проброс порта для подключения видеорегистратора

RIP, OSFP, BGP, MPLS/VPLS
GodB
Сообщения: 7
Зарегистрирован: 11 июл 2017, 22:10

Re: проброс порта для подключения видеорегистратора

Сообщение GodB »

maxim_minton писал(а): 12 июл 2017, 14:19 Дак может дело не в бензине?
Да все работает кроме 30и компов в сети
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

GodB писал(а): 12 июл 2017, 14:15 Все заработало без портов, кроме RTSP с телефона коонект есть а изображения снова нету (
Т.е. заработало? Или всё так же? Запятых маловато для точного восприятия смысла предложения


"Всё работает, кроме тридцати компов" - это о чём?..
GodB
Сообщения: 7
Зарегистрирован: 11 июл 2017, 22:10

Re: проброс порта для подключения видеорегистратора

Сообщение GodB »

Chupaka писал(а): 12 июл 2017, 16:17
GodB писал(а): 12 июл 2017, 14:15 Все заработало без портов, кроме RTSP с телефона коонект есть а изображения снова нету (
Т.е. заработало? Или всё так же? Запятых маловато для точного восприятия смысла предложения


"Всё работает, кроме тридцати компов" - это о чём?..
Интернет кафе, сервер, видеонаблюдение. Настраивая по схеме без портов, сервер не видит компы в программе. Настраивая переброс портов видео не отображается, если на секунду у открыть все порты изо удаленно можно смотреть даже если закрыть порты
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

GodB писал(а): 12 июл 2017, 16:29 на секунду у открыть все порты изо удаленно
Вы читаете то, что пишете? :)

Под "открыть все порты" вы что понимаете? У вас что-то правилами фильтра файрвола закрыто? Ну так ищите, что лишнее закрыто :) С помощью, например, Tools -> Torch
Legacy
Сообщения: 3
Зарегистрирован: 21 июл 2017, 12:37

Re: проброс порта для подключения видеорегистратора

Сообщение Legacy »

Тоже возникла проблема.
Есть сеть с роутером Mikrotik и кучей других ресурсов в сети, камеры, компы с разными сервисами и т.д и т.п.
К этому всему прописаны правила NAT с разными портами для доступа из интернета по схеме внешний ip + порт. Таких правил около 100.
Как мне добиться что бы из локалки все так же работало по схеме внешний ip + порт?
Не хочется как-то создавать еще по 2 нат-рула на каждое устройство.
Можно ли как-то прописать одним-двумя правилами, чтобы на все пакеты пришедшие на внешний адрес с локального, ответ шел также через внешний ip?
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Такая схема называется Hairpin NAT и в простейшем случае для её осуществления достаточно одного правила:

Код: Выделить всё

/ip firewall nat add chain=srcnat action=masquerade
Из плохого - при этом все соединения, проходящие через роутер, будут видны как установленные самим роутером (т.е. внутренняя камера при подключении внутреннего клиента по внешнему адресу будет "видеть", что к ней подключаются с адреса роутера).

В качестве улучшения ситуации можно использовать Netmap. Например, у вас локалка 192.168.1.0/24 - тогда выделяем фейковую подсеть 192.168.100.0/24 и делаем

Код: Выделить всё

/ip firewall nat add chain=srcnat action=netmap out-interface=LAN src-address=192.168.1.0/24 to-addresses=192.168.100.0/24
В результате клиента, например, 192.168.1.15 камера будет видеть как 192.168.100.15
Legacy
Сообщения: 3
Зарегистрирован: 21 июл 2017, 12:37

Re: проброс порта для подключения видеорегистратора

Сообщение Legacy »

Первый вариант и сам уже нарыл + еще пару подобных. На камеры теперь попасть могу, но возникла новая проблема - не важно какой логин+пароль ввожу, в камеру не впускает, хотя с инета вхожу без проблем.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Так изначально было, или через некоторое время стало? Может, какая-то защита на камерах наложилась на одновременное подключение нескольких клиентов? Попробуйте второй вариант, может?

