проброс порта для подключения видеорегистратора

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Chupaka писал(а): 24 авг 2017, 09:23 Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69
Ну во-первых, спасибо за то, что откликнулись. Оборудование Mikrotik для меня новое познание. Скажу больше, вижу безграничность и гибкость в настройке. Как и любой человек, столкнувшийся с новым оборудованием испытываю некие трудности. главное понять что и куда, проще будет строить сеть. Но ближе к вопросу. Адрес 1.1.1.1 имеет другое значение и мною прописать как пример. Я купил у провайдера IP 31.хх.хх.хх.91. Ранее провайдер мне выделял внутренний 10.140.119.69, после того как я купил белый, как я понимаю, на своей стороне провайдер привязал к внутреннему 10.140.119.69 внешний 31.хх.хх.хх.91. Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
2017-08-24_13-03-20.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

anapalis писал(а): 24 авг 2017, 13:05 Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.
Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?

У регистратора шлюзом по умолчанию точно указан этот роутер?

Можно попробовать на тест добавить правило /ip fi nat add chain=srcnat action=masq dst-address=192.168.1.3 protocol=tcp dst-port=5120 и проверить с ним (при этом любые подключения через роутер сам регистратор будет видеть как приходящие от самого роутера)
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »


Вы действительно уверены, что я буду гадать, что же там за правило все советуют? :) Может, сразу напишите его?
Я сделал скрины правил. Ваш совет по маскировке тоже не принес результатов.
2017-08-24_14-51-27.png
2017-08-24_14-52-46.png
2017-08-24_14-47-01.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Уважаемый Chupaka.
Углубленно хочу изучить данное оборудование и правописание правил, так как хочу реализовать свои планы по настройке оборудования на стороне клиентов, ждущих моих услуг. В планах и реализация хотспотов, биллингов, соединение нескольких групп в одну сеть, вести адекватную поддержку, потому как дилетантов очень много, а мне хочется быть профессионалом в своем деле. Понимаю, что шишек надо набить много и так же много сидеть по форумам, дабы набраться "ума". )))
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

anapalis писал(а): 24 авг 2017, 14:53 Я сделал скрины правил.
Лучше так не делать, самое интересное, как правило, остаётся за кадром. Как в данном случае.
Лучше открыть Terminal и сделать "/export [file=имя.файла]" (или нужный раздел: "/ip firewall nat export")
anapalis писал(а): 24 авг 2017, 14:53 Ваш совет по маскировке тоже не принес результатов.
Как вижу на скриншоте, там указан out-interface=eth1-wan - а это вряд ли правильно (и я такого не писал). У вас ведь 192.168.1.3 не за wan'ом?

Отключите reject- и drop-правила в Firewall Filter и перепроверьте - мало ли вы не разрешаете доступ видеорегистратора в Интернет, по картинкам непонятно
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Chupaka! Огромное Вам человеческое спасибо! При отключении reject и drop, картина пошла. Настройки эти я взял с форума микротика, https://habrahabr.ru/post/265387/. Понимаю, что случаи у всех разные, вот и повелся на данную статью. Но дико хочу изучить эту линейку, чтобы, как я уже говорил, строить масштабные проекты. У нас, к великому сожалению мало профессионалов, в основном дилетанты, которые, начитавшись форумов, возводят себя в степень гуру. Еще раз благодарю за помощь. Знаю, будет много работы. Ведь режекты и дропы тоже не просто так существуют. Необходимо и о безопасности помнить. Жаль мало материала, пошагового знакомства и ввод в курс дела по этому оборудованию.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Пошла - включать обратно постепенно, смотреть, что влияет. Думать, почему, добавлять исключения :)
anapalis
Сообщения: 6
Зарегистрирован: 23 авг 2017, 17:37

Re: проброс порта для подключения видеорегистратора

Сообщение anapalis »

Поочередно включал и наткнулся фильтр "add action=reject chain=forward reject-with=icmp-network-unreachable" внеся изменения в условия этого фильтра, исключив адрес 192.168.1.3 получил "add action=reject chain=forward dst-address=!192.168.1.3 reject-with=\ icmp-network-unreachable" получил трансляцию видео на удаленку. Как я понимаю, я исключил ip видеорегистратора из данного фильтра. Теперь осталось разобраться что конкретно делает этот фильтр. В любом случае Chupaka пролил свет и помог, за что ему отдельное спасибо. )))))
vovix
Сообщения: 2
Зарегистрирован: 11 окт 2017, 22:54

