проброс порта для подключения видеорегистратора

[Chupaka]

Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69

[anapalis]

Надо создать правило DST-NAT, которое будет пакеты с 10.140.119.69 перенаправлять на 192.168.1.3. Потом убедиться, что у 192.168.1.3 шлюзом по умолчанию прописан данный роутер.

Ну и вообще непонятно, откуда у вас в логах берётся пакет с вашего (вашего? или вы думаете, что провайдер вам выдал 1.1.1.1, а на самом деле за ним много абонентов сидят?) белого адреса на ваш локальный адрес 10.140.119.69

Ну во-первых, спасибо за то, что откликнулись. Оборудование Mikrotik для меня новое познание. Скажу больше, вижу безграничность и гибкость в настройке. Как и любой человек, столкнувшийся с новым оборудованием испытываю некие трудности. главное понять что и куда, проще будет строить сеть. Но ближе к вопросу. Адрес 1.1.1.1 имеет другое значение и мною прописать как пример. Я купил у провайдера IP 31.хх.хх.хх.91. Ранее провайдер мне выделял внутренний 10.140.119.69, после того как я купил белый, как я понимаю, на своей стороне провайдер привязал к внутреннему 10.140.119.69 внешний 31.хх.хх.хх.91. Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.

2017-08-24_13-03-20.png

[Chupaka]

Перерыл все форумы, прописал правило, при котором все уверяют, что должно все заработать. Но увы, не работает. Зато в правиле поставив галочку LOG я увидел вот такую писанину.

Вы действительно уверены, что я буду гадать, что же там за правило все советуют? Может, сразу напишите его?

У регистратора шлюзом по умолчанию точно указан этот роутер?

Можно попробовать на тест добавить правило /ip fi nat add chain=srcnat action=masq dst-address=192.168.1.3 protocol=tcp dst-port=5120 и проверить с ним (при этом любые подключения через роутер сам регистратор будет видеть как приходящие от самого роутера)

[anapalis]

Вы действительно уверены, что я буду гадать, что же там за правило все советуют? Может, сразу напишите его?

Я сделал скрины правил. Ваш совет по маскировке тоже не принес результатов.

2017-08-24_14-51-27.png

2017-08-24_14-52-46.png

2017-08-24_14-47-01.png

[anapalis]

Уважаемый Chupaka.
Углубленно хочу изучить данное оборудование и правописание правил, так как хочу реализовать свои планы по настройке оборудования на стороне клиентов, ждущих моих услуг. В планах и реализация хотспотов, биллингов, соединение нескольких групп в одну сеть, вести адекватную поддержку, потому как дилетантов очень много, а мне хочется быть профессионалом в своем деле. Понимаю, что шишек надо набить много и так же много сидеть по форумам, дабы набраться "ума". )))

[Chupaka]

Я сделал скрины правил.

Лучше так не делать, самое интересное, как правило, остаётся за кадром. Как в данном случае.
Лучше открыть Terminal и сделать "/export [file=имя.файла]" (или нужный раздел: "/ip firewall nat export")

Ваш совет по маскировке тоже не принес результатов.

Как вижу на скриншоте, там указан out-interface=eth1-wan - а это вряд ли правильно (и я такого не писал). У вас ведь 192.168.1.3 не за wan'ом?

Отключите reject- и drop-правила в Firewall Filter и перепроверьте - мало ли вы не разрешаете доступ видеорегистратора в Интернет, по картинкам непонятно

[anapalis]

Chupaka! Огромное Вам человеческое спасибо! При отключении reject и drop, картина пошла. Настройки эти я взял с форума микротика, https://habrahabr.ru/post/265387/. Понимаю, что случаи у всех разные, вот и повелся на данную статью. Но дико хочу изучить эту линейку, чтобы, как я уже говорил, строить масштабные проекты. У нас, к великому сожалению мало профессионалов, в основном дилетанты, которые, начитавшись форумов, возводят себя в степень гуру. Еще раз благодарю за помощь. Знаю, будет много работы. Ведь режекты и дропы тоже не просто так существуют. Необходимо и о безопасности помнить. Жаль мало материала, пошагового знакомства и ввод в курс дела по этому оборудованию.

