Jaki czas temu znajomy poprosił mnie o przegląd jego sieci LAN. Jedną z pierwszych rzeczy jaka rzuciła mi się w oczy to konfiguracja Mikrotika pod kątem przekierowania portów i dostępu do monitoringu CCTV. Posiadał zainstalowaną aplikację mobilną do podglądu kamer, w której ten sam serwer był dodany dwa razy. Raz na adresie wewnętrzny, a drugi raz na adresie publicznym. Wszystko oczywiście działało, ale po co utrudniać sobie życie z przełączaniem między serwerami. Idealnym rozwiązaniem jest zastosowanie Hairpin NAT, dzięki czemu konfigurujemy aplikację tylko na adres publiczny.
Schemat poglądowy
Adres sieci: 192.168.66.0/24
Adres router: 192.168.66.1
Adres rejestratora: 192.168.66.199
Port rejestratora: 8181
Konfiguracja routera
Pomijam podstawową konfigurację routera. Jeżeli nie wiesz jak skonfigurować dhcp czy przekierować porty zapraszam tutaj!
Zaczynamy od dodania nowej reguły na Fierwallu, w tym celu klikamy na IP->Firewall i przechodzimy na zakładkę NAT
Dodajemy kolejną regułę:
Podsumowanie
Dzięki zastosowaniu Hairpin NAT do urządzeń, usług możemy dostać się zarówno z sieci wewnętrznej jak i publicznej wykorzystując tylko jeden publiczny adres. Zastosowań takiego rozwiązania może być sporo nie koniecznie tylko rejestratory cyfrowe, ale serwery www, NASy, czy pojedyncze kamery ip.
Schemat poglądowy
Adres sieci: 192.168.66.0/24
Adres router: 192.168.66.1
Adres rejestratora: 192.168.66.199
Port rejestratora: 8181
Konfiguracja routera
Pomijam podstawową konfigurację routera. Jeżeli nie wiesz jak skonfigurować dhcp czy przekierować porty zapraszam tutaj!
Zaczynamy od dodania nowej reguły na Fierwallu, w tym celu klikamy na IP->Firewall i przechodzimy na zakładkę NAT
- Chain: srcnat
- Src. Address: 192.168.66.0/24
- Dst. Address: !192.168.66.1
- Action: masquerade
Dodajemy kolejną regułę:
- Chain: dstnat
- Dst. Address: 192.168.66.1
- Protocol: tcp
- Dst. Port: 8181
- Dst. Address Type: local
- Action: dst-nat
- To Addresses: 192.168.66.199
- To Ports: 8181
Podsumowanie
Dzięki zastosowaniu Hairpin NAT do urządzeń, usług możemy dostać się zarówno z sieci wewnętrznej jak i publicznej wykorzystując tylko jeden publiczny adres. Zastosowań takiego rozwiązania może być sporo nie koniecznie tylko rejestratory cyfrowe, ale serwery www, NASy, czy pojedyncze kamery ip.