Проброс видеорегистратора с одного машрутизатора на другой

RIP, OSFP, BGP, MPLS/VPLS
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Здравствуйте, есть 2 магрутизатора (маршрутизато А 192.168.1.0/24, и Б 10.1.23.1/24), маршрутизатор Б подключен к А и имеет адресс 192.168.1.54. В сети есть видеорегистратор 192.168.1.40. Как мне его засунуть в маршрутизатор Б. Чтобы там получить картинку. Оба Микротик.
То есть локально, без участия инета. Порты 80,8082,8091,2000
Использовал правила
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80,8082,8091,2000 in-interface=bridge1 \
protocol=tcp to-addresses=192.168.1.40
и
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.1.54 dst-port=80,8082,8091,2000 \
protocol=tcp to-addresses=192.168.1.40

Помогите кто чем может.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

Здравствуйте. Вообще при нормально настроенной маршрутизации у вас не должна быть проблемой доступность локальных ресурсов. Да и даже если маршрутизатор Б у вас маскарадит весь трафик к подсети А. Сделайте трассировку с клиента, на котором нет доступа, к 192.168.1.40.
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Chupaka писал(а): 04 апр 2021, 22:49 Здравствуйте. Вообще при нормально настроенной маршрутизации у вас не должна быть проблемой доступность локальных ресурсов. Да и даже если маршрутизатор Б у вас маскарадит весь трафик к подсети А. Сделайте трассировку с клиента, на котором нет доступа, к 192.168.1.40.
В принципи теоретически да, вы правы были. Вопрос был решен недавно.
Путем добавления на маршрутизаторе А маршрута до машрутизатора Б. Плюс добавления правила на маршрутизатор Б. Бился неделе 2, а так все просто. На одном форуме зависал, результата 0, потом осенило решил попробовать. Получилось.
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Chupaka писал(а): 04 апр 2021, 22:49 Здравствуйте. Вообще при нормально настроенной маршрутизации у вас не должна быть проблемой доступность локальных ресурсов. Да и даже если маршрутизатор Б у вас маскарадит весь трафик к подсети А. Сделайте трассировку с клиента, на котором нет доступа, к 192.168.1.40.
Вот что было в начале микротик Б

Код: Выделить всё

model = RB941-2nD
/interface bridge
add name=bridge1
add admin-mac=48:8F:5A:1B:0D:23 auto-mac=no comment=defconf name=bridge2
/interface ovpn-client
add add-default-route=yes certificate=cert_export_client023.crt_0 connect-to=\
ovpn.vision33.ru mac-address=FE:7A:52:FA:0B:2B name=ovpn-out1 password=\
pass023 port=27272 user=client023
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity="" \
wpa2-pre-shared-key=333222111
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-XX country=no_country_set disabled=no distance=indoors \
frequency=auto frequency-mode=manual-txpower installation=indoor mode=\
ap-bridge security-profile=profile1 ssid=SomeAP wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=10.1.23.10-10.1.23.100
/ip dhcp-server
add address-pool=default-dhcp interface=bridge2 name=defconf
add address-pool=dhcp_pool1 disabled=no interface=bridge2 lease-time=4d4h \
name=dhcp1
/system logging action
set 0 memory-lines=1
/interface bridge port
add bridge=bridge2 comment=defconf interface=pwr-line1
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether1
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
/ip firewall connection tracking
set enabled=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge2 list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf disabled=yes interface=bridge2 \
network=192.168.88.0
add address=10.1.23.1/24 interface=bridge2 network=10.1.23.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
add default-route-distance=10 dhcp-options=hostname,clientid disabled=no \
interface=bridge1
/ip dhcp-server lease
add address=10.1.23.99 client-id=1:0:18:7b:f4:94:4b mac-address=\
00:18:7B:F4:94:4B server=dhcp1
add address=10.1.23.98 client-id=1:0:1d:7d:c:fe:6a mac-address=\
00:1D:7D:0C:FE:6A server=dhcp1
/ip dhcp-server network
add address=10.1.23.0/24 dns-server=10.1.23.1 gateway=10.1.23.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat out-interface=bridge1
/ip route
add distance=1 gateway=ovpn-out1
add distance=1 gateway=ovpn-out1
/ip upnp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=client023
/system ntp client
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Вот что стало с микротиком Б (камеры видно, поток получает, видеорегистратор добавляет камеры по IP)

