej nastavit pokrocilejsi dnat a srcnat pravidla
8 ) muzes si zacit hrat s queue a pokrocilejsimi vecmi
Na tve soucasne urovni je dotaz ktery jsi polozil pro tebe neresitelny.
I zkusenemu sitari by reimplementace shapovani a analyza stavajiciho (produkcniho) prostredi trvala radove hodiny. Asi si dokazes predstavit jak dlouho by to trvalo pokud bychom to resili s tebou pres forum - a to bychom jeste narazeli na neznalosti typu rozdily mezi portem a dirkou, L3 a L4, atd - proste nemuzeme delat za tebe tvoji praci. Co ti muzeme pomoct, je pomoct ti s ucenim, kdyz se nekde zaseknes. Ale nastudovat si to nakonec budes muset stejne sam.
Doporucuju Mikrotik wiki - je tam skoro vsechno..
-
kdo tomu více rozumí, ty lidé zde už nepracují
Pokud firmu opouští lidé kteří něco umí, tak asi měli nějaký důvod.
Dej si pozor, evidentně u vás asi něco není v pořádku.
Jak je myšleno, že "shapuju někde centrálně"? Mohl byste vysvětlit co je tím myšleno, popřípadě mě někam nasměrovat?
No časem, jako ISP budeš mít mikrotiků víc, na každém z nich bude hodně userů a CPU na AP nebude stíhat..
Pak shapování (ořezávání rychlosti) budeš dělat na nějakém dedikovaném boxu.
Čekal jsem, že se do mě pár lidí trochu naveze
No, nevím jak ti to lépe (=ne IT příměrem) připodobnit.. Jsi v situaci zednického učně v prváku který má potíže rozeznat beton od malty, ale přes fórum řeší jak postavit bytový dům.. Je pak celkem těžké nevidět přehnanou ambicioznost.., tak holt ruzni lide na to reaguji ruzne :)
-
Díky za inspiraci. Byl opravdu dobrý nápad vytvořit si virtuální prostředí a na něm testovat různé funkčnosti. To bylo přesně to, co jsem potřeboval. S něčím si hrát a přitom nic nerozbít. :D
Mám ale dotaz, protože mi stále jedna věc, kterou potřebuji nejde. Stále se mi nepodařilo zprovoznit NAT do vnitřní sítě na kamery. Jde o to, že mám tedy veřejnou IP. A vnitřní IP kamery, kterou když zadám do IE, tak se mi spustí webové prostředí pro ovládání té kamery. Chtěl jsem udělat to, že zadám do webového prohlížeče veřejnáIP:nějaký volný port - a přesměruje mě to na lokální adresu kamery.
Na mikrotiku jsem si vytvořil tyto pravidla:
ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.112 protocol=tcp dst-address=veřejnáIP in-interface=ether12 dst-port=8020
ip firewall nat add chain=srcnat action=src-nat to-addresses=93.99.5.66 src-address=192.168.2.112
A obe pravidla mam pred masquaradou.
Mohli byste mi poradit? Děkuju. :)
-
A naslouchá ta kamera na portu 8020? Nebo chceš udělat toto veřejka:8020 -> local:80?
-
To druhé. Veřejná adresa:8020 - vniřní:80.
Ale ty pravdila jsem zkusil i ted zmenit, resp. to prvni na toto:
ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.112 to-ports=80 protocol=tcp dst-address=93.99.5.66 in-interface=ether12 dst-port=8020
se stejnym vysledkem.
-
Na eth12 je ta veřejka? Co zbytek firewallu (filter), nemáš tam něco co zakazuje forward?
-
Presne tak eth12 je verejna a ted jsem si udelal, ze jsem na FW povolil na chvili uplne vsechno. Stejne to neproslo.
-
A kudy přichází ten provoz, který chceš natovat?
Na jakém interface je ta veřejná IP je úplně jedno, dokonce v řadě případů nemusí být vůbec na nějakém iface. Ale ten zápis in-interface=ether12 ti říká, že se uplatní pouze a jen na spojení, které do routeru fyzicky doteče přes ether12. Pokud přijde odkudkoliv jinudy, neuplatní se.
-
Tady je klikátko, do 100 klientů zdarma:
http://www.ispadmin.eu/cz/
-
Provoz přichází na tom eth12, no. Vyndal jsem to, ale zadna zmena.
Na ISP admina bych potreboval server. A slo by tam nastavit NATovani? Ale radsi bych to vyresil primo na mikrotiku. Nechci na to dalsi soft.
-
Psal jsi na začátku, že tam máš Mikrobill, to je konkureční produkt k ISPadminovi. :-)
Add kamera, podíval bych se, zda v nastavneíkamery nemáš omezení odkud se dá připojit/ovládat.
Dále po pokusu o spojneí se dívej do MKčka na
/ip firewall nat print stats
Měl by jsi vidět, zda se dané pravidlo snaží použít, měl by oupnout počet packets o 1 u daného pravidla.
To vidíš přípdně i ve winboxu přímo interaktivně. Pokud stoupne při pokusu o připojneí zvenčí, tak NAT bude ais OK, pak bych hledal dál (musí být povolen i forward spojení ve filter části).