[Chupaka]

Пошла - включать обратно постепенно, смотреть, что влияет. Думать, почему, добавлять исключения

[anapalis]

Поочередно включал и наткнулся фильтр "add action=reject chain=forward reject-with=icmp-network-unreachable" внеся изменения в условия этого фильтра, исключив адрес 192.168.1.3 получил "add action=reject chain=forward dst-address=!192.168.1.3 reject-with=\ icmp-network-unreachable" получил трансляцию видео на удаленку. Как я понимаю, я исключил ip видеорегистратора из данного фильтра. Теперь осталось разобраться что конкретно делает этот фильтр. В любом случае Chupaka пролил свет и помог, за что ему отдельное спасибо. )))))

[vovix]

Ребята помогите ни на один комп в сети не могу сделать переброс портов! Делаю подобно правилам выше!
Пишет мне "Forbidden 403.6 IP address rejected" когда пытаюсь зайти на 80 порт спутникового ресивера в нутри сети!

[Chupaka]

Я так понимаю, на ресивере надо настроить удалённый доступ: https://github.com/E2OpenPlugins/e2open ... issues/467

[Voy]

Добрый день!

Есть роутер Mikrotik с белым внешним ip-адресом, внутри несколько камер, допустим, три, с адресами 192.168.1.101, 192.168.1.102 и 192.168.1.103. Нужно организовать к каждой из них через веб-интерфейс доступ извне. Делаю стандартно, как здесь и описывали, три правила для каждой по отдельному порту:

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 44101   // 44102 и 44103 соответственно
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101   // 192.168.1.102 и 192.168.1.103 соответственно
To Ports: 80

Далее извне через браузер лезу на первую камеру http://x.x.x.x:44101. Появляется окно ввода логина и пароля, ввожу их, выходит предупреждение: "Login timeout". Решаю (для первой камеры) добавлением правила ("To Ports:" не заполняю):

Код: Выделить всё

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 34567
In. Interface: ether1-gateway
Action: dst-nat
To Address: 192.168.1.101

Всё работает, на камеру пускает, управление есть, картинка тоже.

Вопрос. Как проделать такое с остальными камерами? Ведь теперь, из-за этого правила, когда лезу на вторую и третью камеры по http://x.x.x.x:44102 и http://x.x.x.x:44103, меня перекидывает в конфигурацию первой (пускает, поскольку логины-пароли одинаковые). Можно решить этот момент, поменяв порты на второй и третьей камерах, например на 34568 и 34569, и сделав отдельные пробросы для них, но хочется найти вариант, при котором в каждой камере не придётся менять порты, потом лезть в другое оборудование, менять настройки там и т.д. (три камеры взял для примера), плюс для каждой камеры создавать ещё по правилу. Хочется упростить работу до вида: стучишься в нужный порт Х и тебя одним правилом отправляет на нужную камеру Х на 80 порт, а каким-то другим(и), но общим(и) для всех камер (и новых в том числе), подцепляет к данной сессии проброс на эту камеру Х по порту 34567. Возможно ли это?

[Chupaka]

Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.

[Voy]

Видимо, одного 80-го порта недостаточно.

В правиле без To Ports вы точно указываете Dst. Port? Это пробрасывает лишь порт 34567 в порт 34567, а не все порты. Откуда вы этот порт взяли?

Можно в правиле поставить галку "Log" - тогда оно покажет в логе, что куда пробрасывает.

Ну да, камерам точно нужно именно два порта: 80-й для того, чтобы достучаться, и 34567-й для управления настройками и/или получения изображения.

34567 - это так называемый Media Port, прописан в сетевых настройках по умолчанию во всех этих камерах. Понимаю, что в правиле "без To Ports" просто идёт проброс на указанный в Dst. Port 34567. Но вопрос состоит в другом. Хочу сделать удобную схему:
1. Для каждой камеры по одному правилу по переброске на 80 порт (http://x.x.x.x:44101 -> 192.168.1.101:80, http://x.x.x.x:44102 -> 192.168.1.102:80, http://x.x.x.x:44103 -> 192.168.1.103:80 и т.д.). Это чтобы достучаться до нужной камеры.
2. Некое универсальное правило (или правила), чтобы, когда "достучался" до нужной камеры по первому пункту, автоматически организовывался проброс к порту 34567 именно этой конкретной камеры, до которой достучался. Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.

