Jump to content
Калькуляторы

Как выяснить необходимые для проброса порты? IP-видеорегистратор в мир через 3G+VPN (для белого адреса).

Приветствую всех!

 

Есть:

Китайский IP-видеорегистратор;

Китайская IP-камера. ONVIF-протокол (регистратор подключается к ней по порту 8999);

Mikrotik ("M2") + LTE-модем в HiLink режиме с доступом в инет (адрес серый);

Mikrotik ("M1") с белым адресом (+DynDns аккаунт для беспрепятственного доступа извне) и поднятым VPN-сервером.

 

Требуется: иметь возможность заходить извне на регистратор для контроля камер.

Т.к. "на точке наблюдения" только модем с серым адресом - сделано:

Настроено подключение M2 через модем по VPN к M1. На M1 настроен роутинг и проброс портов на регистратор, подключеный к М2.

На М2 настроена пометка пакетов для заруливания "ответов" во внешку через VPN, а не через модем.

 

Находясь в подсети M2, есть возможность полного доступа к настройкам и видео-потоку с камеры.

Извне: регистратор успешно виден снаружи (обращение к dyndns-адресу M1 по порту 9099 перенаправляется на 80й порт регистратора).

Можно спокойно зайти в настройки регистратора, в окно Live-view, НО при попытке включить на просмотр видео-поток с камеры - картинка не появляется.

Какие-то потуги видны (крутится "ромашка ожидания" от регистратора), потом поток (которого не пошло) отрубается и начинается новая "ромашка".

Очевидно, что видеопоток идёт по другому порту.

 

Подскажите, как выцепить порты для правильного проброса?

(Естессно, есть полный доступ и к М1 и к М2.)

Edited by Fumo

Share this post


Link to post
Share on other sites

Вам нужно сделать 2 раза DMZ, сначала с одного микротика на второй, потом с него на камеру. Тогда будут проброшены все порты и даже те, которые нигде не фигурируют в документации, но используются для передачи видео.

 

Второй вариант - заходите на микротик, к которому подключена камера, и на этом порту запускаете Torch, ставите все галочки и время 10 минут, заходите на камеру, в окне будут показаны все коннекты, если там есть порты, которые вы не прокинули - в этом и дело. Если там ничего нет, то смотрите что приходит на порт первого микротика, т.к. возможно программа просмотре сама пытается подключиться по портам, которые не пробросили.

Share this post


Link to post
Share on other sites

Поснифал траффик при включеном видео.

Просматривалось из той же сети, в которой регистратор (подключены к "M2").

 

192.168.22.101 - видео-регистратор;

192.168.22.111 - компьютер, с которого шло подключение к регистратору и куда шла картинка.

 

986a1-clip-521kb.jpg

 

Думаю, что на этом скрине - все порты, которые задействованы, потому как ничего иного не проскакивало - всё крутится по новой.

 

Saab95 - сделать 2 раза DMZ - не получится, т.к. за M1 есть немало других устройств в его сети, которые должны быть видны из мира.

Однако, прокинул DMZ на M2 для IP регистратора и в правие маркировки пакетов, пришедших на M2 из VPN убрал даже выборку по протоколу - оставил только IP регистратора - и сейчас хотябы видео можно просмотреть, подключившись с компа, находящегося в сети роутера M1 (подсеть 192.168.1.X). Если оставить только маркировку порта 80 и 1935 - видео не идёт.

 

Остался один шаг - подскажите, что и как прокинуть на М1 (ну может и на М2 что то поправить), чтобы видео смотрелось извне?

Share this post


Link to post
Share on other sites

У вас правило НАТ сделано по выходному интерфейсу, или по IP подсетям, использующимися для локальной адресации?

 

Если вы удалите все настройки, в том числе и дефолтные, с микротика, зальете туда эти команды, то у вас будет проброс всех портов, кроме портов винбокса, на указанный для проброса адрес. Если на втором микротике сделаете то же самое, то тоже все порты будут проброшены. Ether1 это интерфейс, куда подключен кабель провайдера.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535
add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

 

Для проверки вам нужно сделать этот проброс на втором микротике, подключиться к нему из локальной сети с первого микротика, через Torch, поставив все галочки, посмотреть по каким портам бегают данные. Далее делаете пробросы по этим портам на первом микротике, все заработает.