Re: проброс порта для подключения видеорегистратора

Сообщение vovix »

Ребята помогите ни на один комп в сети не могу сделать переброс портов! Делаю подобно правилам выше!
Пишет мне "Forbidden 403.6 IP address rejected" когда пытаюсь зайти на 80 порт спутникового ресивера в нутри сети!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Я так понимаю, на ресивере надо настроить удалённый доступ: https://github.com/E2OpenPlugins/e2open ... issues/467
Voy
Сообщения: 3
Зарегистрирован: 06 ноя 2017, 13:28

Re: проброс порта для подключения видеорегистратора

Сообщение Voy »

Добрый день!

Есть роутер Mikrotik с белым внешним ip-адресом, внутри несколько камер, допустим, три, с адресами 192.168.1.101, 192.168.1.102 и 192.168.1.103. Нужно организовать к каждой из них через веб-интерфейс доступ извне. Делаю стандартно, как здесь и описывали, три правила для каждой по отдельному порту:

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 44101   // 44102 и 44103 соответственно
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101   // 192.168.1.102 и 192.168.1.103 соответственно
To Ports: 80
Далее извне через браузер лезу на первую камеру http://x.x.x.x:44101. Появляется окно ввода логина и пароля, ввожу их, выходит предупреждение: "Login timeout". Решаю (для первой камеры) добавлением правила ("To Ports:" не заполняю):

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 34567
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101
Всё работает, на камеру пускает, управление есть, картинка тоже.

Вопрос. Как проделать такое с остальными камерами? Ведь теперь, из-за этого правила, когда лезу на вторую и третью камеры по http://x.x.x.x:44102 и http://x.x.x.x:44103, меня перекидывает в конфигурацию первой (пускает, поскольку логины-пароли одинаковые). Можно решить этот момент, поменяв порты на второй и третьей камерах, например на 34568 и 34569, и сделав отдельные пробросы для них, но хочется найти вариант, при котором в каждой камере не придётся менять порты, потом лезть в другое оборудование, менять настройки там и т.д. (три камеры взял для примера), плюс для каждой камеры создавать ещё по правилу. Хочется упростить работу до вида: стучишься в нужный порт Х и тебя одним правилом отправляет на нужную камеру Х на 80 порт, а каким-то другим(и), но общим(и) для всех камер (и новых в том числе), подцепляет к данной сессии проброс на эту камеру Х по порту 34567. Возможно ли это?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.
Voy
Сообщения: 3
Зарегистрирован: 06 ноя 2017, 13:28

Re: проброс порта для подключения видеорегистратора

Сообщение Voy »

Chupaka писал(а): 08 ноя 2017, 10:22 Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.
Ну да, камерам точно нужно именно два порта: 80-й для того, чтобы достучаться, и 34567-й для управления настройками и/или получения изображения.

34567 - это так называемый Media Port, прописан в сетевых настройках по умолчанию во всех этих камерах. Понимаю, что в правиле "без To Ports" просто идёт проброс на указанный в Dst. Port 34567. Но вопрос состоит в другом. Хочу сделать удобную схему:
1. Для каждой камеры по одному правилу по переброске на 80 порт (http://x.x.x.x:44101 -> 192.168.1.101:80, http://x.x.x.x:44102 -> 192.168.1.102:80, http://x.x.x.x:44103 -> 192.168.1.103:80 и т.д.). Это чтобы достучаться до нужной камеры.
2. Некое универсальное правило (или правила), чтобы, когда "достучался" до нужной камеры по первому пункту, автоматически организовывался проброс к порту 34567 именно этой конкретной камеры, до которой достучался. Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Voy писал(а): 08 ноя 2017, 12:09 Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.
Увы, так сделать не получится: роутер понятия не имеет, от какой вкладки в браузере идёт подключение. Так что придётся менять Media-порт на уникальный.
Voy
Сообщения: 3
Зарегистрирован: 06 ноя 2017, 13:28

Re: проброс порта для подключения видеорегистратора

Сообщение Voy »

Спасибо за ответ. Жаль. Настраивать каждой камере свой Media-порт - совсем неинтересная затея для дальнейшей с ними работы...
Sandr1710
Сообщения: 1
Зарегистрирован: 16 авг 2018, 10:40

