проброс порта для подключения видеорегистратора

RIP, OSFP, BGP, MPLS/VPLS
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

проброс порта для подключения видеорегистратора

Сообщение golmarco »

Приветствую, ознакомился с разными темами по пробросу портов, к сожалению, в моем случае ничего не помогло.
Задача, есть видеорегистратор RVi-R04LA, которые настраивается через web-браузер, в локалке к нему доступ есть.
Надо организовать доступ к нему извне через маршрутизатор Mikrotik 750r2 hEx Lite. В NAT создал правило согласно этой статье
http://lantorg.com/article/probros-portov-na-mikrotik.

К сожалению, мазила пишет, что не может установить соединение с сервером. Может проблема в том, что на регистратор можно зайти только через web-браузер, который использует 80 порт, соответственно, если я пытаюсь зайти через другой порт - то доступа нет. Такое может быть?

Ставить в правиле порт 80 не имеет смысла, т.к. в такой случае подключаюсь к конфигуратору самого микротика.

Заранее благодарю за внимание и советы.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

покажите правило созданное, телепаты в отпуске :)

ставить порт 80 имеет смысл, поскольку правило dst-nat перехватывает пакеты раньше, чем они дойдут до внутреннего веб-сервера с конфигуратором. если менять внешний порт - просто установить to-ports=80, тоже должно работать

убедиться, что камера имеет доступ в Интернет через данный роутер (чтобы могла отвечать на запросы)

также некоторые камеры требуют не только 80 порта - пишите точные ошибки браузера на всякий случай
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

Re: проброс порта для подключения видеорегистратора

Сообщение golmarco »

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 200
In. Interface: ether1-gateway
Action: netmap
To Address: 192.168.xxx.xxx
To Ports: 80

почти заработало...заменил в последней строчке 200 на 80 (спасибо за совет)....страница входа загрузилась, только вот какой пароль я бы не вводил пишет ошибка входа...
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

Re: проброс порта для подключения видеорегистратора

Сообщение golmarco »

буду проверять настройки в видеорегистраторе по доступу к интернету
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

Re: проброс порта для подключения видеорегистратора

Сообщение golmarco »

а каким образом можно пробросить сразу несколько портов для видеорегистратора? Надо еще сделать доступ для портов 554 и 8000.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

если все порты надо пробрасывать один-в-один - то можно сделать dst-port=80,554,8000 и оставить to-ports неустановленным

если какие-то порты (напр., 80) надо выставлять наружу под другими номерами (напр., 200), то просто создать отдельное правило для этого
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

Re: проброс порта для подключения видеорегистратора

Сообщение golmarco »

у меня скорее всего второй вариант т.к. в адресной строке в браузере я указываю внешний айпишник и порт
только этого я так понял не достаточно - т.к. на вэб консоль регистратора я захожу а авторизоваться не могу (пишет ошибка входа для любой пары логин пароль)
если я создаю отдельное правило под каждый порт, то какой указывать в адресной строке в браузере?
golmarco
Сообщения: 6
Зарегистрирован: 19 апр 2016, 12:40

Re: проброс порта для подключения видеорегистратора

Сообщение golmarco »

пробросил остальные порты - все заработало
спасибо большое за отклик и советы.
Maman0017
Сообщения: 2
Зарегистрирован: 03 мар 2017, 20:28

Re: проброс порта для подключения видеорегистратора

Сообщение Maman0017 »

Добрый день!

Опыт подсказал следующую конфигурацию проброса портов и организации доступа

Первым правилом пакеты по портам передаются на камеру/видеорег
Вторым правилом маскарадятся локальные клиенты в сторону камеры/рега, т.е. вы попадете на оборудование по внешнему ip адресу и удаленно и локально

add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Это называется Hairpin NAT, вот тут есть немного разбора полётов: https://wiki.mikrotik.com/wiki/Hairpin_NAT
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Подскажите пожалуйста.У меня похожая ситуация. Мне нужно с внешнего IP пробросить на локальный- IP 10.0.32.2 на внутр.порты 554, 80, 3700. Где в данной конфиге внешний IP?
add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Поторопился не на 3700 а на 37777
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