 

Так же нужно не забыть встроенные сервисы микротика, например его WEB на 80 порту, если используете такой же порт то встроенный нужно отключить, или поменять номер порта на другой.

Share this post


Link to post
Share on other sites

Saab95

А не можно ли прописать 2 правила в которых написать "пробросить все кроме винбокса"?

Пробрасывать целый хост....

fumo

покажи все.

Share this post


Link to post
Share on other sites

Saab95

А не можно ли прописать 2 правила в которых написать "пробросить все кроме винбокса"?

 

Можно и 2 правила, только обычно нижние 2 не используются, потому что столь высокие порты не пробрасывают, они показаны для примера.

Share this post


Link to post
Share on other sites

fumo

покажи все.

 

Да, наверное лучше так.

 

 

Это M1.

Тот, на котором белый внешний.

Белые IP и несущественные настройки затёр.

 

/interface bridge
add mtu=1500 name=Bridge-Local
/interface ethernet
set [ find default-name=ether1 ] name=1
set [ find default-name=ether2 ] master-port=1 name=2-NAS
set [ find default-name=ether3 ] master-port=1 name=3-Server
set [ find default-name=ether4 ] master-port=1 name=4
set [ find default-name=ether5 ] master-port=1 name=5-VoIP_GW
set [ find default-name=ether6 ] name=6-office
set [ find default-name=ether7 ] master-port=6-office name=7-En
set [ find default-name=ether8 ] master-port=6-office name=8-52
set [ find default-name=ether9 ] name=9-U-tel
set [ find default-name=ether10 ] name=10-Int
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes comment=int_gw1 disabled=no interface=10-Int max-mru=1480 max-mtu=1480 mrru=1600 name=Int password=xxx use-peer-dns=yes user=aaa
add add-default-route=yes comment=int_gw2 default-route-distance=2 disabled=no interface=9-U-tel max-mru=1480 max-mtu=1480 mrru=1600 name=USI password=xxx use-peer-dns=yes user=777
/ip neighbor discovery
set Int comment=int_gw1
set USI comment=int_gw2
/ip pool
add name=dhcp_pool1 ranges=192.168.1.230-192.168.1.245
add name=YuG_pool1 ranges=192.168.2.50-192.168.2.60
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=Bridge-Local lease-time=3d name=dhcp1
add address-pool=YuG_pool1 disabled=no interface=wlan_YuG lease-time=3d name=YuG_DHCP
/port
set 0 name=serial0
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/queue simple
add burst-limit=5M/5M burst-time=2s/2s max-limit=3M/3M name=YuG_Guest target=192.168.2.0/24
/interface bridge port
add bridge=Bridge-Local interface=1
add bridge=Bridge-Local interface=wlan1
add bridge=Bridge-Local interface=6-office
/interface pppoe-server server
add authentication=mschap1,mschap2 default-profile=default-encryption disabled=no interface=10-Int max-mru=1480 max-mtu=1480 mrru=1600 service-name=service1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.254/24 interface=Bridge-Local network=192.168.1.0
add address=xxxx comment=isp1 interface=10-Int network=xxxx
add address=xxxx comment=isp2 interface=9-U-tel network=xxxx
add address=192.168.2.1/24 interface=wlan_YuG network=192.168.2.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.254 gateway=192.168.1.254
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input dst-address=eeee dst-port=53 protocol=udp
add action=drop chain=input dst-address=rrrr dst-port=53 protocol=udp
add action=drop chain=input dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=input dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add chain=forward dst-port=80 protocol=tcp
add chain=input dst-port=80 protocol=tcp
add chain=forward dst-port=1935 protocol=tcp
add chain=input protocol=icmp
add chain=input dst-port=2000 protocol=tcp src-address=qqqq
add chain=input in-interface=Bridge-Local
add chain=input dst-port=8291 protocol=tcp
add chain=input dst-port=8292 protocol=tcp
add chain=input dst-address=qqqq dst-port=8291 log=yes protocol=tcp
add chain=input protocol=udp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=forward in-interface=all-ppp out-interface=Bridge-Local
add chain=forward in-interface=Bridge-Local out-interface=all-ppp
add chain=input connection-state=established
add chain=forward in-interface=Bridge-Local
add action=log chain=input log-prefix=BLOCKED
add action=drop chain=input
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes dst-address=rrrr dst-port=5001 new-routing-mark=fromLDtoInt protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes protocol=tcp src-address=sss to-addresses=192.168.22.101
add action=dst-nat chain=dstnat comment=Revda_951 dst-port=8293 log=yes protocol=tcp to-addresses=192.168.22.254 to-ports=8291
add action=dst-nat chain=dstnat comment=LD_951G dst-port=8292 log=yes protocol=tcp to-addresses=192.168.0.254 to-ports=8291
add action=dst-nat chain=dstnat comment=LD_951G dst-port=8220 log=yes protocol=tcp to-addresses=192.168.22.254 to-ports=80
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=all-ppp src-address=192.168.2.0/24
add action=dst-nat chain=dstnat comment=Server dst-port=5901 protocol=tcp to-addresses=192.168.1.200 to-ports=5901