Код: Выделить всё

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=10.1.23.10-10.1.23.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=bridge2 \
    lease-time=4d4h name=dhcp1
/ip address
add address=192.168.88.1/24 comment=defconf disabled=yes interface=bridge2 \
    network=192.168.88.0
add address=10.1.23.1/24 interface=bridge2 network=10.1.23.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
add default-route-distance=10 dhcp-options=hostname,clientid disabled=no \
    interface=bridge1
/ip dhcp-server lease
add address=10.1.23.100 client-id=1:50:3e:aa:bb:64:ad mac-address=\
    50:3E:AA:BB:64:AD server=dhcp1
add address=10.1.23.99 client-id=1:0:18:7b:f4:94:4b mac-address=\
    00:18:7B:F4:94:4B server=dhcp1
add address=10.1.23.97 client-id=1:0:1d:7d:c:fe:6a mac-address=\
    00:1D:7D:0C:FE:6A server=dhcp1
/ip dhcp-server network
add address=10.1.23.0/24 dns-server=10.1.23.1,192.168.1.1 gateway=10.1.23.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall connection tracking
set enabled=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip firewall filter
add action=accept chain=forward disabled=yes - правило не активно
add action=accept chain=input disabled=yes - правило не активно
add action=accept chain=output disabled=yes - правило не активно
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat disabled=yes - правило не активно
add action=masquerade chain=srcnat comment="\CF\EE\EB\F3\F7\E5\ED\E8\E5 \EF\EE\
    \F2\EE\EA\EE\E2 \E8\E7 \EC\EE\E5\E9 \F1\E5\F2\E8" dst-address=\
    192.168.1.0/24 protocol=tcp
add action=accept chain=srcnat disabled=yes dst-address-type=multicast \
    out-interface=bridge1 - правило не активно
add action=accept chain=srcnat comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 \EE\E1\
    \EC\E5\ED \E2 \E4\E0\ED\ED\EE\EC \EC\E8\EA\F0\EE\F2\E8\EA\E5"
add action=accept chain=srcnat disabled=yes out-interface=bridge2 - правило не активно
add action=dst-nat chain=dstnat comment="\CF\F0\E0\E2\E8\EB\EE \EC\EE\E5 \F1\
    \F2\E0\F0\EE\E5 \E4\EB\FF \E2\E8\E4\E5\EE\F0\E5\E3\E8\F1\F2\F0\E0\F2\EE\F0\
    \E0 \CA\E0\ED\F6\E5\EB\FF\F0\E8\FF" dst-port=\
    2000,60952,60953,10501,10502,5252,80,554,443 in-interface=bridge1 \
    protocol=tcp to-addresses=10.1.23.99 to-ports=2000
/ip route
add distance=1 gateway=ovpn-out1
add distance=1 gateway=ovpn-out1
add distance=1 dst-address=192.168.1.0/24 gateway=1.1.1.2 - добавлено
то есть 2 строчки

Код: Выделить всё

add action=masquerade chain=srcnat comment="\CF\EE\EB\F3\F7\E5\ED\E8\E5 \EF\EE\
    \F2\EE\EA\EE\E2 \E8\E7 \EC\EE\E5\E9 \F1\E5\F2\E8" dst-address=\
    192.168.1.0/24 protocol=tcp
add action=accept chain=srcnat comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 \EE\E1\
    \EC\E5\ED \E2 \E4\E0\ED\ED\EE\EC \EC\E8\EA\F0\EE\F2\E8\EA\E5"
Теперь главный микротик А
Вот что было в начале микротик А

