Молба за помощ с връзка HAP AC^3 -> HAP AC Lite

[svetlinj1@abv.bg]

Здравейте, 

Начинаещ потребител на Микротици съм -  до сега освен "Quick setup" и NAT-ове гледайки видеа в YouTube, 

не съм се задълбавал и занимавал с други конфигурации , просто не ми е било необходимо , Хап-а си работи 

и няма грижи с него , НО ... проблема ми е следния :

На вилата инсталирах HAP AC^3-ка с карта на Теленор, щото там друг нет няма и надали ще има ... но пък има

мераклии да си "наберат" по нещо ... та  той дава dhcp-та 192.168.51.xx , към него са вързани две камери -

с IP-та 192.168.51.101 и 192.168.51.102  и туй то .

В къщи имам HAP AC Lite със статично IP, да кажем  84.45.145.145 , и 5 камери с NAT-нати портове да може да се гледат "от вън" ...

той дава dhcp-та 192.168.61.xx ;  HAP AC^3-ката се връзва чрез pptp VPN към HAP AC Lite успешно, но не успявам да пренасоча

двете камери да се виждат през статичното IP , както другите... пробвах разни NAT-ове и на двата рутера, но без успех ...

Предполагам , че решението е елементарно и просто, но не мога да се справя сам, за това моля за помощ и акъл как 

да го направя !

Благодаря предварително за всяка помощ !

Поздрави , 

Светлин

 

 

 

[ilko-gd]

На теб ти трябва site-to-site връзка между двете локални мрежи. Като вдигнеш PPTP тунела трябва да си добавиш във всеки рутер статични маршрути за локалните мрежи, които използват за Gateway PPTP връзката. С други думи в IP->Routes на рутера на вилата трябва да имаш маршрут, който да казва "за да стигнеш до 192.168.61.xx, използвай PPTP връзката". В рутера в къщи пък трябва да имаш маршрут, който да казва "за да стигнеш до 192.168.51.xx, използвай PPTP връзката". Така ще може да достъпваш устройствата от двете локални мрежи.

[svetlinj1@abv.bg]

Благодаря за съвета, настроих ги двата статични маршрута и сега се виждат и пингват устройствата от едната мрежа и другата !  Но продължавам с тъпите питания, не мога да пренасоча портовете на камерите от вилата през външното IP на домашния рутер, виждат се само във вътрешната мрежа на домашния рутер по виншно IP , което е странно , защото другите локални камери не се виждат във вътрешната мрежа когато се обръщам към тях по външното IP ...  нещо съм оплескал, но не схващам какво , ще се блъскам да видя ще го измисля ли защо така неграмотно съм го сътворил ...

Поздрави, 

Светлин

[ilko-gd]

Виж в IP->Firewall->NAT на домашният рутер първо. Там трябва да имаш само едно правило за source NAT, което да казва без да посочваш source, всичко което излиза от WAN интерфейса ти, да се прави masquerade. След него вече трябва да са ти destination NAT правилата, където посочваш in-interface отново WAN интерфейса, съответно външен порт и action трябва да ти е dst-nat to address и to ports (посочваш си ги).

В IP->Firewall трябва да имаш правило, което да разрешава dst-nat трафика в forward chain.

[svetlinj1@abv.bg]

Преди 13 часа, ilko-gd написа:

Виж в IP->Firewall->NAT на домашният рутер първо. Там трябва да имаш само едно правило за source NAT, което да казва без да посочваш source, всичко което излиза от WAN интерфейса ти, да се прави masquerade. След него вече трябва да са ти destination NAT правилата, където посочваш in-interface отново WAN интерфейса, съответно външен порт и action трябва да ти е dst-nat to address и to ports (посочваш си ги).

В IP->Firewall трябва да имаш правило, което да разрешава dst-nat трафика в forward chain.

Така, значи , добавих source NAT правило , destination NAT правилата за камерите са ОК според мен , правилото за dst-nat в forward chain , какъв е Action - > accept ?  

Във вътрешната мрежа си се виждат ОК, но по някаква причина през външното IP не ги "нат"-ва правилно и не се виждат , освен да изтрия правилата за тези две камери и да ги създам отново .  Нещо дребно бъркам , ще се ровя ...

