Mini switch gestito poe in-out

  • Autore discussione Autore discussione peg87
  • Data d'inizio Data d'inizio
Pubblicità
Se hai tailscale sul firewall, puoi impostarlo come subnet router
tailscale.com

Subnet routers · Tailscale Docs

Use subnet routers to give devices outside your local network access to services within specific subnets. Extend your private network with Tailscale.
tailscale.com tailscale.com
e consentire il traffico dall'interfaccia di tailscale alla subnet delle cam sull'interfaccia VLAN apposita


così tramite tailscale puoi accedere alla rete interna delle telecamere

Tailscale internamente usa Wireguard per la VPN, quindi va benissimo (anche se usa il modulo userspace e non kernel, non hai sensibili differenze di velocità)
 
Come ho detto da remoto infatti riesco a pingare la rete delle telecamere e anche le telecamere stesse, ma lato app non vanno.
Tailscale nel mio caso è installato su una VM linux perchè il mio router permette l'instalazione di pacchetti esterni, è un sistema chiuso.
 
Se l'app usa un cloud, è chiaro che non vadano, dato che non le fai uscire verso il cloud del fornitore.
Se l'app la puoi configurare direttamente con gli IP delle telecamere, dovrebbero andare.
Le Hikvision e le Dahua funzionano tranquillamente anche senza internet, chiaramente non puoi passare dai rispettivi cloud.

Comunque le ritengo paranoie.
 
Però collegato al mio WiFi vanno (almeno dal il mio telefono).
Anche il loro software Windows funziona (dalla stessa a da altra VLan... Quindi in rete locale devono andare! .
 
Come scritto prima, questi software li configurati tramite l'IP delle telecamere?
 
E questo mi fa pensare quindi che si siano configurate tramite il loro cloud e non dirette tramite ip...
 
Inizialmente si, ma poi da pc puoi cambiare ip. Infati hanno tutte ip statico....alla peggio troverò un'altra app che gestica le can con protocollo onvif.

Cambiando argomento:
Da uno dei miei pc non riesco a connettermi al modem mikrotik. E' collegato al firewall tramite VLAN. Se provo a pingarlo invece risponde. Nemmeno da web lo raggiungo.
 
peg87 ha detto:
Da uno dei miei pc non riesco a connettermi al modem mikrotik. E' collegato al firewall tramite VLAN. Se provo a pingarlo invece risponde. Nemmeno da web lo raggiungo.
Clicca per espandere...
Dal tuo firewall c'è regola di source nat / masquerading dalla subnet di quella vlan alla subnet su cui è il mikrotik?
 
PippoGold ha detto:
Su un router che le supporta. Mi pare che tu hai untangle?
Clicca per espandere...
Si esatto untangle
--- i due messaggi sono stati uniti ---
r3dl4nce ha detto:
Dal tuo firewall c'è regola di source nat / masquerading dalla subnet di quella vlan alla subnet su cui è il mikrotik?
Clicca per espandere...
Perché masquerading? Sarebbe instradamento su vlan. Cioè il router fa tutto in automatico ma non c'è del Nat dietro.
 
peg87 ha detto:
Perché masquerading? Sarebbe instradamento su vlan. Cioè il router fa tutto in automatico ma non c'è del Nat dietro.
Clicca per espandere...

La subnet 192.168.X.0 / 24 non sa nulla della subnet 192.168.Y.0 / 24 (se sono fisicamente o logicamente separate) quindi l'unico modo di passare pacchetti da una rete all'altra è avere un dispositivo con interfaccia di rete e IP su entrambe le reti che possa trasformare i pacchetti provenienti dalla subnet 192.168.Y.0 / 24 in pacchetti della subnet 192.168.X.0 / 24 e viceversa ergo network address translation.
In questo caso il dispositivo deve cambiare l'ip sorgente con il proprio, costruirsi la routing table e insteadare i pacchetti di ritorno. Quindi source NAT, di cui masquerading è un caso particolare
 
OK giusto non ci avevo ragionato a fondo. In ogni caso no nel mio firewall non ci sono regole di NAT attive. Il masquerading lo fa in automatico, poi se ci fossero problemi da quel punto di vista, non dovrebbe essere bloccato anche il ping?
 
Generalmente sì, però non so come si comporta il tuo firewall, il ping passa su protocollo ICMP al contrario la normale comunicazione passa su TCP o UDP (esempio winbox mikrotik lavora su TCP porta 8291 oppure può lavorare a layer 2 tramite il mac address, ma te non hai le reti in bridge quindi non è il tuo caso), potrebbe avere delle impostazioni per far passare il protocollo ICMP che viene usato anche per funzioni di controllo pacchetti, e altro no.
È così difficile impostare una regola che consenta il Source NAT dalla LAN alla WAN su IP del mikrotik e porta 8291 ?

Per dire su mikrotik è questione di due regole di firewall, una per impostare il source NAT e una per consentire il passaggio dei pacchetti

Codice: 
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT - LAN -> WINBOX MIKROTIK LTE" dst-address-list=HostMikrotikLTE dst-port=8291 in-interface-list=LAN out-interface-list=WAN protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat comment="SOURCE NAT -> WAN   - MIKROTIK WINBOX" dst-address-list=HostMikrotikLTE dst-port=8291 out-interface-list=WAN protocol=tcp
 
r3dl4nce ha detto:
Generalmente sì, però non so come si comporta il tuo firewall, il ping passa su protocollo ICMP al contrario la normale comunicazione passa su TCP o UDP (esempio winbox mikrotik lavora su TCP porta 8291 oppure può lavorare a layer 2 tramite il mac address, ma te non hai le reti in bridge quindi non è il tuo caso), potrebbe avere delle impostazioni per far passare il protocollo ICMP che viene usato anche per funzioni di controllo pacchetti, e altro no.
È così difficile impostare una regola che consenta il Source NAT dalla LAN alla WAN su IP del mikrotik e porta 8291 ?

Per dire su mikrotik è questione di due regole di firewall, una per impostare il source NAT e una per consentire il passaggio dei pacchetti

Codice: 
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT - LAN -> WINBOX MIKROTIK LTE" dst-address-list=HostMikrotikLTE dst-port=8291 in-interface-list=LAN out-interface-list=WAN protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat comment="SOURCE NAT -> WAN   - MIKROTIK WINBOX" dst-address-list=HostMikrotikLTE dst-port=8291 out-interface-list=WAN protocol=tcp
Clicca per espandere...
Con la regola di nat ha funzionato....mi rimane da capire perchè dall'altro pc, anche senza nat funzioni! Ora ho fatto una regola generica, poi la farò più specifica. Su untangle non esiste il concetto delle chain, è una cosa puramente delle ip tables, che ovviamente Mikrotik riporta essendo basato su esse.
Adesso devo capire bene le telecamere, appena torno a casa provo a fare una regola anche lì.
 
Pubblicità
Pubblicità
Indietro
Top