Дать доступ в локалку через 2 маршрутизатора.

0

1

Всем доброго времени суток.

Офис. Две сетки: $LAN_1 и $LAN_3 Задача дать доступ из интернета на $WEBCAM1, которая находится в сети за маршрутизатором ($LAN_3).

Схему смотрите на картинке. http://hkar.ru/vyQS

Инет раздается через сервак настройки:

eth0 - провайдер
eth1 - $LAN_1
eth2 - $LAN_3 (разъём wan на маршрутизаторе)
$WEBCAM1  - вебкамера по wifi с маршрутизатора.

INET_IP="62.16.44.129"
LAN_1="62.16.44.128/25"
LAN_3="192.168.0.0/24"
WEBCAM1="192.168.1.2"

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
# webcam
iptables -A INPUT -p TCP --dport 1080 -j ACCEPT
iptables -A INPUT -i eth1 -s $LAN_1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#for LAN 3 
iptables -t nat -A POSTROUTING -s $LAN_3 -j SNAT --to-source $INET_IP

Как я понимаю надо на маршрутизаторе сделать виртуальный сервер с адресом $WEBCAM1 Или как?

Ссылка

←	Переодически рвётся openvpn соединение

В корневой раздел примонтировался второй диск.

→

Если с первой коробки камера доступна напрямую, то достаточно пробросить порт

zolden ★★★★★
(09.10.14 13:43:46 MSK)

Ответ на: комментарий от zolden 09.10.14 13:43:46 MSK

Нет, камера доступна только через маршрутизатор. Т.к. находится в сети маршрутизатора.

INDIGO ★
(09.10.14 13:57:44 MSK) автор топика

Ответ на: комментарий от INDIGO 09.10.14 13:57:44 MSK

добавить недостающие маршруты или сделать двойное/тройное прокидываение порта

zolden ★★★★★
(10.10.14 12:21:00 MSK)

Ссылка

Ответ на: комментарий от INDIGO 09.10.14 13:57:44 MSK

Не понимаю, у тебя LAN1 это белая сетка, которую ты получаешь от провайдера по eth0 и дальше маршрутизируешь в LAN1(eth1) верно? Зачем тогда еще сеть 192.168.0.0/24 между сервером и маршрутизатором?(а уж за ней за natом 192.168.1.1/24) если у тебя сервер выступает в роли маршрутизатора для белой сети, то почему бы роутеру не выдать белый ip из этой сети? Ну другой вариант, убрать к чертям второй Nat, и роутер перевести в режим моста, чтоб уж сервер NATил траф для lan3

CeMKa ★
(10.10.14 12:33:23 MSK)

Ссылка

Ответ на: комментарий от INDIGO 09.10.14 13:57:44 MSK

Ну или сделать двойной проброс порта, как сказал zolden

CeMKa ★
(10.10.14 12:35:48 MSK)

Ссылка

На сервере:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.0.2

192.168.0.2 это адрес мартшуризатора на wan порту. И на маршрутизаторе сделай виртуальный сервер, с source port 1080 destination port 1080 на адрес вебкамеры.

CeMKa ★
(10.10.14 12:53:48 MSK)

Ответ на: комментарий от CeMKa 10.10.14 12:53:48 MSK

Всем спасибо. Пока ждал ответа, сам разобрался.

Добавил в выше написанные правила это:

iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.0.2

И на маршрутизаторе вебкамеру в DMZ перевел.

Да, $LAN_1 - белая сетка. $LAN_3 - это другая контора.

INDIGO ★
(10.10.14 21:12:21 MSK) автор топика

Ответ на: комментарий от INDIGO 10.10.14 21:12:21 MSK

Внезапно выявился глюк! =)

Вебкамера DCS-933L

Все настройки:



root@internet:~# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p icmp -m limit --limit 3/sec --limit-burst 6 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1080 -j ACCEPT
-A INPUT -s 62.16.44.128/25 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth2 -j ACCEPT
-A FORWARD -d 62.16.44.132/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6112 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-ssh -s 192.126.120.34/32 -j DROP
-A fail2ban-ssh -s 192.126.120.53/32 -j DROP
-A fail2ban-ssh -s 111.74.238.151/32 -j DROP
-A fail2ban-ssh -j RETURN

root@internet:~# iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -s 62.16.44.140/32 -i eth1 -p tcp -m tcp --dport 443 -j RETURN
-A PREROUTING -s 62.16.44.140/32 -i eth1 -p tcp -m tcp ! --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 50.23.229.123/32 -i eth1 -j RETURN
-A PREROUTING -d 64.127.102.238/32 -i eth1 -j RETURN
-A PREROUTING -d 208.67.49.148/32 -p tcp -m tcp --dport 8080 -j RETURN
-A PREROUTING -d 23.59.88.247/32 -j RETURN
-A PREROUTING -d 76.117.56.113/32 -j RETURN
-A PREROUTING -s 62.16.44.128/25 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 62.16.44.128/25 -i eth1 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 3128
-A PREROUTING -s 62.16.44.128/25 -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d 62.16.44.129/32 -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 62.16.44.129

При выше написанных настройках, залогиниться в веб-обвязку можно, но видео не показывается. Ошибка явы.

Как я понимаю ява аплет не работает через NAT. Если подключаться к камере из той же сети где сама камера, то всё работает.

Что не так?

INDIGO ★
(13.10.14 11:42:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Переодически рвётся openvpn соединение

Admin

В корневой раздел примонтировался второй диск.

→

Похожие темы