 

[111111]

/ip fi nat export

това в терминала и резултата тук, че боба и лещата ще свършат преди да изгадаеме какви си натворил.

[JohnTRIVOLTA]

Нещата могат да се направят по няколко начина . Аз лично бих процедирал по следният начин:

1.Създавам бридж /с име пример brVPN/ на отдалеченият/клиент/ рутер с адрес от рейнджа на локалната мрежа на основният рутер /пример 192.168.51.254/.

2.Създавам PPP профили с избран в него основният бридж , който е лан и на отдалеченият, който създадохме brVPN и вдигаме BCP тунел по избор /пример pptp/ с тези профили в двете страни

3.Създаваме правила за DNAT в основният, като тези за отдалеченият рутер са с адрес 192.168.51.254 . На отдалеченият рутер се добавят DNAT правилa за пренасочване до тамошните камери в нея LAN . Респективн SNAT правила с необходимият сорс порт и адрес/51.254/ , които са над глобалното правило за SNAT !

[svetlinj1@abv.bg]

Преди 23 часа, 111111 написа:

/ip fi nat export

това в терминала и резултата тук, че боба и лещата ще свършат преди да изгадаеме какви си натворил.

Не ми се иска да поствам публично лог-а, въпреки че , от друга страна ... Вие като администратор ми виждате и IP-то и най-вероятно можете да си влезнете и изкарате каквото си искате ... та :

 

# model = RouterBOARD 952Ui-5ac2nD
/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1

add action=dst-nat chain=dstnat comment=xol dst-address=84.40.XXX.YYY dst-port=\
    37157 log=yes protocol=tcp src-port="" to-addresses=192.168.77.92 to-ports=\
    37157

add action=dst-nat chain=dstnat comment=PatulCam dst-address=84.40.XXX.YYY \
    dst-port=37159 protocol=tcp to-addresses=192.168.77.91 to-ports=37159

add action=dst-nat chain=dstnat comment=IPC_C15_GM dst-address=84.40.XXX.YYY \
    dst-port=37101 log=yes protocol=tcp to-addresses=192.168.71.111 to-ports=\
    37101

add action=dst-nat chain=dstnat comment=IPC_C46_GM dst-address=84.40.XXX.YYY \
    dst-port=37202 log=yes protocol=tcp to-addresses=192.168.71.109 to-ports=\
    37202

add action=dst-nat chain=dstnat comment=Webs disabled=yes dst-address=\
    84.40.XXX.YYY dst-port=80 log=yes protocol=tcp to-addresses=192.168.77.90 \
    to-ports=80

add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24

 

Зелените работят , червените не ...  колко двусмислено звучи  , както и да е , на кратко:

HAP AC3-ката прави VPN към HAP AC Lite-то "успешно"... резултата е , че ако съм в мрежата на HAP AC Lite и

се обърна към камерите на HAP AC3-ката с външното IP 84.40.XXX.YYY , те се отварят , но ако съм от

външна мрежа , няма връзка ... от друга страна , обръщане към собствените камери на Lite-то през външното IP

не работи във вътрешната мрежа, но от вънка си работи.... 

Има рутове от единия към другия и обратно , демек 192.168.71.0/24->VPN и 192.168.77.0/24->VPN

... трябва да направите секция "Микротик за малоумни" за такива като мен ....  

*NAT-ове на HAP AC3 няма правени никакви !

 

 

 

Преди 20 часа, JohnTRIVOLTA написа:

Нещата могат да се направят по няколко начина . Аз лично бих процедирал по следният начин:

1.Създавам бридж /с име пример brVPN/ на отдалеченият/клиент/ рутер с адрес от рейнджа на локалната мрежа на основният рутер /пример 192.168.51.254/.

2.Създавам PPP профили с избран в него основният бридж , който е лан и на отдалеченият, който създадохме brVPN и вдигаме BCP тунел по избор /пример pptp/ с тези профили в двете страни

3.Създаваме правила за DNAT в основният, като тези за отдалеченият рутер са с адрес 192.168.51.254 . На отдалеченият рутер се добавят DNAT правилa за пренасочване до тамошните камери в нея LAN . Респективн SNAT правила с необходимият сорс порт и адрес/51.254/ , които са над глобалното правило за SNAT !

Що-годе схванах идеята но ми идва малко сложничко на мен ...