Код: Выделить всё

/ip pool
add name=dhcp-pool2 ranges=192.168.2.100-192.168.3.254
add name=hotspot-pool ranges=10.0.0.2-10.0.0.254
add name=dhcp-info ranges=192.168.4.2-192.168.4.254
add name=dhcp-zakritaya ranges=192.168.88.1-192.168.88.50
/ip dhcp-server
add add-arp=yes address-pool=dhcp-info disabled=no interface=bridge2-info \
    name=dhcp2 use-framed-as-classless=no
add add-arp=yes address-pool=dhcp-zakritaya disabled=no interface=bridge4 \
    lease-time=102w6d name=dhcp3
/ip hotspot user profile
add address-pool=hotspot-pool name=uprof1 shared-users=10 transparent-proxy=\
    yes
/ip pool
add name=dhcp-pool next-pool=dhcp-pool2 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp-pool disabled=no interface=bridge1 \
    lease-time=102w6d name=dhcp1 use-framed-as-classless=no
/system logging action
set 0 memory-lines=10000
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/user group
set read skin=user
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/certificate settings
set crl-download=yes crl-store=system crl-use=yes
/interface bridge port
add bridge=bridge1 disabled=yes interface=ether1_wan1
add bridge=bridge1 disabled=yes interface=ether2_wan2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge2-info interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge4 interface=ether8
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=wi-fi
add bridge=bridge1 interface=ether10Poe
add bridge=bridge1 disabled=yes interface=ether9_wan3
add bridge=bridge3-hotspot interface=wlan3-hotspot
add bridge=bridge2-info interface=Sch9-info
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether1_wan1 list=WAN
add interface=bridge1 list=LAN
add interface=ether2_wan2 list=WAN
add interface=ether9_wan3 list=WAN
add interface=bridge2-info list=LAN
add interface=bridge4 list=LAN
/interface wireless access-list
add interface=wi-fi mac-address=F4:BF:80:E1:00:B9 vlan-mode=no-tag
/interface wireless connect-list
add interface=wi-fi mac-address=F4:BF:80:E1:00:B9 security-profile=default
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.33.127.2/24 interface=ether2_wan2 network=10.33.127.0
add address=192.168.4.1/24 interface=bridge2-info network=192.168.4.0
/ip dhcp-client
add dhcp-options=clientid disabled=no interface=ether1_wan1 use-peer-dns=no \
    use-peer-ntp=no
add dhcp-options=clientid interface=ether9_wan3 use-peer-dns=no use-peer-ntp=\
    no
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.4.0/24 gateway=192.168.4.1 netmask=24
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=4048KiB servers=\
    95.167.167.95,95.167.167.96
/ip firewall address-list
add address=192.168.1.2 list=to_wan2
add address=192.168.1.3 list=to_wan1
add address=192.168.1.4 list=to_wan3
/ip firewall filter
add action=accept chain=forward src-address=192.168.1.54
add action=accept chain=forward disabled=yes dst-port=2000 in-interface=\
    bridge1 protocol=tcp src-address=10.1.23.99
add action=accept chain=forward disabled=yes src-address=192.168.1.50
add action=accept chain=forward in-interface=bridge1 port=!9 protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=wan1_route \
    passthrough=no src-address-list=to_wan1
add action=mark-routing chain=prerouting new-routing-mark=wan2_route \
    passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting new-routing-mark=wan3_route \
    passthrough=no src-address-list=to_wan3
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=bridge2-info
add action=masquerade chain=srcnat dst-port=9 out-interface=bridge2-info \
    protocol=tcp
/ip proxy
set parent-proxy=0.0.0.0 port=3128 src-address=10.0.33.52
/ip route
add distance=1 gateway=192.168.2.1 routing-mark=wan1_route
add distance=1 gateway=10.33.127.1 routing-mark=wan2_route
add distance=1 gateway=192.168.0.1 routing-mark=wan3_route
add disabled=yes distance=1 gateway=192.168.2.1
/ip route rule
add action=lookup-only-in-table routing-mark=wan3_route table=wan3_route
add action=lookup-only-in-table routing-mark=wan2_route table=wan2_route
add action=lookup-only-in-table routing-mark=wan1_route table=wan1_route
/ip service
set telnet address=192.168.1.0/24 disabled=yes
set ftp address=192.168.1.0/24 disabled=yes
set www address=192.168.1.0/24 disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.4.0/24
set api-ssl disabled=yes
/ip socks
set port=465
/ip upnp
set enabled=yes
После микротик А