max писал(а): 21 мар 2017, 21:08 Мне нужно с внешнего IP пробросить на локальный- IP 10.0.32.2 на внутр.порты 554, 80, 3700. Где в данной конфиге внешний IP?
add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100
Внешнего нет. "dst-address-type=local" - это значит, что пакеты должны идти на адрес, принадлежащий самому роутеру (например, адрес на интерфейсе WAN). В том числе для того, чтобы при смене адреса не надо было менять правило
max писал(а): 21 мар 2017, 21:09 Поторопился не на 3700 а на 37777
для этого на форуме есть редактирование сообщений :)
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Еще не разобрался с форумом)
Хочу сказать что недавно работаю с микротиком.
На данном пример 192.168.1.100 это адрес локальной подсети.Например у меня 10.0.32.0/24
А к чему будет относится вот эта подсеть 192.168.0.0/16. Что она означает на данном примере?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Видимо, оно обозначает "пакеты должны идти не на локальные адреса". Я бы сделал так:

Код: Выделить всё

add action=dst-nat chain=dstnat in-interface=WAN dst-address-type=local \
	dst-port=порты protocol=tcp to-addresses=внутренний_адрес
И убрал бы правило с action=masquerade - это костыль для случая, когда изнутри локалки подключаются по внешнему адресу. Сам такой случай называют Hairpin NAT: https://wiki.mikrotik.com/wiki/Hairpin_NAT
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Спасибо. Сейчас буду пробовать.
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Chupaka по твоей схеме все заработало, спасибо. Только пишет ошибку входа если я ломлюсь на регистратор через внешний IP, но из локалки.
add action=masquerade chain=srcnat dst-address=192.168.1.100 Этот костыль мне просто тоже нужен)
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Я сделал проброс с рандомного порта 3202 на 80 порт. Может еще на остальные два пробросы сделать, тогда что указывать в браузере, какой порт при подключении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Это уже вопрос к регистратору, может ли он работать на кастомных портах
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Спасибо за помощь, буду ковыряться. Отпишусь
max
Сообщения: 8
Зарегистрирован: 21 мар 2017, 20:45

Re: проброс порта для подключения видеорегистратора

Сообщение max »

Заработоло все пробросил. Пробросил 3202 на 80, 3203 на 554, 3204 на 37777. Оказывается 554 и 37777 нужны для открытия плагина авторизации и работы с мобильными приложениями.
Chupaka, еще раз спасибо по мощь.
MorZe
Сообщения: 6
Зарегистрирован: 04 июл 2017, 09:09

Re: проброс порта для подключения видеорегистратора

Сообщение MorZe »

Приветствую, подскажите как проброс сделать пожалуйста. В локальной сети имеется видеорегистратор с адресом 192.168.1.12 в сети есть проксик подключенный через микротик к интернету, есть статичный IP. Нужно сделать доступ к видеорегистратору через мобильное приложение извне. Для этого нужно пробросить порты 37777 и 554.

Создал 2 правила похожих на те, что тут писали, но не подключается:
Action dst-nat
Chain dstnat
Protocol 6(tcp)
Dst. port 37777
in. interface ether1 (INTERNET)
action dst-nat
To addresses 192.168.1.12

P.S Если включить на видеорегистраторе сеть P2P то мобильное приложение по серийному номеру к нему подключается, но нужно сделать через IP
Последний раз редактировалось MorZe 04 июл 2017, 09:54, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

А что с проксиком? Зачем его упомянули? "Статичный IP" где есть?
MorZe
Сообщения: 6
Зарегистрирован: 04 июл 2017, 09:09

Re: проброс порта для подключения видеорегистратора

Сообщение MorZe »

С проксиком ничего, просто может быть в нем что нибудь настроить тоже надо, в нем настроено пропускать все порты во всех направлениях с адреса регистратора. В настройках регистратора указан шлюз - проксик а не микротик
и еще: проксик соединен с микротиком через одну сетевую,а через вторую сетевую раздает интернет в локалку
то есть соединение проксик-микротик это другая подсеть
Статичный айпи на микротике
MorZe
Сообщения: 6
Зарегистрирован: 04 июл 2017, 09:09

Re: проброс порта для подключения видеорегистратора

Сообщение MorZe »

сейчас заметил что с микротика вообще не видится адрес регистратора, пишет таймаут. Хотя я с локалки (со своего компа) пингую и микротик и регистратор