проброс порта для подключения видеорегистратора

[golmarco]

Приветствую, ознакомился с разными темами по пробросу портов, к сожалению, в моем случае ничего не помогло.
Задача, есть видеорегистратор RVi-R04LA, которые настраивается через web-браузер, в локалке к нему доступ есть.
Надо организовать доступ к нему извне через маршрутизатор Mikrotik 750r2 hEx Lite. В NAT создал правило согласно этой статье
http://lantorg.com/article/probros-portov-na-mikrotik.

К сожалению, мазила пишет, что не может установить соединение с сервером. Может проблема в том, что на регистратор можно зайти только через web-браузер, который использует 80 порт, соответственно, если я пытаюсь зайти через другой порт - то доступа нет. Такое может быть?

Ставить в правиле порт 80 не имеет смысла, т.к. в такой случае подключаюсь к конфигуратору самого микротика.

Заранее благодарю за внимание и советы.

[Chupaka]

покажите правило созданное, телепаты в отпуске

ставить порт 80 имеет смысл, поскольку правило dst-nat перехватывает пакеты раньше, чем они дойдут до внутреннего веб-сервера с конфигуратором. если менять внешний порт - просто установить to-ports=80, тоже должно работать

убедиться, что камера имеет доступ в Интернет через данный роутер (чтобы могла отвечать на запросы)

также некоторые камеры требуют не только 80 порта - пишите точные ошибки браузера на всякий случай

[golmarco]

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 200
In. Interface: ether1-gateway
Action: netmap
To Address: 192.168.xxx.xxx
To Ports: 80

почти заработало...заменил в последней строчке 200 на 80 (спасибо за совет)....страница входа загрузилась, только вот какой пароль я бы не вводил пишет ошибка входа...

[golmarco]

буду проверять настройки в видеорегистраторе по доступу к интернету

[golmarco]

а каким образом можно пробросить сразу несколько портов для видеорегистратора? Надо еще сделать доступ для портов 554 и 8000.

[Chupaka]

если все порты надо пробрасывать один-в-один - то можно сделать dst-port=80,554,8000 и оставить to-ports неустановленным

если какие-то порты (напр., 80) надо выставлять наружу под другими номерами (напр., 200), то просто создать отдельное правило для этого

[golmarco]

у меня скорее всего второй вариант т.к. в адресной строке в браузере я указываю внешний айпишник и порт
только этого я так понял не достаточно - т.к. на вэб консоль регистратора я захожу а авторизоваться не могу (пишет ошибка входа для любой пары логин пароль)
если я создаю отдельное правило под каждый порт, то какой указывать в адресной строке в браузере?

[golmarco]

пробросил остальные порты - все заработало
спасибо большое за отклик и советы.

[Maman0017]

Добрый день!

Опыт подсказал следующую конфигурацию проброса портов и организации доступа

Первым правилом пакеты по портам передаются на камеру/видеорег
Вторым правилом маскарадятся локальные клиенты в сторону камеры/рега, т.е. вы попадете на оборудование по внешнему ip адресу и удаленно и локально

add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100

[Chupaka]

Это называется Hairpin NAT, вот тут есть немного разбора полётов: https://wiki.mikrotik.com/wiki/Hairpin_NAT

[max]

Подскажите пожалуйста.У меня похожая ситуация. Мне нужно с внешнего IP пробросить на локальный- IP 10.0.32.2 на внутр.порты 554, 80, 3700. Где в данной конфиге внешний IP?
add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100

[max]

Поторопился не на 3700 а на 37777

[Chupaka]

Мне нужно с внешнего IP пробросить на локальный- IP 10.0.32.2 на внутр.порты 554, 80, 3700. Где в данной конфиге внешний IP?
add action=dst-nat chain=dstnat comment="dstnat to murio hik" dst-address=\
!192.168.0.0/16 dst-address-type=local dst-port=80,8000.554.443 protocol=tcp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat dst-address=192.168.1.100

Внешнего нет. "dst-address-type=local" - это значит, что пакеты должны идти на адрес, принадлежащий самому роутеру (например, адрес на интерфейсе WAN). В том числе для того, чтобы при смене адреса не надо было менять правило

Поторопился не на 3700 а на 37777

для этого на форуме есть редактирование сообщений

[max]

Еще не разобрался с форумом)
Хочу сказать что недавно работаю с микротиком.
На данном пример 192.168.1.100 это адрес локальной подсети.Например у меня 10.0.32.0/24
А к чему будет относится вот эта подсеть 192.168.0.0/16. Что она означает на данном примере?

[Chupaka]

Видимо, оно обозначает "пакеты должны идти не на локальные адреса". Я бы сделал так:

Код: Выделить всё

add action=dst-nat chain=dstnat in-interface=WAN dst-address-type=local \
	dst-port=порты protocol=tcp to-addresses=внутренний_адрес

И убрал бы правило с action=masquerade - это костыль для случая, когда изнутри локалки подключаются по внешнему адресу. Сам такой случай называют Hairpin NAT: https://wiki.mikrotik.com/wiki/Hairpin_NAT

[max]

Спасибо. Сейчас буду пробовать.

[max]

Chupaka по твоей схеме все заработало, спасибо. Только пишет ошибку входа если я ломлюсь на регистратор через внешний IP, но из локалки.
add action=masquerade chain=srcnat dst-address=192.168.1.100 Этот костыль мне просто тоже нужен)

[max]

Я сделал проброс с рандомного порта 3202 на 80 порт. Может еще на остальные два пробросы сделать, тогда что указывать в браузере, какой порт при подключении.

[Chupaka]

Это уже вопрос к регистратору, может ли он работать на кастомных портах

[max]

Спасибо за помощь, буду ковыряться. Отпишусь

[max]

Заработоло все пробросил. Пробросил 3202 на 80, 3203 на 554, 3204 на 37777. Оказывается 554 и 37777 нужны для открытия плагина авторизации и работы с мобильными приложениями.
Chupaka, еще раз спасибо по мощь.

[MorZe]

Приветствую, подскажите как проброс сделать пожалуйста. В локальной сети имеется видеорегистратор с адресом 192.168.1.12 в сети есть проксик подключенный через микротик к интернету, есть статичный IP. Нужно сделать доступ к видеорегистратору через мобильное приложение извне. Для этого нужно пробросить порты 37777 и 554.

Создал 2 правила похожих на те, что тут писали, но не подключается:
Action dst-nat
Chain dstnat
Protocol 6(tcp)
Dst. port 37777
in. interface ether1 (INTERNET)
action dst-nat
To addresses 192.168.1.12

P.S Если включить на видеорегистраторе сеть P2P то мобильное приложение по серийному номеру к нему подключается, но нужно сделать через IP

[Chupaka]

А что с проксиком? Зачем его упомянули? "Статичный IP" где есть?

[MorZe]

С проксиком ничего, просто может быть в нем что нибудь настроить тоже надо, в нем настроено пропускать все порты во всех направлениях с адреса регистратора. В настройках регистратора указан шлюз - проксик а не микротик
и еще: проксик соединен с микротиком через одну сетевую,а через вторую сетевую раздает интернет в локалку
то есть соединение проксик-микротик это другая подсеть
Статичный айпи на микротике

[MorZe]

сейчас заметил что с микротика вообще не видится адрес регистратора, пишет таймаут. Хотя я с локалки (со своего компа) пингую и микротик и регистратор