Код: Выделить всё

/ip pool
add name=dhcp-pool2 ranges=192.168.2.100-192.168.3.254
add name=hotspot-pool ranges=10.0.0.2-10.0.0.254
add name=dhcp-info ranges=192.168.4.2-192.168.4.254
add name=dhcp-zakritaya ranges=192.168.88.1-192.168.88.50
/ip dhcp-server
add add-arp=yes address-pool=dhcp-info disabled=no interface=bridge2 \
    lease-time=102w6d name=dhcp2 use-framed-as-classless=no
add add-arp=yes address-pool=dhcp-zakritaya disabled=no interface=bridge4 \
    lease-time=102w6d name=dhcp3
/ip hotspot user profile
add address-pool=hotspot-pool name=uprof1 shared-users=10 transparent-proxy=\
    yes
/ip pool
add name=dhcp-pool next-pool=dhcp-pool2 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp-pool disabled=no interface=bridge1 \
    lease-time=102w6d name=dhcp1
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.33.127.2/24 interface=ether2_wan2 network=10.33.127.0
add address=192.168.4.1/24 interface=bridge2 network=192.168.4.0
/ip dhcp-client
add dhcp-options=clientid disabled=no interface=ether1_wan1 use-peer-dns=no \
    use-peer-ntp=no
add dhcp-options=clientid interface=ether9_wan3 use-peer-dns=no use-peer-ntp=\
    no
/ip dhcp-server lease

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
add address=192.168.4.0/24 dns-server=8.8.8.8 gateway=192.168.4.1 netmask=24
add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1 netmask=\
    24
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w3d cache-size=4048KiB servers=\
    8.8.8.8
/ip firewall address-list
add address=192.168.1.2 list=to_wan2
add address=192.168.1.3 list=to_wan1
add address=192.168.1.4 list=to_wan3
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip firewall filter - все что во вкладке фильтр не ативно
add action=accept chain=forward connection-state=\
    established,related,untracked disabled=yes
add action=accept chain=output connection-state=established,related,untracked \
    disabled=yes
add action=accept chain=input connection-state=established,related,untracked \
    disabled=yes
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=wan1_route \
    passthrough=no src-address-list=to_wan1
add action=mark-routing chain=prerouting new-routing-mark=wan2_route \
    passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting new-routing-mark=wan3_route \
    passthrough=no src-address-list=to_wan3
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=bridge1
add action=masquerade chain=srcnat out-interface=bridge2
/ip proxy
set parent-proxy=0.0.0.0 port=3128 src-address=10.0.33.52
/ip route
add distance=1 gateway=192.168.2.1 routing-mark=wan1_route
add distance=1 gateway=10.33.127.1 routing-mark=wan2_route
add distance=1 gateway=192.168.0.1 routing-mark=wan3_route
add distance=1 gateway=192.168.2.1
add disabled=yes distance=1 gateway=192.168.2.1
add distance=1 dst-address=10.1.23.0/24 gateway=192.168.1.54
add disabled=yes distance=1 dst-address=10.1.23.0/24 type=unreachable
/ip route rule
add action=lookup-only-in-table routing-mark=wan1_route table=wan1_route
add action=lookup-only-in-table routing-mark=wan2_route table=wan2_route
add action=lookup-only-in-table routing-mark=wan3_route table=wan3_route
/ip service
set telnet address=192.168.1.0/24 disabled=yes
set ftp address=192.168.1.0/24 disabled=yes
set www address=192.168.1.0/24,192.168.4.0/24,10.1.23.0/24 disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.4.0/24
set api-ssl disabled=yes
/ip socks
set port=465
/ip upnp
set enabled=yes
То есть что поменял