Но в целом роутер не может никак на пароли влиять :)
Legacy
Сообщения: 3
Зарегистрирован: 21 июл 2017, 12:37

Re: проброс порта для подключения видеорегистратора

Сообщение Legacy »

Так сразу было. С инета свободно логинюсь, а с сети не входит.
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Всем привет!
Вот и я столкнулся с перебросом портов на Mikrotike RB3100. Не скажу что долго вникал в суть, но проблема не решена. Пока хочу понять: почему? Уж очень мне понравилось оборудование Mikritik'a.
Есть от провайдера белый IP пр.- 1.1.1.1. На своей стороне , как я понимаю провайдер его привязал к локальному адресу 10.140.119.69, который я и получаю по DHCP в роутере. Есть локалка 192.168.1.0/24. Имеется видеорегистратор 192.168.1.3, который ранее транслировал видеопоток на мобильное приложение по порту 5120. Какие бы правила переброса я бы не прописывал, MT не хочет понимать меня. Я реально хочу разобраться как грамотно делать настройки и почему это происходит, чтобы в дальнейшем понимать, что и для чего я делаю. В лгах пишет: dstnat: in:eth1-wan out:(none), src-mac xx.xx.xx.xx.xx, proto TCP(SYN), 1.1.1.1:58116->10.140.119.69:5120, len 60. Я подозреваю, что локальный IP-шник, что дает мне провайдер 10.140.119.69, необходимо вносить в маршруты, но на каком этапе - тут и есть гвоздь в доске.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Chupaka писал(а): 24 авг 2017, 09:23 Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69
Ну во-первых, спасибо за то, что откликнулись. Оборудование Mikrotik для меня новое познание. Скажу больше, вижу безграничность и гибкость в настройке. Как и любой человек, столкнувшийся с новым оборудованием испытываю некие трудности. главное понять что и куда, проще будет строить сеть. Но ближе к вопросу. Адрес 1.1.1.1 имеет другое значение и мною прописать как пример. Я купил у провайдера IP 31.хх.хх.хх.91. Ранее провайдер мне выделял внутренний 10.140.119.69, после того как я купил белый, как я понимаю, на своей стороне провайдер привязал к внутреннему 10.140.119.69 внешний 31.хх.хх.хх.91. Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
2017-08-24_13-03-20.png
2017-08-24_13-03-20.png (12.89 КБ) 5726 просмотров
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

anapalis писал(а): 24 авг 2017, 13:05 Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?

У регистратора шлюзом по умолчанию точно указан этот роутер?

Можно попробовать на тест добавить правило /ip fi nat add chain=srcnat action=masq dst-address=192.168.1.3 protocol=tcp dst-port=5120 и проверить с ним (при этом любые подключения через роутер сам регистратор будет видеть как приходящие от самого роутера)
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »


Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?
Я сделал скрины правил. Ваш совет по маскировке тоже не принес результатов.
2017-08-24_14-51-27.png
2017-08-24_14-51-27.png (31.07 КБ) 5724 просмотра
2017-08-24_14-52-46.png
2017-08-24_14-52-46.png (14.63 КБ) 5724 просмотра
2017-08-24_14-47-01.png
2017-08-24_14-47-01.png (25.19 КБ) 5724 просмотра
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Уважаемый Chupaka.
Углубленно хочу изучить данное оборудование и правописание правил, так как хочу реализовать свои планы по настройке оборудования на стороне клиентов, ждущих моих услуг. В планах и реализация хотспотов, биллингов, соединение нескольких групп в одну сеть, вести адекватную поддержку, потому как дилетантов очень много, а мне хочется быть профессионалом в своем деле. Понимаю, что шишек надо набить много и так же много сидеть по форумам, дабы набраться "ума". )))
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

anapalis писал(а): 24 авг 2017, 14:53 Я сделал скрины правил.
Лучше так не делать, самое интересное, как правило, остаётся за кадром. Как в данном случае.
Лучше открыть Terminal и сделать "/export [file=имя.файла]" (или нужный раздел: "/ip firewall nat export")
anapalis писал(а): 24 авг 2017, 14:53 Ваш совет по маскировке тоже не принес результатов.
Как вижу на скриншоте, там указан out-interface=eth1-wan - а это вряд ли правильно (и я такого не писал). У вас ведь 192.168.1.3 не за wan'ом?

Отключите reject- и drop-правила в Firewall Filter и перепроверьте - мало ли вы не разрешаете доступ видеорегистратора в Интернет, по картинкам непонятно
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Chupaka! Огромное Вам человеческое спасибо! При отключении reject и drop, картина пошла. Настройки эти я взял с форума микротика, https://habrahabr.ru/post/265387/. Понимаю, что случаи у всех разные, вот и повелся на данную статью. Но дико хочу изучить эту линейку, чтобы, как я уже говорил, строить масштабные проекты. У нас, к великому сожалению мало профессионалов, в основном дилетанты, которые, начитавшись форумов, возводят себя в степень гуру. Еще раз благодарю за помощь. Знаю, будет много работы. Ведь режекты и дропы тоже не просто так существуют. Необходимо и о безопасности помнить. Жаль мало материала, пошагового знакомства и ввод в курс дела по этому оборудованию.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Пошла - включать обратно постепенно, смотреть, что влияет. Думать, почему, добавлять исключения :)
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Поочередно включал и наткнулся фильтр "add action=reject chain=forward reject-with=icmp-network-unreachable" внеся изменения в условия этого фильтра, исключив адрес 192.168.1.3 получил "add action=reject chain=forward dst-address=!192.168.1.3 reject-with=\ icmp-network-unreachable" получил трансляцию видео на удаленку. Как я понимаю, я исключил ip видеорегистратора из данного фильтра. Теперь осталось разобраться что конкретно делает этот фильтр. В любом случае Chupaka пролил свет и помог, за что ему отдельное спасибо. )))))
vovix
Сообщения: 2
Зарегистрирован: 11 окт 2017, 22:54

