Nat ip amico verso chr

[abbio90]

Ciao a tutti...ho un'amico che deve installare un.impianto di videosorveglianza in una baita che avrà uso temporaneo per qualche mese...

Siccome non ha accesso ad internet pensavo di fornirle un router 4G mikrotik..se volessi darle accesso al suo impianto da ip pubblico creando un tunnel verso un mio CHR e creando dei dst nat vari verso il suo impianto...che rischi corro?

Come posso proteggere i miei impianti che stanno sempre sopra CHR ma raggiungibili solo da vpn?

[Andrea Annoni]

Dropperei di sicuro le comunicazioni tra le varie PPP (chain di forward IN interface "all PPP" OUT interface "all PPP" e come action il DROP.

 

Aggiungerei una chain di forward con IN interface le PPP che sono in stato NEW e come action sempre il DROP.

 

 

 

[abbio90]

Ma facendo così mi droppa anche delle sedi che ho che comunicano tra loro con le rotte?

[Andrea Annoni]

Cosi blocchi le comunicazioni tra le varie PPP dirette.......  Se hai delle rotte quelle no....... però sarebbe da verificare

 

[abbio90]

Io stavo pensando di fare un profile con con una subnet dedicata per questo amico...e fare delle forward dove SRC address " subnet vpn amico" e dst address " lan amico" accept e una con SRC address subnet vpn amico e  dst address !lan amico drop..

Ma non so se anche questo sia efficace