Код: Выделить всё

add distance=1 dst-address=10.1.23.0/24 gateway=192.168.1.54

и убрал фильтры
теперь возникает несколько вопросов: возможно ли реализация без маскарада? корректно ли сделано с точки зрения грамотности?
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

Так у вас при добавлении маршрута на А (ну, и настройках фильтров) должна отпасть необходимость в маскараде. Попробуйте его просто выключить.
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Chupaka писал(а): 15 апр 2021, 18:31 Так у вас при добавлении маршрута на А (ну, и настройках фильтров) должна отпасть необходимость в маскараде. Попробуйте его просто выключить.
На маршрутизаторе А есть 2 бриджа они должны быть изолированы друг от друга. Такую реализацию я нашел, какую вы посоветуете?
Компы на машрутизаторе Б не должны видеть компы на А.
У меня сейчас на данном этапе поднимается другой вопрос: 2 бридж изолирован маскарадом, но в его сеть надо добавить компы из 1 бриджа по ip, чтобы был полный доступ на физическом уровне (папки общие и прочего), а из бриджа 2 компы некоторые в 1 бридже. Как мне реализовать такую схему ?
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

wolodyawggu писал(а): 19 апр 2021, 09:59 изолирован маскарадом
Вот это неправильно. Маскарад не должен использоваться ни для какой изоляции. Для настройки ограничений - фильтр и только фильтр, никакого NAT!

А схему вы лучше нарисуйте, а то из текста плохо понятно, чего вы хотите добиться.
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Ну вообще да с ним проблем много нарисовывается ссылка на схему https://cloud.mail.ru/public/p6Ya/9eBzDSmhh
Что хочется реализовать и что есть есть 3 бриджа: bt1 - 192.168.1.0/24, br2 - 192.168.4.0/24, br3- 192.168.88.0/24. Они все имеют свой максарад, как я выше и написал, компы в бриджах изолированы друг от друга, только видны внутри бриджа.
От него надо избавиться от маскарада на бриджах, но надо реализовать так чтобы они не видели друг друга как и при маскараде. Нашел такую схему реализации, подстроил под себя
ip firewall filter с action=drop chain=forward src-address=192.168.1.0/24 и dst-address=192.168.4.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.4.0/24 и dst-address=192.168.1.0/24

ip firewall filter с action=drop chain=forward src-address=192.168.4.0/24 и dst-address=192.168.88.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.4.88/24 и dst-address=192.168.4.0/24

ip firewall filter с action=drop chain=forward src-address=192.168.1.0/24 и dst-address=192.168.88.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.88.0/24 и dst-address=192.168.1.0/24

Правильно ли данное правило? Или какое вы посоветуете. Потом второй вопрос задам. Сначала надо с 1 решить.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

Так если вам просто надо разрешить общение всех только с WAN - сделайте что-то типа

Код: Выделить всё

/ip firewall filter
add chain=forward in-interface=WAN action=accept
add chain=forward out-interface=WAN action=accept
add action=drop chain=forward
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Chupaka писал(а): 15 май 2021, 18:42 Так если вам просто надо разрешить общение всех только с WAN - сделайте что-то типа

Код: Выделить всё

/ip firewall filter
add chain=forward in-interface=WAN action=accept
add chain=forward out-interface=WAN action=accept
add action=drop chain=forward
А если на пример нужно общение внутри сетей: обмен внутри сети 192.168.1.0/24, 192.168.4.0/24, 192.168.88.0/24. Но сети должны не видеть друг друга