Re: проброс порта для подключения видеорегистратора

Сообщение vovix »

Ребята помогите ни на один комп в сети не могу сделать переброс портов! Делаю подобно правилам выше!
Пишет мне "Forbidden 403.6 IP address rejected" когда пытаюсь зайти на 80 порт спутникового ресивера в нутри сети!
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Я так понимаю, на ресивере надо настроить удалённый доступ: https://github.com/E2OpenPlugins/e2open ... issues/467
Voy
Сообщения: 3
Зарегистрирован: 06 ноя 2017, 13:28

Re: проброс порта для подключения видеорегистратора

Сообщение Voy »

Добрый день!

Есть роутер Mikrotik с белым внешним ip-адресом, внутри несколько камер, допустим, три, с адресами 192.168.1.101, 192.168.1.102 и 192.168.1.103. Нужно организовать к каждой из них через веб-интерфейс доступ извне. Делаю стандартно, как здесь и описывали, три правила для каждой по отдельному порту:

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 44101   // 44102 и 44103 соответственно
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101   // 192.168.1.102 и 192.168.1.103 соответственно
To Ports: 80
Далее извне через браузер лезу на первую камеру http://x.x.x.x:44101. Появляется окно ввода логина и пароля, ввожу их, выходит предупреждение: "Login timeout". Решаю (для первой камеры) добавлением правила ("To Ports:" не заполняю):

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 34567
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101
Всё работает, на камеру пускает, управление есть, картинка тоже.

Вопрос. Как проделать такое с остальными камерами? Ведь теперь, из-за этого правила, когда лезу на вторую и третью камеры по http://x.x.x.x:44102 и http://x.x.x.x:44103, меня перекидывает в конфигурацию первой (пускает, поскольку логины-пароли одинаковые). Можно решить этот момент, поменяв порты на второй и третьей камерах, например на 34568 и 34569, и сделав отдельные пробросы для них, но хочется найти вариант, при котором в каждой камере не придётся менять порты, потом лезть в другое оборудование, менять настройки там и т.д. (три камеры взял для примера), плюс для каждой камеры создавать ещё по правилу. Хочется упростить работу до вида: стучишься в нужный порт Х и тебя одним правилом отправляет на нужную камеру Х на 80 порт, а каким-то другим(и), но общим(и) для всех камер (и новых в том числе), подцепляет к данной сессии проброс на эту камеру Х по порту 34567. Возможно ли это?
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.
Voy
Сообщения: 3
Зарегистрирован: 06 ноя 2017, 13:28

Re: проброс порта для подключения видеорегистратора

Сообщение Voy »

Chupaka писал(а): 08 ноя 2017, 10:22 Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.
Ну да, камерам точно нужно именно два порта: 80-й для того, чтобы достучаться, и 34567-й для управления настройками и/или получения изображения.

34567 - это так называемый Media Port, прописан в сетевых настройках по умолчанию во всех этих камерах. Понимаю, что в правиле "без To Ports" просто идёт проброс на указанный в Dst. Port 34567. Но вопрос состоит в другом. Хочу сделать удобную схему:
1. Для каждой камеры по одному правилу по переброске на 80 порт (http://x.x.x.x:44101 -> 192.168.1.101:80, http://x.x.x.x:44102 -> 192.168.1.102:80, http://x.x.x.x:44103 -> 192.168.1.103:80 и т.д.). Это чтобы достучаться до нужной камеры.
2. Некое универсальное правило (или правила), чтобы, когда "достучался" до нужной камеры по первому пункту, автоматически организовывался проброс к порту 34567 именно этой конкретной камеры, до которой достучался. Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Voy писал(а): 08 ноя 2017, 12:09 Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.
Увы, так сделать не получится: роутер понятия не имеет, от какой вкладки в браузере идёт подключение. Так что придётся менять Media-порт на уникальный.
Ответить