Статичные DNS в Mikrotik с указанием порта. Можно ли?

Question

[Артём It поддержка]

Добрый день, уважаемые пользователи.
Есть ситуация: на предприятии установлено около 10 видеорегистраторов Dahua и RVI, у всех указан уникальный порт для подключения взамен стандартного 37777. Для доступа из интернета на регистраторы на хостинге в DNS прописан наш "белый" IP c записью вида "ip.company.ru". Т.е. при просмотре с телефона программа обращается на ip.company.ru с указанием порта и дальше микротик отправляет запросы на нужный регистратор.
Цель: удобство просмотра видеонаблюдения как снаружи из интернет, так и внутри локалки.
Теперь вопрос: можно ли как то указать в DNS на микротике, чтобы при обращении с программы телефона из внутренней сети на адрес ip.company.ru:44444, например через Wi-Fi в одной из подсетей, пусть будет 192.168.5.50, микротик пересылал запросы напрямую к устройству, а не делал петлю через интернет? Пытался указать в статичной записи DNS как написано во множестве статей, где в поле name ip.company.ru:37144, а в поле адрес 192.168.50.144:37144, но так не работает. В конечном адресе нельзя указать порт. Пинги между подсетями с телефона на регер спокойно ходят.

Comments

[YaKrabik]

Как настроить NS запись для веб сервера с указаним порта?
возможности указывать порты на микротиках в днс записях нет

[ADarkin]

man mangle и prerouting

[Alexey Dmitriev]

А можно уточнить в связи с чем у вас вожникла такая странная идея? У вас не идентичные записи внешние и внутренние (отличаются портами), так что мешает просто сделать разные DNS записи внутри и снаружи?
Если вам нужна идентичность - ничего не мешает прогонять запросы через балансировщик \ реверз прокси, отрезая порты из dns имени вообще и сделав разные DNS имена для каждого регистратора

[AlexVWill]

Т.е. при просмотре с телефона программа обращается на ip.company.ru с указанием порта и дальше микротик отправляет запросы на нужный регистратор.
Цель: удобство просмотра видеонаблюдения как снаружи из интернет, так и внутри локалки.

Понятно, хотели как лучше, а получилось - как всегда... Сорри, что не по теме - но что-то более дурацкое выдумать было трудно. Что мешало просто поставить реверс-прокси, развести регистраторы по разным субдоменам или URL и наладить человеческую маршрутизацию по IP регистраторов?
Еще не поздно одуматься...

[Daemon23RUS]

поставить реверс-прокси, развести регистраторы по разным субдоменам

ИМХО не взлетит этот вариант, по http/https - да рабочая схема, но увы там все немного по другому.

Answer 1

[Rsa97]

Единственное место в DNS, где можно указать порт - записи SRV. Если ваша система не умеет с ними работать (а это вообще мало где используется), то записи A и AAAA портов не содержат.

Answer 2

[Zerg89]

Dst nat с этим спрвляется без всяких srv записей,
Если на роутер условно 192.168.0.1 на порт 3333 из локалки пришел пакет, перенаправляем трафик на 192.168.33.33:3333, 3334 >192.168.33.43:3334 итд

Answer 3

[pilligrimm]

Я так понимаю Есть 1-й регистратор(его ip) который доступен по порту, допустим, 11111. Второй(его ip) по 22222. Из вне вы к ним обращаетесь (прописан, допустим, в мобильном клиенте) как ip.company.ru:11111 и соответственно ip.company.ru:22222. Стоит вопрос как в статический ДНС на микротике прописать 2 разных локальных ip для регистраторов в соответствии с портами для записи ip.company.ru.
Самый простой способ не "ломая" миктротик. У доменного регистратора(где зарегистрирован ваш company.ru) в ДНС добавить записи, допустим, nvr1.company.ru и nvr2.company.ru с таким же ip как и ваш ip.company.ru(или cname записи). Тогда в клиенте видеонаблюдения прописываете соответственно nvr1.company.ru:11111 и nvr2.company.ru:22222. А на микротике добавляете в статические ДНС две записи для nvr1.company.ru его локальный ip, для nvr2.company.ru его локальный ip.
Можно и по одной внешней записи ДНС как у Вас. Тогда видеорегистраторы забрасываете в другую подсеть. В статической ДНС микротика для ip.company.ru указываете ip микротика в этой подсети(где видеорегистраторы) и в NAT указываете dstnat порт форвардинг аналогично тому, что и из интернета.

Answer 4

[Daemon23RUS]

у всех указан уникальный порт для подключения взамен стандартного 37777. Для доступа из интернета на регистраторы на хостинге в DNS прописан наш "белый" IP c записью вида "ip.company.ru".

Решение выставит 37777 в мир, хоть и подменный - так себе идея, думаю что все Ваши регистраторы уязвимы, и вопрос времени когда но них доберутся мамкины хацкеры.
Для внешнего мира, поднимите VPN сервер на своем белом IP. добавте A записей dvr-01.ip.company.ru - dvr-99.ip.company.ru (по количеству регистраторов) со внутренними IP адресами регистраторов. Лицам имеющим право просматривать добавьте VPN аккаунты. Настройте VPN таком образом, что только пакеты в локальную сеть регистраторов идут в туннель.
Профит - в локальной сети вы имеете доступ по dvr-XX.ip.company.ru, а за пределами офиса через интернет, только после подключения к VPN имеете доступ, по этим же адресам (dvr-ХХ.ip.company.ru)
Это только один из вариантов, описывающий суть решения.
P.S. Из плюсов, при утрате сотрудником права доступа (увольнение) удаляте его VPN аккаунт, и он теряет возможность наблюдать извне за происходящим.