kamera

[fabinek1]

zákazník má klientské zařízení MK SXT a má ip kameru. Veřejná ip adresa je natovaná přímo na wlan mikrotiku. tam je masquarada a rozsah vnitřní sítě na lan. pak je udělaný dst-nat z veřejky na ip adresu kamery řekněme s portem 85, a teď problém, proč se na tu kameru z venku nemůžu dostat? na pingy kamera odpovídá, ale z venku se na kameru není možné dostat. kromě inputu žádný fw není.

[cerva]

Pokud máš dst NAT jen na TCP/85, tak jak víš, že kamera odpovídá na ping z venku? Máš správně výchozí bránu na kameře? Jak vypadá ono dst NAT pravidlo (a jak na něm vypadají countery - jestli se fakt pravidlo uplatní)? Překládáš v tom NAT pravidlu i porty (mgmt kamery asi neběží na TCP/85)?

[fabinek1]

Pravidlo je takko:
chain dst - protokol tcp 85 - actoin dst-nat to adres 192.168.1.200 port 80, zadám do webového prohlížeče s veřejnou ip včetně portu - country jsou v natu vidět, ale nic se neděje (zkoušeno z několika sítí i zařízení).

[mirek.k]

A kamera v LAN odpovídá na portu 80?
A má správně nastavenou bránu?

[fabinek1]

kamera v LAN odpovídá, brána je nastavena na rozsah LAN (192.168.1.1)

[Fang]

Zkusil bych prověřit jestli kamera v nastavení nemá ochranu proti přístupu mimo vlastní lokální subnet.

[Selič]

A máš ve firewallu pravidlo s dst-nat první, před srt-nat nebo masquerade?
To je obvyklá začátečnická chyba.

[fabinek1]

masquarade

[cerva]

A máš ve firewallu pravidlo s dst-nat první, před srt-nat nebo masquerade?
To je obvyklá začátečnická chyba.

Nemá vliv, jsou v jiném chainu a po jejich aplikaci nastupuje stavovy FW.

[fabinek1]

takže přehrán balíček na nový SW v SXT a světe div se, najednou to jde. Jen ještě potřebuji nakopnout, jak nastavit natování, aby mi šla kamera jak v domácí sítí tak zvenku.
nat z veřejky na kameru je jasný, jak to ale udělat, aby stejný nat fungoval z domácí sítě? a nemusela se přidávat druhá kamera s adresou domácí sítě. někde jsem četl, že by tam měl být nějaký src-nat, ale potřebuji poradit, jak na to.

[jenda.master]

hairpin nat