add action=dst-nat chain=dstnat comment=VNC_En dst-port=5905 protocol=tcp to-addresses=192.168.1.98 to-ports=5901
add action=dst-nat chain=dstnat comment=LD_Cam1_Dlink dst-port=8091 protocol=tcp to-addresses=192.168.0.11 to-ports=8081
add action=dst-nat chain=dstnat comment=LD_Cam2_MegaPix dst-port=8092 protocol=tcp to-addresses=192.168.0.12 to-ports=80
add action=dst-nat chain=dstnat comment=Pol_Cam dst-address=iiii dst-port=8081 protocol=tcp to-addresses=iiii to-ports=8081
add action=dst-nat chain=dstnat comment=LD_Cam1_Dink dst-port=8091 protocol=tcp to-addresses=192.168.0.11 to-ports=8081
add action=dst-nat chain=dstnat comment="RDP Resh" dst-address=rrrr dst-port=3389 protocol=tcp to-addresses=rrrr to-ports=3389
add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=192.168.1.200 to-ports=3389
add action=dst-nat chain=dstnat comment=VNC_LD_Office dst-port=5902 protocol=tcp to-addresses=192.168.0.2 to-ports=5900
add action=dst-nat chain=dstnat comment=NAS_LD dst-port=5001 protocol=tcp to-addresses=192.168.0.222 to-ports=5000
add action=dst-nat chain=dstnat comment=LD_NAS dst-address=192.168.0.222 dst-port=5000 protocol=tcp to-addresses=192.168.0.222 to-ports=5000
add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=9098 protocol=tcp to-addresses=192.168.22.101 to-ports=80
add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=1935 protocol=tcp to-addresses=192.168.22.101 to-ports=1935
add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=1935 protocol=udp to-addresses=192.168.22.101 to-ports=1935
add action=dst-nat chain=dstnat comment=NAS dst-port=5000 protocol=tcp to-addresses=192.168.1.222 to-ports=5000
add action=dst-nat chain=dstnat dst-port=6690 protocol=tcp to-addresses=192.168.1.222 to-ports=6690
add action=dst-nat chain=dstnat dst-port=873 protocol=tcp to-addresses=192.168.1.222 to-ports=873
add action=dst-nat chain=dstnat comment=NVR_IP_En dst-port=34567 protocol=tcp to-addresses=192.168.1.60 to-ports=34567
add action=dst-nat chain=dstnat dst-port=8060 protocol=tcp to-addresses=192.168.1.60 to-ports=80
add action=dst-nat chain=dstnat dst-port=34599 protocol=tcp to-addresses=192.168.1.60 to-ports=34599
add action=dst-nat chain=dstnat dst-port=8554 protocol=tcp to-addresses=192.168.1.60 to-ports=554
add action=dst-nat chain=dstnat comment="Synology FTP" dst-address=dddd dst-port=2121 protocol=tcp to-addresses=dddd to-ports=2121
add action=dst-nat chain=dstnat comment="Synology FTP" dst-port=2121 protocol=tcp to-addresses=192.168.1.222 to-ports=21
add action=dst-nat chain=dstnat comment=Cam_En dst-port=8021 protocol=tcp to-addresses=192.168.1.221 to-ports=8081
add action=dst-nat chain=dstnat comment=Cam_Sklad dst-port=8081 protocol=tcp to-addresses=192.168.1.99 to-ports=8081
add action=dst-nat chain=dstnat comment=IP_Cam_En dst-port=8061 protocol=tcp to-addresses=192.168.1.61 to-ports=80
add action=dst-nat chain=dstnat comment="2nd router" dst-port=8008 protocol=tcp to-addresses=192.168.1.252 to-ports=80
add action=dst-nat chain=dstnat dst-port=8062 protocol=tcp to-addresses=192.168.1.62 to-ports=80
add action=dst-nat chain=dstnat dst-port=8063 protocol=tcp to-addresses=192.168.1.63 to-ports=80
add action=dst-nat chain=dstnat dst-port=8064 protocol=tcp to-addresses=192.168.1.64 to-ports=80
add action=dst-nat chain=dstnat dst-port=8065 protocol=tcp to-addresses=192.168.1.65 to-ports=80
/ip firewall service-port
set sip ports=5060,5061,4060,4055
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip proxy
set cache-path=web-proxy1
/ip route
add comment=gw2 distance=1 gateway=llll
add comment=gw1 distance=1 gateway=kkkk
add disabled=yes distance=1 gateway=uuuu
add distance=1 dst-address=hhhh/32 gateway=Int
add comment="for testing USI" distance=1 dst-address=ffff/32 gateway=USI
add comment="for testing Int" distance=1 dst-address=vvvv/32 gateway=Int
add disabled=yes distance=1 dst-address=bbbb/32 gateway=USI
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.1.1
add distance=1 dst-address=192.168.22.0/24 gateway=192.168.1.202
/ip route rule
add disabled=yes dst-address=192.168.0.222/32 interface=*F001C7 routing-mark=fromLDtoInt src-address=0.0.0.0/0 table=fromLDtoInt
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=8080
set ssh disabled=yes
set winbox address=sss/32,dddd/32,192.168.1.0/24
set api-ssl disabled=yes
/lcd
set default-screen=interfaces time-interval=weekly
/lcd interface
set sfp1 disabled=yes
/ppp secret
add local-address=192.168.1.254 name=555 password=666 profile=default-encryption remote-address=192.168.1.68 service=pptp
add local-address=192.168.1.254 name=LD password=LD profile=default-encryption remote-address=192.168.1.1 service=pptp
add local-address=192.168.1.254 name=r password=1 profile=default-encryption remote-address=192.168.1.202 service=pptp
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system identity
set name=320
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system ntp client
set enabled=yes primary-ntp=31.131.249.27 secondary-ntp=91.122.42.73
/tool romon port
add disabled=no
/tool sniffer
set filter-interface=all