Re: проброс порта для подключения видеорегистратора

Сообщение Sandr1710 »

Приветствую. Подскажите как сделать проброс портов Mikrotik на видеорегистратор. Имею видео регистратор в локальной сети - bbb.bbb.bbb.bbb,внешний статический IP адрес - aa.aa.aaa.aa. Внутри локальной сети с браузера попадаю на регистратор без проблем. Проблема заключается в том,что снаружи по интернету попадаю на регистратор,вхожу, при входе пишет "Время входа истекло" и нет картинки.
Как описывалось выше пробрасывал 80,554,8000 порты,не помогло. Возможно что то не правильно делаю.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Я бы в первую очередь попробовал пробросить полностью aa.aa.aaa.aa в bbb.bbb.bbb.bbb (без указания портов) и посмотрел, заработает ли - вдруг какого-то другого порта не хватает.
Alekseiko
Сообщения: 2
Зарегистрирован: 11 янв 2019, 12:48

Re: проброс порта для подключения видеорегистратора

Сообщение Alekseiko »

Всем привет!
Имеется 2 микротика.
1 микротик 192.168.1.1 на нем в 1ом порту провайдер рррое. В остальных компы и видеорегистратор192.168.1.108.
2 микротик 192.168.0.1 в 1ом порту кабель от 1го микротика для сети и интернета.на 2ом порту висит видеорегистратор 192.168.1.107.
Проблемма пингуется но не видно в сети и из вне видеорегистратор 192.168.1.107.
Я так понимаю что нужно сделать проброс на 2м микротике для видео 1.107
Кто это так сделал я хз! Попросили помощь.


Подскажите как это сделать в nat правильно?

З.Ы. пробывал по разным статьям повсякому, результата 0.
Спасибо!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Приветствую.

Второй микротик настроен одним большим бриджем, судя по адресации? Тогда он не должен так вот прямо влиять, и тем более никаких пробросов на нём не надо. Если ещё и в сети не видно - я бы сказал, что проблема в регистраторе, а не в микротике.
Alekseiko
Сообщения: 2
Зарегистрирован: 11 янв 2019, 12:48

Re: проброс порта для подключения видеорегистратора

Сообщение Alekseiko »

Раньше сеть была на 2х роутерах типа асусов. Была такая же проблемма. По словам хозяина видеорегистратор не было видно пока проброс не сделали.
Потом поменяли все на микротики и настроили так же кроме проброса...
Мне кажется затык в том что 2й микротик 192.168.0.1 с DHSP а видеорегистратор 192.168.1.107.
Мне кажется можно решить проблемму путем замены ip на видеорегистраторе на 192.168.0.107 но вот туда никак не попасть. Как думаете?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Настройте 2-й микротик коммутатором (все порты - в бридж), вам там второй НАТ не нужен от слова "совсем".
stalker43175
Сообщения: 31
Зарегистрирован: 12 апр 2019, 17:21

Re: проброс порта для подключения видеорегистратора

Сообщение stalker43175 »

Здраствуйте подскажите пожалуйста есть 2 ip камеры нужно настроить к ним доступ из инета!Но сложность в том,что эти камеры подключены к свитчу,он подключен к wifi антенне микротик через изернет,эта антенна в режиме клиента принимает wifi от другой антенны,а эта антенна через изернет подключена к роутеру tp-link,который поднимает pppoe!Как все это связать,чтобы можно было получить доступ ккамерам!?Заранее благодарен!Помогите плиз)))
Последний раз редактировалось stalker43175 13 апр 2019, 10:31, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проброс порта для подключения видеорегистратора

Сообщение Chupaka »

Здравствуйте.

В целом, настраивать надо там, где активен NAT. Т.е. явно на tp-link тоже. Интернет на него приходит? Он может пинговать камеры?
stalker43175
Сообщения: 31
Зарегистрирован: 12 апр 2019, 17:21

Re: проброс порта для подключения видеорегистратора

Сообщение stalker43175 »

Да инет на tp-link есть!Камеры не пинговал,потому что еще ничего не настраивал.Пытался подключить камеру из интернета например в мобильном приложении пишет,что камера не в сети.Вот спрашиваю как правильно сделать?!)Nat есть на двух антеннах и на tp-link.На каком устройстве настраивать?