Port -Weiterleitung

[Uli]

Hallo zusammen,

nach vielen Recherchen und wenig brauchbaren Ergebnissen mache ich diesen Topic neu auf:

Ich habe eine IP-Kamera, die ich in einem größeren Mikrotik-Netzwerk betreiben will und von Außen per Internet erreichen möchte.

Die Konstellation ist folgende:

INet (ADSL mit DHCP-IP) --> Routermodem mit NAT --> Mikrotik-Backbone-Netz --> Mikrotik-Router zum WLAN-Netz wieder mit NAT --> Ubiquiti-Antenne --> Kunden-WLAN-Router (DLink) --> Kamera.

Frage: Wo muß ich jetzt überall Ports öffnen, um die Kamera aus dem Internet erreichen zu können? Überall da, wo NAT läuft?

Grüße

Uli

 

[GrafZahl]

eine port weiterleitung wird auch "destination network address translation" oder kurz DNAT genannt ... von daher ist deine frage "überall da wo NAT läuft?" mit einem schlichten "ja" zu beantworten ... das aleine war mir aber als antwort zu popelig

 

[bitmuncher]

Nur weil bereits irgendwo DNAT eingestellt sind, heisst das nicht, dass es auch ausreicht, wenn nur dort für die Cam DNAT eingerichtet werden. Der DLink-Router braucht z.B. auch eine Port-Weiterleitung.

Allerdings scheint mir die Routing-Konstellation, wie sie hier gegeben ist, irgendwie ziemlich unsinnig. Sofern sich "Router-Modem" (was auch immer das sein soll, aber ich vermute mal irgend so eine billige Router+DSL-Modem-Kombi), Backbone und WLAN-Router im gleichen Haus befinden, dürfte es Sinn machen einfach das Backbone zu umgehen oder einen direkten Tunnel zu legen. Schliesslich führt jeder Hop zu einer erhöhten Latenz und DNAT zu DNAT macht oft genug Probleme, vor allem dann, wenn Geräte verschiedener Hersteller im Einsatz sind, was hier wohl gegeben ist.

Ausserdem reicht es nicht Ports einfach nur zu öffnen. Man muss sie auch weiterleiten.

Meine Lösung wäre: DNAT im DLink-Router des Kunden -> Tunnel zum Router-Modem, sofern dieses sowas unterstützt.

Der Kunde möchte ich bei diesem Routing aber nicht sein. Da vermutlich auch das Mikrotik-Backbone lediglich mit RouterOS läuft, dürfte der zusätzliche Router zum WLAN ziemlich unsinnig sein, da man das auch direkt an der Backbone-Hardware bewerkstelligen könnte. Einfach ein SXT o.ä. ran, passendes VLAN einrichten und fertig. Genauso könnte man auch das Router-Modem durch ein simples DSL-Modem ersetzen und hätte wieder ein Problem weniger, da RouterOS problemlos die PPPoE-Einwahl bewerkstelligen kann. Die sinnvollere Lösung erscheint mir daher Inet->DSL-Modem->Mikrotik->SXT->Kunden-WLAN->Cam. Das spart min. 2 NAT. Man könnte einfach im Mikrotik einen Tunnel zum Kunden-WLAN legen (wo natürlich noch ein NAT sein muss), Port öffnen und fertig.

 

[Uli]

Hallo und danke für die Antworten.

Das ganze Netz ist ziemlich groß, nix mit

im gleichen Haus

Zur Zeit läuft das alles noch ohne Tunnel. Ich bin am planen, das umzustellen, aber das ist nicht so einfach, da ungefähr 80 Kunden dran hängen und natürlich nix ausfallen soll.. Ich bin auch kein Netzwerkexperte.

Die Einwahl soll in Zukunft auch ein Mikrotikboard machen, das ist sicher besser, klar. Und - pardon - mit "öffnen" meinte ich selbstverständlich weiterleiten.

Das Router-Modem ist ein ZyXel-Teil von dem hiesigen Internetanbieter, bei dem ich den Zugang einkaufe und daran kann ich nicht viel machen. Aber routen und PPPoE könnte ich ausschalten, so daß das Ding nur als Modem läuft und dann PPPoE im Mikrotikboard machen.

Wie mache ich das mit dem Tunnel genau? Ich stelle mir das etwa so vor:

Das Wlan zum Kunden und einen VPLS-Tunnel als Ports in eine Bridge eintragen. Die andere Seite des Tunnels in dem letzten Routerboard vor dem Modem wieder in einer Bridge enden lassen und das Ethernet an dem das Modem hängt als Port da mit rein.
Würde das so laufen? Und "beißt" sich das auch nicht mit dem laufenden Betrieb im Netz? Das ist immer meine Hauptsorge - wenn ich da was ändere oder neu mache und in dem Moment, wo man das einschaltet, geht nix mehr...

Grüße

Uli

 

[bitmuncher]

Wenn du das Zyxel erstmal zum Modem umfunktionierst, ist ja schonmal einiges gewonnen. Dann hast du schonmal einen Punkt weniger, der ein NAT benötigt. Spar dir einfach 'ne Menge Arbeitszeit und stelle dem Kunden ein RB450G zur Verfügung (Kosten: ca. 100-140 Euro, rechnet sich also gemessen an der Arbeitszeit recht schnell). Dann kannst du einfach einen EoIP-Tunnel zwischen euren LANs legen und fertig. So brauchst du nur ein DNAT im Backbone (das dann die Einwahl übernimmt und somit direkt die Internet-IP hat) von deinem Mikrotik zum Internet. Alternativ lege einfach ein PPTP-Tunnel zwischen euren LANs.