 

Это M2. Тот, к которому подключен регистратор, на который надо зайти извне.

Инет на нём через LTE модем (который в hilink режиме (соединяется с сетью сам, работает, как роутер с адресом 192.168.8.1)).

 

/interface lte
set [ find ] mac-address=0C:5B:8F:27:9A:64 name=lte1
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290 ssid=MikroTik
/interface pptp-client
add connect-to=VPN_IP disabled=no mrru=1600 name=R password=1 user=r
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.22.80-192.168.22.99
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=1h name=dhcp1
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/ip address
add address=192.168.22.254/24 interface=bridge1 network=192.168.22.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=lte1
/ip dhcp-server network
add address=192.168.22.0/24 gateway=192.168.22.254
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add chain=input dst-port=80 log=yes protocol=tcp
add chain=input comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow access over WinBox" dst-port=8291 protocol=tcp
add chain=input comment="Allow Established connections" connection-state=established
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow access from local network" src-address=192.168.1.0/24
add chain=input comment="Allow access from local network" src-address=192.168.22.0/24
add chain=input comment="Allow access VNC" dst-port=5901 protocol=tcp
add chain=forward comment="Allow already established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.22.254 dst-port=8291 new-connection-mark=R passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.22.254 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.22.101 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no
add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no protocol=udp
add action=mark-connection chain=prerouting dst-address=192.168.22.101 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp
add action=mark-connection chain=output connection-mark=R new-connection-mark=R src-address=192.168.22.254
add action=mark-connection chain=prerouting connection-mark=R new-connection-mark=R src-address=192.168.22.0/24
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.22.0/24
/ip route
add distance=1 gateway=192.168.1.254 routing-mark=R
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.1.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api-ssl disabled=yes
/system routerboard settings
set protected-routerboot=disabled
/tool romon port
add disabled=no
/tool sniffer
set filter-interface=ether2 filter-ip-address=192.168.22.101/32 filter-stream=yes memory-limit=300KiB streaming-enabled=yes streaming-server=192.168.22.111

 

post-122846-077328500 1434029080_thumb.jpg

 

Ether3 - порт, в который подключен видео-регистратор (192.168.22.101).

