Проброс портов через два Mikrotikа или альтернативные варианты доступа извне к NAS и видеосерверу в локальной сети?

Question

[Вася Каминская]

Приветствую! Суть проблемы такова: есть офисная сеть на 10 компов. Доставка интернета с нормальной скоростью (60 МБит/с) организована следующим образом (см. картинку), а также реализовано резервирование канала вторим провайдером, в случае, если падает первый.



Проблема заключается в следующем: когда я открываю порты на Микротик 1, чтобы можно было к нему достучаться извне, то начинается брутфорс админки, в итоге инет падает



Я так понимаю, что единственный выход это создать White List ip адресов, с которых можно подключаться. Но это не удобно тем, что зачастую нужно подключаться с серых IP, которые постоянно меняются. Ну и не могу пока понять, как пробросить порты от NAS через два микротика. Сильно не пинайте за глупые вопросы. Я не админ, так, самоучка. Хотя эта сеть - моё детище, которое хотелось бы довести до ума.

Answer 1

[Руслан Федосеев]

допустим, надо пробросить доступ к видеорегистратору на его веб интерфейс.
Выберем порт для доступа к регистратору 5000
т.е. нам надо на 1-м микротике пробросить порт 5000 на адрес второго микротика, на втором микротике пробросить 5000 порт на 80 порт регистратора.
Ну и дальше по аналогии

Comments

[Вася Каминская]

Спасибо, сейчас попробую

Answer 2

[Клёвый Админ]

так, чисто, из соображения красоты.
Для радиомоста - выделите отдельную сеть, т.к. общая с LAN1 вам не нужна, это позволит проще рулить каналами, и сможете проще настроить второго провайдера для пользователей из первой квартиры.

Порт админки можно сменить в IP Services.

Про проброс совет от Руслана более чем полезный (и прост для понимания). Нат на первом микротике, приводит к тому, что для второго микротика этот трафик просто локальный.

Ну и последнее, если сделаете нормальную маршрутизацию (перестроите сети и каналы) вам двойной нат станет не нужен, нужны будут только маршруты, на первом марше - на локальные сети второго, на втором марше - на локальные сети первого и дефолтные маршруты друг на друга с большыми весами (относительно основного - первого - интернет провайдера и его дефолтного маршрута).

Comments

[Вася Каминская]

Про VLANы были мысли, но это уже скорее марафет, пока не до него)

>Порт админки можно сменить в IP Services.
- Отличная идея! Мне кажется, должно помочь

>Про проброс совет от Руслана более чем полезный (и прост для понимания).
- Действительно всё круто получилось, вебморда видеосервера появляется, но залогиниться не получается, по всей видимости, ещё какой то порт надо открыть для авторизации.

По последнему абзацу мой нубский мозг понял только 50%. Я понимаю, что второй микротик можно было бы вообще в режиме моста сделать, но тогда при разрыве соединения wi-fi моста падает вся сеть в офисе, ибо IP адреса выдаются, но из-за разрыва соединения не доходят до здания с офисом. Поэтому второй микротик и был докуплен для этой цели, а также, чтобы можно было в него завести второго провайдера. А что касается юзеров, которые сидят за роутером ASUS, то им нужен только интернет, и по хорошему таки да, их было бы неплохо отгородить VLANом

[Клёвый Админ]

Вася Каминская: по профилю и тексту я так и не понял как к вам обращаться =) Я пишу не про VLAN, а про то, что изменив сеть, которая используется в Wi-Fi бридже между офисами и настроив на обоих маршрутизаторах правильные статические (хотя бы статические) маршруты, можно избавится от двойного ната.

Answer 3

[LESHIY_ODESSA]

Проблема заключается в следующем: когда я открываю порты на Микротик 1, чтобы можно было к нему достучаться извне, то начинается брутфорс админки, в итоге инет падает

1. Сменить порт веб интерфейса на другой — IP —> Services
2. Сделать в Firewall правило — add action=drop chain=input protocol=tcp dst-port=80
3. Создать нового пользователя с FULL правами и только потом удалить пользователя admin. Осторожно, можно потерять доступ над микротиком.

Но это всё полумеры. У вам системная ошибка, у вас вообще нет Firewall.