Проброс видеорегистратора с одного машрутизатора на другой

[wolodyawggu]

Как проверить это точно разрешен пинг из других подсетей?

Взять устройство, которое заведомо пинговалось в других условиях
mac OS, linux, iOS, android (не уверен) - да вроде никто не должен по умолчанию запрещать. Но если там вдруг firewall запущен, то отключать/настраивать.

А это, здесь все нормально. Теперь нельзя подключаться к регистратору из той сети. Чето пошло не так.

[wolodyawggu]

Как проверить это точно разрешен пинг из других подсетей?

Взять устройство, которое заведомо пинговалось в других условиях
mac OS, linux, iOS, android (не уверен) - да вроде никто не должен по умолчанию запрещать. Но если там вдруг firewall запущен, то отключать/настраивать.

Вот такие еще чудеса
https://cloud.mail.ru/public/KJa7/Nui5rzErT

[xvo]

Серьезно?
То есть маршрут на микротик А вы так и не добавили?

[wolodyawggu]

Серьезно?
То есть маршрут на микротик А вы так и не добавили?

Вроде есть он

  RB A

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.2.1 1
1 A S 0.0.0.0/0 10.33.127.1 1
2 S 0.0.0.0/0 192.168.0.1 1
3 ADS 0.0.0.0/0 192.168.2.1 1
4 X S 0.0.0.0/0 192.168.2.1 1
5 A S 10.1.23.0/24 192.168.1.54 1
6 X SU 10.1.23.0/24 1
7 ADC 10.33.127.0/24 10.33.127.2 ether2_wan2 0
8 ADC 192.168.1.0/24 192.168.1.1 bridge1 0
9 ADC 192.168.2.0/24 192.168.2.2 ether1_wan1 0
10 ADC 192.168.4.0/24 192.168.4.1 bridge2 0

 B

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 ovpn-out1 1
1 S 0.0.0.0/0 ovpn-out1 1
2 DS 0.0.0.0/0 1.1.2.1 1
3 DS 0.0.0.0/0 192.168.1.1 10
4 ADC 10.0.7.0/24 10.0.7.23 ovpn-out1 0
5 ADC 10.1.23.0/24 10.1.23.1 bridge2 0
6 ADS 83.97.104.204/32 192.168.1.1 0
7 ADC 192.168.1.0/24 192.168.1.54 bridge1 0

[xvo]

А вы случаем не с 192.168.1.2 пингуете?

[wolodyawggu]

Оч странно, я в конфигах не вижу ничего, что могло бы препятствовать.

В общем добавил правило из базовой конфигурации

 

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

Пинг проходит, по 80 порту открываются 192.168.1.111-114 камеры в веб интерфейсе. Видеорегистратор 192.168.1.40 не хочет, и остальные камеры тоже. (((

[xvo]

У вас же firewall пустой, как это правило может на что-то влиять?

[wolodyawggu]

У вас же firewall пустой, как это правило может на что-то влиять?

Меня подкинуло, я оба откатил до шаманства и решил начать с 0 опыты. Прикрепляю оба.

 Rb машрутизатор А

/ip firewall address-list
add address=192.168.1.2 list=to_wan2
add address=192.168.1.3 list=to_wan1
add address=192.168.1.4 list=to_wan3
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=forward src-address=192.168.1.54
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=wan1_route \
passthrough=no src-address-list=to_wan1
add action=mark-routing chain=prerouting new-routing-mark=wan2_route \
passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting new-routing-mark=wan3_route \
passthrough=no src-address-list=to_wan3
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=bridge1
add action=masquerade chain=srcnat out-interface=bridge2
add action=accept chain=srcnat dst-address=10.1.23.0/24 protocol=tcp \
src-address=192.168.1.40 src-port=80,8091,2000,8082 to-addresses=\
192.168.1.40 to-ports=80
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=80 \
protocol=tcp to-addresses=192.168.1.40 to-ports=80
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=2000 \
protocol=tcp to-addresses=192.168.1.40 to-ports=2000
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=8082 \
protocol=tcp to-addresses=192.168.1.40 to-ports=8082
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=8000 \
protocol=tcp to-addresses=192.168.1.40 to-ports=8000
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=8091 \
protocol=tcp to-addresses=192.168.1.40 to-ports=8091
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=9000 \
protocol=tcp to-addresses=192.168.1.40 to-ports=9000
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=8080 \
protocol=tcp to-addresses=192.168.1.40 to-ports=8080
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=2200 \
protocol=tcp to-addresses=192.168.1.40 to-ports=2200
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=40002 \
protocol=tcp to-addresses=192.168.1.40 to-ports=40002
add action=netmap chain=dstnat disabled=yes in-interface=bridge1 port=40003 \
protocol=tcp to-addresses=192.168.1.40 to-ports=40003

 hap машрутизатор Б

/ip firewall connection tracking
set enabled=yes
/ip firewall filter
add action=accept chain=forward disabled=yes src-address=192.168.1.54
add action=accept chain=forward disabled=yes port=80 protocol=tcp
add action=accept chain=forward port=80 protocol=tcp
add action=accept chain=input comment=05-04-2021 connection-state=\
established,related,untracked
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2
add action=accept chain=srcnat out-interface=bridge1
add action=netmap chain=dstnat comment=\
"Videoregistrator iz 10.1.23.99 v 192.168.1.54" in-interface=bridge1 \
log=yes port=2000 protocol=tcp to-addresses=10.1.23.99 to-ports=2000

На текущий момент пингуется сеть 192.168.1.* из 10.1.23.*. Порт 80 слушается на камерах 192.168.1.111-114.
Не пингуется сеть 10.1.23.* из 192.168.1.*. Видеорегистратор из сети 10.1.23.* (работает), проброшен стредством нетмап

[xvo]

Зачем netmap'ы? Зачем маскарады на бриджи?!

[wolodyawggu]

Зачем netmap'ы? Зачем маскарады на бриджи?!

3 бриджа с разных сети: организация, кабинет1, кабинет2.
нетмапы отключены на rb отключены