Как выпустить в инет IP камеры через 2 Wi-Fi роутера и обеспечить всех единым адресным пространством?

Question

[PrAw]

Собственно вопрос -
Интернет заходит в здание через Wi-Fi роутер (микротик), R1 на схеме. Клиенты через Wi-Fi и по проводу получают интернет.
Один шнурок идёт в другую часть здания, к нему подключен второй Wi-Fi роутер (микротик), R2 на схеме. К нему подключены IP камеры (Panasonic WV-SW316).
Решение, когда происходит двойное NAT преобразование подсознательно отвергаю изо всех сил, поскольку всякие R(M/S)TP протоколы добавят проблем для передачи картинки.


Задача:
1. Получить возможность смотреть камеры через инет, с защитой от посторонних глаз
2. Обеспечить вайфайным интернетом сотрудников в обоих частях здания
3. Локалка должна быть общей - главный R1, второй только инет от R1 раздаёт и порты предоставляет, без маршрутизации как таковой.

Как реализовал сейчас - на втором роутере линк приходит во второй порт, не "WAN" (дефолтные настройки, только ip pool и адреса поменял), отключил на нём DHCP сервер. Сами камеры воткнуты в остальные порты.

На первом роутере поднят L2TP сервер, коннект по VPN и просмотр камер. Есть вариант лучше или и так идеален?
Тут всё работает, мучает незавершенность решения.

Со вторым роутером проблема - как переписать конфиги, чтобы он все порты задействовал как свитч, при этом пускал в Wi-Fi инет без всякого NAT. Фактически второй микротик нужен только как "удлинитель" вайфая и коммутатор.

Answer 1

[Alex Suvoroff]

1. Получить возможность смотреть камеры через инет, с защитой от посторонних глаз

На первом роутере поднят L2TP сервер, коннект по VPN и просмотр камер. Есть вариант лучше или и так идеален?
Тут всё работает, мучает незавершенность решения.

решение завершено, не обязательно выпускать камеры в интернет напрямую.

3. Локалка должна быть общей - главный R1, второй только инет от R1 раздаёт и порты предоставляет, без маршрутизации как таковой.

если вы видите с маршрутизатора R1 Ваши IP-камеры, значит у вас все работает по уровню L2 и клиенты на портах будут отправлять пакеты на маршрутизатор, Вам остается: убрать маршруты на R2, настроить Wi-Fi:
1. Сделать репитер (это будет работать в том случае, если он видет Wi-Fi от R1)
2. В случае если зона покрытия Wi-Fi-R1 не затрагивает второе здание, тогда поднимайте Wi-Fi на R2 с таким же SSID, поднимите DHCP для Wi-Fi но в качестве шлюза по-умолчанию указывайте адрес R1. (Либо для попробовать для интерфейса Wi-Fi указать адрес DHCP-сервера R1/того, где развернут DHCP)
рекомендации в указанных пунктах надо проверить, умеет ли это делать микротик

Со вторым роутером проблема - как переписать конфиги, чтобы он все порты задействовал как свитч, при этом пускал в Wi-Fi инет без всякого NAT.

Натить у Вас должен R1, я могу ошибаться, но если вы соединили R1 и R2 проводом, то Вам останется только настроить в один VLAN/Bridge порты и у вас будет связь по L2. Самое банальное - это проверка ping любой камеры с R1 (как уже писал выше), если камера доступна

п.с. если где-то допустил неточность/неверность мышления, знающие люди поправьте, опыта не очень много

Comments

[PrAw]

Вопрос по п.2.
1. Бросаю в один бридж Wireless и все порты, SSID настраиваю (не охота связываться с capsman), правильно понял?
2. Возможно как-то пробрасываю DHCP запросы полученные R2 на R1, или само начнёт корректно перебрасывать?

[Alex Suvoroff]

PrAw:
1. Да, правильно. Если смотреть физически, то вы как бы помещаете порты в одну локацию, которая должна работать на уровне L2 (т.е. на уровне мак-адресов), просто в АРП-таблице на одном порту будет висеть чуть больше 1-го мак-адреса и железка будет направлять все пакеты в этот порт.
2. В теории, если мы выполним пункт 1, то устройства сами смогут найти DHCP. Не знаю как на Микротиках, в Cisco есть такая команда (ip helper-address) она подсказывает по какому адресу находится сервер DHCP, может стоит посмотреть документацию. Но вообще нужно пробовать.

Answer 2

[dmb_1945]

1 камент в точку, но не много бы по другому сделал бы.
R1 как есть остается в него приходит интерент (пример) 1-порт 2,3,4,5 локалка и вафля там же. Он все натит и делает.
R2 у тебя просто как "свич" с вафляей. То есть бери все порты с вафлей на R2 кидай в бридж и назначь адрес из твоей сети и гаси все наты и правила в файерволе, DHCP то же гаси. Вафлю настрой как на R1. Все основные параметры будут браться с 1-го.

В итоге ты получиш одну и ту же сеть в разных помещениях. То есть
Пакет с интернета приходит на R1 с него уже дальше в локалку, логически у тебя одна сеть без каких либо ограничений. Точно так же и доступ с наружи на камеры будет без проблем отрабатывать нат с R1.

По поводу конфига портов: все порты могут wan и lan.
ЗЫ: может не совсем понятно объяснил, если что задай вопрос. Схема простая...

Comments

[PrAw]

Да, спасибо :)) Кратко и в сумме мозги на место встали

[dmb_1945]

рад что помог )

Answer 3

[oia]

проброс портов с первого роутера на второй и на камеры