192.168.22.111 - комп, на который в данный момент идёт картинка.

 

В данный момент я, в попытках настройки, уже несколько раз переколбасил часть - голова вскипела - сейчас не виден даже интерфейс регистратора. Выкладываю текущие настройки, для понимания.

 

Надеюсь на помошь!

Edited by Fumo

Share this post


Link to post
Share on other sites

Вам нужно начать со сброса всех конфигураций, отмены начального конфига, и настройки всего с нуля без лишних блокировок и т.п.

Share this post


Link to post
Share on other sites

Вам нужно начать со сброса всех конфигураций, отмены начального конфига, и настройки всего с нуля без лишних блокировок и т.п.

 

M2 я могу сбросить и настроить заново, а вот М1 - в рабочем режиме. Его тоже придётся сбрасывать и всё полностью перенастраивать?

Share this post


Link to post
Share on other sites

Суть в том, что не совсем понятно то, что вы хотите или для какой цели все это настроили.

 

Например правила файрвола, маркировки пакетов, все лишнее. Если вам надо заворачивать какие-то данные в туннель, то делать это нужно через OSPF. Если вам нужно весь трафик подключенных устройств (абонентов) отправлять не напрямую через модем в интернет, а так же пропускать дальше на свой первый микротик, и они уже с него пойдут в интернет, то надо промаркировать все пакеты по локальным адресам и отправить их в метку дефолта OSPF. Тогда НАТ не будет нужен на этом устройстве.

 

Когда настроите связку, то подключившись к первому микротику, без всяких пробросов портов сможете открыть камеру внутри своей сети. Если вам потребуется посмотреть камеру извне, можно создать PPP туннель на первый микротик и работать с локальными адресами. Однако если вам нужно обращаться в такой связке просто по IP первого роутера, тогда без цепочки пробросов не обойтись.

Share this post


Link to post
Share on other sites

что вы хотите или для какой цели все это настроили

 

Надо иметь возможность подключаться из любойго места (со смартфона, планшета, компа, подключенных к инету) к видео-регистратору, подключенному в Микротик "М2".

М2 подключен к инету через LTE-модем. Сотовый оператор выдаёт серый адрес. Т.е. подключиться извне не выйдет.

 

Но

 

Есть дрйгой Микротик ("M1").

Он имеет белый внешний адрес и на нём уже поднят VPN.

 

Идея такова: М2 подключить к M1 по VPN. Прокинуть необходимые порты M1 -> M2 -> Видеорегистратор и иметь возможность заходить на регистратор из любого места.

Edited by Fumo

Share this post


Link to post
Share on other sites

Fumo, а это чего такое? Я вообще имел ввиду дамп полный, а не в одну сторону. После увиденного есть сомнения в том чтоже там вообще накручено. Разметка в приведенном примере не имеет смысла, потому что отсутсвует routing mark. В torch виден rtsp поток, 554 порт. rtp потоков не видно. У вас в морде есть настройки как отображать видео? ну там картинками, кодеками?

 

С ospf я бы не стал, тут всего то 3 сети 2 роутера. Но идея убрать огород натов не лишена смысла.

Edited by user71

Share this post


Link to post
Share on other sites

Fumo, а это чего такое? Я вообще имел ввиду дамп полный, а не в одну сторону. После увиденного есть сомнения в том чтоже там вообще накручено. Разметка в приведенном примере не имеет смысла, потому что отсутсвует routing mark. В torch виден rtsp поток, 554 порт.

 

Дамп настроек? Выше - не то?

 

Откуда просмотр включить и с каким параметрами и где torch запустить - сделаю?

Share this post


Link to post
Share on other sites

[admin@eXmachine] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
2 A S  0.0.0.0/0                          192.168.8.1               1     
10 ADC  192.168.8.0/24     192.168.8.100   lte1                      0

ну оно примерно как то так выглядит....

А у вас оно больше похоже на какой то скрипт для настройки.

Да можете хоть локально с того пк с которого смотрите. Если оно у вас в прямой видимости нет никакого смысла выбирать интерфейсы - везде будет одно и то же. Torch вы уже запустили, я и говорю что в торче ртсп. Попробуйте 554 порт пробросить. Вообще rtsp это управляющий протокол а для передачи потоков он открывает доп соединения по rtp с указанием портов. Я это к тому что если вы действительно используете несколько таблиц для маршрутизации, то эти коннекты rtsp rtp тоже нужно пометить иначе оно улетит в черную дыру.

