В данной статье мы разобрали все тонкости процесса перенаправления портов. Если у пользователя нет возможности или желания покупать регистратор и выполнять трудоёмкую процедуру, он может воспользоваться облачным сервисом для удалённого видеонаблюдения. Для подключения IP-камер видеонаблюдения рекомендуется использовать свободный диапазон портов TCP, например, начиная с 5500 и выше. Такие методы вывода одного из FG в бэкап могут игнорироваться на стороне оператора связи, в связи с особенностями конфигурации, поэтому рекомендуем уточнить у оператора связи возможность обработки отправляемых атрибутов маршрутизации для анонсируемых подсетей.

Как настроить резервированную схему сети с использованием протокола BGP и anycast-подсети

В данной инструкции расскажем, как настроить резервированную схему сети на инфраструктуре Selectel. Статья будет полезна всем, кто хочет построить отказоустойчивую инфраструктуру на уровне сети. Такая схема резервирования позволяет решить все перечисленные ниже задачи одновременно:

Чтобы резервирование работало, необходимо настроить не только сеть, но и инфраструктуру, на которой будут работать клиентские проекты. В этом тексте мы затронем только сетевую часть настройки.

У нас есть роутинг-инстанс — vrf_1 (красные линии). Он объединяет вычислительные ресурсы, расположенные в Санкт-Петербурге и Москве: выделенные серверы, виртуальные машины, развернутые в облачной платформе Selectel и в облаке на базе VMware.

У Вас проблема? Задайте вопрос эксперту

Для доступа к проектам из интернета выделена anycast-сеть 31.184.217.248/29.

Мы не используем /31 стыковочные сети, так как наш шлюз резервируется на базе технологии VRRP (подключено по умолчанию для FortiGate).

Заказать необходимое количество выделенных серверов, файерволов, виртуальных машин.
Понять, сколько изолированных виртуальных роутеров потребуется и какие серверы должны быть ими связаны.
Определиться, сколько белых IP-адресов необходимо для доступа к клиентским сервисам из интернета.
Заказать и настроить VRF.
Настроить маршрутизации на клиентских серверах.
Создать виртуальные машины с файерволами FortiGate.
Настроить FG через CLI.
Настроить BGP на FortiGate в локальной сети.
Настроить BGP во внешней сети.
Определить Master/Slave-роли для FortiGate.
Настроить NAT на FortiGate.
Протестировать схемы.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Если вам нужна бесплатная консультация, пишите мне!

Проброс портов на маршрутизаторе | Двор24

Заказ и настройка VRF

Мы опустим описание первых трех шагов, потому что они не связаны с настройками сети. О том, как арендовать серверы в Selectel, и что такое виртуальный роутер, можно почитать в базе знаний компании или обратиться за консультацией по почте sales@selectel.ru.

Итак, закажем необходимое количество VRF и добавим в них нужные серверы. Для этого нужно создать тикет через панель управления Selectel. Инструкция, как быстро создать локальную сеть, есть в базе знаний.

На данный момент конфигурировать такие сети можно самостоятельно через панель управления.

Какие изменения в инфраструктуре произойдут после этих действий?

В облаке на базе VMware ситуация аналогичная: после заказа подсеть появится в vCloud Director.

Для выделенных серверов фиксированной конфигурации дополнительно просить о подключении локального порта не нужно. Серверы Selectel заранее подключены в обе плоскости сети — локальную и интернет.

Если у вас сервер произвольной конфигурации или вы разместили свое оборудование в Selectel (colocation), потребуется запросить подключение вашего оборудования к локальной сети Selectel через тикет

Дополнительно для построения BGP-сессий во внешней сети потребуется выделить по стандартной /29 внешней подсети для каждого файервола. В нашей схеме в
качестве примера будут использоваться сети 77.223.107.152/29 (Мск) и и 94.26.237.112/29 (СПб).

На схеме FortiGate в Санкт-Петербурге является бэкапом (мы настроили такое поведение в разделе «Определение Master/Slave ролей для FortiGate» ), и все активные маршруты ведут на FortiGate в Москве. В данном руководстве приведены примеры на базе проброса портов для IP-камеры видеонаблюдения, доступ к которой осуществляется через определенный RTSP-порт обычно используется 554, но, в зависимости от производителя вендора может отличаться, например 10554 или 8554. Чтобы владелец такой системы имел возможность наблюдать за происходящим удалённо, на финишном этапе установки видеокамер следует произвести проброс портов.

Hairpin NAT

Почему так происходит? Давайте рассмотрим еще одну схему:

Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.

Чтобы понять, как это работает мы подготовили следующую схему:

Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.

Через терминал данное правило можно создать следующим образом:

В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.

Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Проброс портов и Hairpin NAT в роутерах Mikrotik - Записки IT специалиста

Для получения видео с камеры №2 сервер должен отправить запрос на IP-адрес 97.154.104.65 через порт 5502, роутер примет запрос и перенаправит его на локальный IP-адрес 192.168.1.101 через порт 554. Камера, получив обращение через 554 порт, будет отдавать видео по протоколу RTSP на сервер.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Несмотря на то, что router-id отличен от того, который сконфигурирован как адрес соседа на другом конце, сессия установится в Established. Если вам нужна бесплатная консультация, пишите мне!