[Chupaka]

Если достучался извне одновременно до нескольких камер, например, в разных вкладках браузера, то и каналов таких должно образовываться несколько. Подобный подход позволил бы не менять Media-порты на каждой из имеющихся камер, а также на вновь подключённых.

Увы, так сделать не получится: роутер понятия не имеет, от какой вкладки в браузере идёт подключение. Так что придётся менять Media-порт на уникальный.

[Voy]

Спасибо за ответ. Жаль. Настраивать каждой камере свой Media-порт - совсем неинтересная затея для дальнейшей с ними работы...

[Sandr1710]

Приветствую. Подскажите как сделать проброс портов Mikrotik на видеорегистратор. Имею видео регистратор в локальной сети - bbb.bbb.bbb.bbb,внешний статический IP адрес - aa.aa.aaa.aa. Внутри локальной сети с браузера попадаю на регистратор без проблем. Проблема заключается в том,что снаружи по интернету попадаю на регистратор,вхожу, при входе пишет "Время входа истекло" и нет картинки.
Как описывалось выше пробрасывал 80,554,8000 порты,не помогло. Возможно что то не правильно делаю.

[Chupaka]

Я бы в первую очередь попробовал пробросить полностью aa.aa.aaa.aa в bbb.bbb.bbb.bbb (без указания портов) и посмотрел, заработает ли - вдруг какого-то другого порта не хватает.

[Alekseiko]

Всем привет!
Имеется 2 микротика.
1 микротик 192.168.1.1 на нем в 1ом порту провайдер рррое. В остальных компы и видеорегистратор192.168.1.108.
2 микротик 192.168.0.1 в 1ом порту кабель от 1го микротика для сети и интернета.на 2ом порту висит видеорегистратор 192.168.1.107.
Проблемма пингуется но не видно в сети и из вне видеорегистратор 192.168.1.107.
Я так понимаю что нужно сделать проброс на 2м микротике для видео 1.107
Кто это так сделал я хз! Попросили помощь.


Подскажите как это сделать в nat правильно?

З.Ы. пробывал по разным статьям повсякому, результата 0.
Спасибо!

[Chupaka]

Приветствую.

Второй микротик настроен одним большим бриджем, судя по адресации? Тогда он не должен так вот прямо влиять, и тем более никаких пробросов на нём не надо. Если ещё и в сети не видно - я бы сказал, что проблема в регистраторе, а не в микротике.

[Alekseiko]

Раньше сеть была на 2х роутерах типа асусов. Была такая же проблемма. По словам хозяина видеорегистратор не было видно пока проброс не сделали.
Потом поменяли все на микротики и настроили так же кроме проброса...
Мне кажется затык в том что 2й микротик 192.168.0.1 с DHSP а видеорегистратор 192.168.1.107.
Мне кажется можно решить проблемму путем замены ip на видеорегистраторе на 192.168.0.107 но вот туда никак не попасть. Как думаете?

[Chupaka]

Настройте 2-й микротик коммутатором (все порты - в бридж), вам там второй НАТ не нужен от слова "совсем".

[stalker43175]

Здраствуйте подскажите пожалуйста есть 2 ip камеры нужно настроить к ним доступ из инета!Но сложность в том,что эти камеры подключены к свитчу,он подключен к wifi антенне микротик через изернет,эта антенна в режиме клиента принимает wifi от другой антенны,а эта антенна через изернет подключена к роутеру tp-link,который поднимает pppoe!Как все это связать,чтобы можно было получить доступ ккамерам!?Заранее благодарен!Помогите плиз)))

[Chupaka]

Здравствуйте.

В целом, настраивать надо там, где активен NAT. Т.е. явно на tp-link тоже. Интернет на него приходит? Он может пинговать камеры?

[stalker43175]

Да инет на tp-link есть!Камеры не пинговал,потому что еще ничего не настраивал.Пытался подключить камеру из интернета например в мобильном приложении пишет,что камера не в сети.Вот спрашиваю как правильно сделать?!)Nat есть на двух антеннах и на tp-link.На каком устройстве настраивать?