И потом остаются не понятным, за какой потребностью каждая камера пробрасывается отдельно? как потом управлять доступом к ним? как подключатся к ним? Это каждую придется отдельно настраивать отдельно прописывать. Почему бы не цеплять все камеры к nvr а его уже пробросить и к нему цеплятся извне?

с натами это какая то особенная идея или оно больше никак работать не хочет?

Edited by user71

Share this post


Link to post
Share on other sites

за какой потребностью каждая камера пробрасывается отдельно? как потом управлять доступом к ним? как подключатся к ним? Это каждую придется отдельно настраивать отдельно прописывать. Почему бы не цеплять все камеры к nvr а его уже пробросить и к нему цеплятся извне?

Ещё раз:

Я и пытаюсь подключиться к NVR, который подключен к M2 (на котором нет белого адреса).

Несколько проброшеных камер, которые видно в конфиге - это на М1. В сети М1 УЖЕ работают несколько камер, NVR, NAS, но они в текущую задачу не входят - я просто не стал вырезать из показаных настроек эти строки.

 

с натами это какая то особенная идея или оно больше никак работать не хочет?

 

"Никак" - а как ещё можно?

 

 

Вот строки настроек с M1 (на котором белый адрес и на котором поднят VPN (к которому цепляется М2)), относящиеся к делу:

 

/ip route
add distance=1 gateway=xxxx
add distance=1 dst-address=yyyy/32 gateway=Interra
add distance=1 dst-address=192.168.4.0/24 gateway=192.168.1.202


/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-port=9090 protocol=tcp to-addresses=192.168.4.101 to-ports=80
add action=dst-nat chain=dstnat dst-port=1935 protocol=tcp to-addresses=192.168.4.101 to-ports=1935

 

192.168.1.202 - адрес, присваеваемый роутеру M2 от VPN сервера.

192.168.4.101 - адрес NVR (заметка: в первых постах у М2 была подсеть 22. Сейчас поменял на 4).

Подсеть 1 - подсеть M1 роутера.

 

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
1   S  ;;; gw1
       0.0.0.0/0                          xxxx             1
2 ADS  0.0.0.0/0                          xxxx             1
5 A S  xxxx/32                    Interra                   1
6 ADC  xxxx/32    xxxx    10-Interra                0
7 ADC  xxxx/32   xxxx    Interra                   0
12 ADC  192.168.1.0/24     192.168.1.254   Bridge-Local              0
14 ADC  192.168.1.202/32   192.168.1.254   <pptp-r>                  0
16 A S  192.168.4.0/24                     192.168.1.202             1

 

Вот настройки M2:

 

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.4.0/24 in-interface=pptp-out1 new-connection-mark=R passthrough=no
add action=mark-routing chain=output connection-mark=R new-routing-mark=R src-address=192.168.4.254
add action=mark-routing chain=prerouting connection-mark=R new-routing-mark=R src-address=192.168.4.0/24
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.4.0/24
/ip route
add distance=1 gateway=192.168.1.254 routing-mark=R

 

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.254             1
1 ADS  0.0.0.0/0                          192.168.8.1               0
2 ADC  192.168.1.254/32   192.168.1.202   pptp-out1                 0
3 ADC  192.168.4.0/24     192.168.4.254   bridge1                   0
4 ADC  192.168.8.0/24     192.168.8.100   lte1                      0

 

 

Вот Torch из сети M2, в которой и находится NVR:

 

post-122846-074576900 1434251919_thumb.jpg

 

Снаружи подключается к веб-морде NVR, но видео не стартует. Ромашка периодически (раз в 3-4 секунды) проскакивает, но картинки нет.

 

post-122846-072428000 1434253495_thumb.jpg

 

Вот Torch извне:

 

post-122846-070598700 1434251955_thumb.jpg

 

Заметно, что на скрине "извне", попытки по порту 1935 повторяются периодически, а в "локальном" варианте - линк по TCP1935 - один и по нему и гонится видео-поток.

 

P.S. Если подключаться к NVR из сети М1 - всё работает нормально. Торчем при этом видна та-же картина, что и при "локальном" (из M2 сети) подключении (назначением при этом является 192.168.1.254 (это IP роутера M1), хотя просмотр ведётся с компа, IP которого 192.168.1.200).

Edited by Fumo

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this