Код: Выделить всё

ip firewall filter с action=drop chain=forward src-address=192.168.1.0/24 и dst-address=192.168.4.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.4.0/24 и dst-address=192.168.1.0/24

ip firewall filter с action=drop chain=forward src-address=192.168.4.0/24 и dst-address=192.168.88.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.4.88/24 и dst-address=192.168.4.0/24

ip firewall filter с action=drop chain=forward src-address=192.168.1.0/24 и dst-address=192.168.88.0/24
ip firewall filter с action=drop chain=forward src-address=192.168.88.0/24 и dst-address=192.168.1.0/24
Здесь они не видят друг друга, то есть нет обмена между сетями. Но возник такой вопрос (по той же схеме что выше):
У меня есть компьютеры в 1 бридже 192.168.1.101, 192.168.1.102, 192.168.1.103 я хочу чтобы они были видны (то есть проходил обмен(общие папки, в сетевом окружении)) в бридже2 (адрессация там 192.168.4.0/24). И например компьютеры из бриджа 2 192.168.4.50, 192.168.4.100 были видны (то есть проходил обмен(общие папки, в сетевом окружении)) в бридже1.
Сделал правила

Код: Выделить всё

add action=accept chain=forward  dst-address=192.168.1.101 src-address=192.168.4.0/24
add action=accept chain=forward  dst-address=192.168.1.102 src-address=192.168.4.0/24
add action=accept chain=forward  dst-address=192.168.1.103 src-address=192.168.4.0/24
Поместил их вверх правил. Не работает обмен в сети, то есть компа не видать, нет доступа к папкам ни по имени ни по ip
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

wolodyawggu писал(а): 18 май 2021, 21:36 А если на пример нужно общение внутри сетей: обмен внутри сети 192.168.1.0/24, 192.168.4.0/24, 192.168.88.0/24. Но сети должны не видеть друг друга
Обмен внутри сети идёт напрямую между хостами, через роутер этот трафик не идёт, поэтому запрещать ничего дополнительно не надо.
wolodyawggu писал(а): 18 май 2021, 21:36 У меня есть компьютеры в 1 бридже 192.168.1.101, 192.168.1.102, 192.168.1.103 я хочу чтобы они были видны (то есть проходил обмен(общие папки, в сетевом окружении)) в бридже2 (адрессация там 192.168.4.0/24). И например компьютеры из бриджа 2 192.168.4.50, 192.168.4.100 были видны (то есть проходил обмен(общие папки, в сетевом окружении)) в бридже1.
<...>
Не работает обмен в сети, то есть компа не видать, нет доступа к папкам ни по имени ни по ip
Появления в сетевом окружении и доступа по имени и не будет. Windows для Сетевого окружения использует широковещательные пакеты, они работают лишь в рамках одного широковещательного домена и не проходят через роутеры в другие подсети. Чтобы ходить по имени - можно установить сервер WINS, но от этого в Сетевом окружении всё равно ничего не появится. А по IP доступа нет, подозреваю, потому, что Брандмауэр Windows по умолчанию разрешает доступ к хосту лишь из локальной подсети, поэтому из соседних подсетей всё блокирует - смотрите его настройки. Это, конечно, если у вас есть правило accept established connections. А то вы разрешили только в одну сторону пакеты, в две стороны можно проверить так:

Код: Выделить всё

add action=accept chain=forward dst-address=192.168.1.101-192.168.1.103 src-address=192.168.4.0/24
add action=accept chain=forward src-address=192.168.1.101-192.168.1.103 dst-address=192.168.4.0/24
wolodyawggu
Сообщения: 11
Зарегистрирован: 20 мар 2020, 13:16

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение wolodyawggu »

Я кажется понял почему у меня ничего не подключается по IP если даже брать другую сеть. Выполняю трассировку средствами виндовс например до 192.168.4.130 (это комп который в другой подстети на 4.0) пинг идет, выполняю трасировку. Результат он не по локальному соединению идет а по инету и там затыкивается. Куда копать? Фото https://cloud.mail.ru/public/p6Ya/9eBzDSmhh и там же конфиг IP и Firewall. Скорее всего из-за этого все и проблемы, может быть и все работает.
Аватара пользователя
Chupaka
Сообщения: 3352
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс видеорегистратора с одного машрутизатора на другой

Сообщение Chupaka »

Да, у вас правила Firewall Mangle отправляют все пакеты от заданных хостов в один из интернет-аплинков (даже если они предназначены сети на соседнем интерфейсе), поэтому всё так и получается. Добавьте исключение для локального трафика:

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16 action=accept place-before=0