Dále máš nástroj torch ve winoxu. Tím s emúžeš dívat na interface ether12, zapnout jej na něj, dát čas agregace aspoň munutu, zapnout chytání protokolů/portů a při pokusu musíš prvně vidět, zda na ether12 dojde žádost o spojení. Pokud ano, pak by měl se projevit to nat pravdlo. Následně můžeš torchem koukat ina interface přes který jde spojení dál k té kameře, zda odchází paket se změnněnou cílovou adresou/portem.
-
Jj, psal. Bohuzel ten Software neni instalovany odeme a je s nim nejaky problem, momentalne je odpojeny a nebudo ho chtit zprovozovat v blizke dobe a rad bych se ted ze zacatku vyhnul nejakym takovym softwarum. Chtel bych si vsechno nastavit sam. :)
Jinak, dekuji za snahu pomoci. ;)
Udělal jsem vsechny ty pokusy. Zkontroloval jsem nastaveni kamery, ale nic co by omezovalo nejak pristup jsem nenasel.
Prikladam zakladni nastaveni kamery: http://www.imgup.cz/image/CkU (http://www.imgup.cz/image/CkU)
A take prikladam data z winboxu. Delal jsem si statistiku a vypada to, ze jedno pravidlo to akceptuje, ale pak vubec netusim, jak to pokracuje dal, vypada to, ze se to tam zastavi.
Prikladam taky obrazek - nahore je ip firewall nat print stats a dole ten torch na port 8020
http://www.imgup.cz/image/CkJ (http://www.imgup.cz/image/CkJ)
A opravdu děkuji za snahu. :)
-
Jo, souhlasím, že v malém je lepší si to klikat sám ručně, až se to nabalí a budu i vědět jak to funguje, tak na topustit nějakého molocha..
Tekže ten dstnat se uplatní OK. Ten srcnat v druhém řádku ne, a to je doře. Ten by se uplatnil v případě, že by kamera navazovala sama aktivně spojení směrem ven (např posílání mailu při njaké události nebo upload obrázků někam na FTP server, ...). Při příchozím spojení na kameru to přeloží ten dstnat a i správně vám vrátí pakety přo průchodu zpět.
Pokud ten obrázek ukazuje aktuální nastavení kamery, tak je problém v kameře. Chybí ti tam defualt router. Bez jeho nastavne kamera nedokáže poslat paket mimo svůj lokální segment, proto ti to z lokálu jede, pokud máš IP v prohlížečí z toho segmentu 192.168.2.
Předpoládám, že ten RB1100AHx2 je router přímo připojený k tomu segmentu 192.168.2. a má z něj nějakou IP, tka tuje třeba nastavit jako ten defualt router v kameře.
-
Jj, uz tady nekdo psal, ze je to zbytecne kanon na vrabce. A jelikoz se v tom chci vyznat, myslim, ze tohle mi pomuze vic nez kdybych na to pouzival klikatko. :)
Udelal jsem obrazek, jaka je cesta siti k te kamere:
http://www.imgup.cz/image/Ck6 (http://www.imgup.cz/image/Ck6)
Z internetu je vstup do mikrotiku, z nej je jeden port naveden do FW ZyXel, z nej do switche a z nej do te kamery tepr.
Omlouvam se, ze tohle pisu az ted. :/
Takze prikladam i obrazek nastaveni FW.
http://www.imgup.cz/image/Cka (http://www.imgup.cz/image/Cka)
V NATu Firewallu jsem zakazal natovani te kamery, aby nebyly 2 naty za sebou. Ve Firewallu je vsechno povoleno, co by melo byt potreba.
S tim nastavenim default routeru na kamere jsem tedy zkousel zadat 10.0.0.1 i 10.0.0.2 i 192.168.2.1 - nic z toho mi pripojeni nezprovoznilo.
Děkuju.
-
Kamera jako bránu má mít ten Zyxel, takže 192.168.2.1.
Dále se to komplikuje. Prvně, pokud se v RB udělá NAT na tu 192.168.2.112, tak v RB musí být i nastavena routa, že segment 192.168.2.0/24 je dostupný přes 10.0.0.2 ( /ip route add dst-address=192.168.2.0/24 gateway=10.0.0.2 ). Druhá věc je, že v tom Zyxel musí být ve firewallu nastaveno, že to spojneí na 192.168.2.112 port 80 má propustit dovnitř.
Další možnost je, že v RB se udělá dst-nat na adresu 10.0.0.2 port 8020 a další NAT se nastaví v Zyxelu, který spojení na 10.0.0.2:8020 přenatuje na 192.168.2.112:80.
Jspu pak i další možnosit, záleží, co dokážeš v tom Zyxu umlátit. Já bych se snažil o to, odstat přímo tu veřejnou IP na WAN port Zyxelu a řešit to jen v něm. :-)
-
Zdravím, po delší době.
Chtěl bych poděkovat, řešení funguje. Udělal jsem 2 NATy, jeden na mikrotiku (veřejná adresa:8020->10.0.0.2:8020), který vedl na ZyXel a ten druhý tedy na ZyXelu (10.0.0.2:8020->192.168.2.112:80) a vše běží.
Takže ještě jednou mockrát děkuju. :)