проброс порта для подключения видеорегистратора

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka » 24 авг 2017, 09:23

Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69

anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis » 24 авг 2017, 13:05

Chupaka писал(а):
24 авг 2017, 09:23
Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69
Ну во-первых, спасибо за то, что откликнулись. Оборудование Mikrotik для меня новое познание. Скажу больше, вижу безграничность и гибкость в настройке. Как и любой человек, столкнувшийся с новым оборудованием испытываю некие трудности. главное понять что и куда, проще будет строить сеть. Но ближе к вопросу. Адрес 1.1.1.1 имеет другое значение и мною прописать как пример. Я купил у провайдера IP 31.хх.хх.хх.91. Ранее провайдер мне выделял внутренний 10.140.119.69, после того как я купил белый, как я понимаю, на своей стороне провайдер привязал к внутреннему 10.140.119.69 внешний 31.хх.хх.хх.91. Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
2017-08-24_13-03-20.png
2017-08-24_13-03-20.png (12.89 КБ) 2008 просмотров

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka » 24 авг 2017, 14:19

anapalis писал(а):
24 авг 2017, 13:05
Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?

У регистратора шлюзом по умолчанию точно указан этот роутер?

Можно попробовать на тест добавить правило /ip fi nat add chain=srcnat action=masq dst-address=192.168.1.3 protocol=tcp dst-port=5120 и проверить с ним (при этом любые подключения через роутер сам регистратор будет видеть как приходящие от самого роутера)

anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis » 24 авг 2017, 14:53


Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?
Я сделал скрины правил. Ваш совет по маскировке тоже не принес результатов.
2017-08-24_14-51-27.png
2017-08-24_14-51-27.png (31.07 КБ) 2006 просмотров
2017-08-24_14-52-46.png
2017-08-24_14-52-46.png (14.63 КБ) 2006 просмотров
2017-08-24_14-47-01.png
2017-08-24_14-47-01.png (25.19 КБ) 2006 просмотров

anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis » 24 авг 2017, 14:58

Уважаемый Chupaka.
Углубленно хочу изучить данное оборудование и правописание правил, так как хочу реализовать свои планы по настройке оборудования на стороне клиентов, ждущих моих услуг. В планах и реализация хотспотов, биллингов, соединение нескольких групп в одну сеть, вести адекватную поддержку, потому как дилетантов очень много, а мне хочется быть профессионалом в своем деле. Понимаю, что шишек надо набить много и так же много сидеть по форумам, дабы набраться "ума". )))

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka » 24 авг 2017, 16:09

anapalis писал(а):
24 авг 2017, 14:53
Я сделал скрины правил.
Лучше так не делать, самое интересное, как правило, остаётся за кадром. Как в данном случае.
Лучше открыть Terminal и сделать "/export [file=имя.файла]" (или нужный раздел: "/ip firewall nat export")
anapalis писал(а):
24 авг 2017, 14:53
Ваш совет по маскировке тоже не принес результатов.
Как вижу на скриншоте, там указан out-interface=eth1-wan - а это вряд ли правильно (и я такого не писал). У вас ведь 192.168.1.3 не за wan'ом?

Отключите reject- и drop-правила в Firewall Filter и перепроверьте - мало ли вы не разрешаете доступ видеорегистратора в Интернет, по картинкам непонятно

anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis » 24 авг 2017, 17:10

Chupaka! Огромное Вам человеческое спасибо! При отключении reject и drop, картина пошла. Настройки эти я взял с форума микротика, https://habrahabr.ru/post/265387/. Понимаю, что случаи у всех разные, вот и повелся на данную статью. Но дико хочу изучить эту линейку, чтобы, как я уже говорил, строить масштабные проекты. У нас, к великому сожалению мало профессионалов, в основном дилетанты, которые, начитавшись форумов, возводят себя в степень гуру. Еще раз благодарю за помощь. Знаю, будет много работы. Ведь режекты и дропы тоже не просто так существуют. Необходимо и о безопасности помнить. Жаль мало материала, пошагового знакомства и ввод в курс дела по этому оборудованию.

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka » 24 авг 2017, 17:25

Пошла - включать обратно постепенно, смотреть, что влияет. Думать, почему, добавлять исключения :)

anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis » 26 авг 2017, 12:10

Поочередно включал и наткнулся фильтр "add action=reject chain=forward reject-with=icmp-network-unreachable" внеся изменения в условия этого фильтра, исключив адрес 192.168.1.3 получил "add action=reject chain=forward dst-address=!192.168.1.3 reject-with=\ icmp-network-unreachable" получил трансляцию видео на удаленку. Как я понимаю, я исключил ip видеорегистратора из данного фильтра. Теперь осталось разобраться что конкретно делает этот фильтр. В любом случае Chupaka пролил свет и помог, за что ему отдельное спасибо. )))))

vovix
Сообщения: 2
Зарегистрирован: 11 окт 2017, 22:54

Re: проброс порта для подключения видеорегистратора

Сообщение vovix » 12 окт 2017, 20:59

Ребята помогите ни на один комп в сети не могу сделать переброс портов! Делаю подобно правилам выше!
Пишет мне "Forbidden 403.6 IP address rejected" когда пытаюсь зайти на 80 порт спутникового ресивера в нутри сети!

Ответить