Fumo Опубликовано 8 июня, 2015 (изменено) · Жалоба Приветствую всех! Есть: Китайский IP-видеорегистратор; Китайская IP-камера. ONVIF-протокол (регистратор подключается к ней по порту 8999); Mikrotik ("M2") + LTE-модем в HiLink режиме с доступом в инет (адрес серый); Mikrotik ("M1") с белым адресом (+DynDns аккаунт для беспрепятственного доступа извне) и поднятым VPN-сервером. Требуется: иметь возможность заходить извне на регистратор для контроля камер. Т.к. "на точке наблюдения" только модем с серым адресом - сделано: Настроено подключение M2 через модем по VPN к M1. На M1 настроен роутинг и проброс портов на регистратор, подключеный к М2. На М2 настроена пометка пакетов для заруливания "ответов" во внешку через VPN, а не через модем. Находясь в подсети M2, есть возможность полного доступа к настройкам и видео-потоку с камеры. Извне: регистратор успешно виден снаружи (обращение к dyndns-адресу M1 по порту 9099 перенаправляется на 80й порт регистратора). Можно спокойно зайти в настройки регистратора, в окно Live-view, НО при попытке включить на просмотр видео-поток с камеры - картинка не появляется. Какие-то потуги видны (крутится "ромашка ожидания" от регистратора), потом поток (которого не пошло) отрубается и начинается новая "ромашка". Очевидно, что видеопоток идёт по другому порту. Подскажите, как выцепить порты для правильного проброса? (Естессно, есть полный доступ и к М1 и к М2.) Изменено 8 июня, 2015 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eugenesch Опубликовано 9 июня, 2015 · Жалоба http://wiki.mikrotik.com/wiki/Ethereal/Wireshark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 июня, 2015 · Жалоба Вам нужно сделать 2 раза DMZ, сначала с одного микротика на второй, потом с него на камеру. Тогда будут проброшены все порты и даже те, которые нигде не фигурируют в документации, но используются для передачи видео. Второй вариант - заходите на микротик, к которому подключена камера, и на этом порту запускаете Torch, ставите все галочки и время 10 минут, заходите на камеру, в окне будут показаны все коннекты, если там есть порты, которые вы не прокинули - в этом и дело. Если там ничего нет, то смотрите что приходит на порт первого микротика, т.к. возможно программа просмотре сама пытается подключиться по портам, которые не пробросили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 10 июня, 2015 · Жалоба Поснифал траффик при включеном видео. Просматривалось из той же сети, в которой регистратор (подключены к "M2"). 192.168.22.101 - видео-регистратор; 192.168.22.111 - компьютер, с которого шло подключение к регистратору и куда шла картинка. Думаю, что на этом скрине - все порты, которые задействованы, потому как ничего иного не проскакивало - всё крутится по новой. Saab95 - сделать 2 раза DMZ - не получится, т.к. за M1 есть немало других устройств в его сети, которые должны быть видны из мира. Однако, прокинул DMZ на M2 для IP регистратора и в правие маркировки пакетов, пришедших на M2 из VPN убрал даже выборку по протоколу - оставил только IP регистратора - и сейчас хотябы видео можно просмотреть, подключившись с компа, находящегося в сети роутера M1 (подсеть 192.168.1.X). Если оставить только маркировку порта 80 и 1935 - видео не идёт. Остался один шаг - подскажите, что и как прокинуть на М1 (ну может и на М2 что то поправить), чтобы видео смотрелось извне? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 июня, 2015 · Жалоба У вас правило НАТ сделано по выходному интерфейсу, или по IP подсетям, использующимися для локальной адресации? Если вы удалите все настройки, в том числе и дефолтные, с микротика, зальете туда эти команды, то у вас будет проброс всех портов, кроме портов винбокса, на указанный для проброса адрес. Если на втором микротике сделаете то же самое, то тоже все порты будут проброшены. Ether1 это интерфейс, куда подключен кабель провайдера. /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Для проверки вам нужно сделать этот проброс на втором микротике, подключиться к нему из локальной сети с первого микротика, через Torch, поставив все галочки, посмотреть по каким портам бегают данные. Далее делаете пробросы по этим портам на первом микротике, все заработает. Так же нужно не забыть встроенные сервисы микротика, например его WEB на 80 порту, если используете такой же порт то встроенный нужно отключить, или поменять номер порта на другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 11 июня, 2015 · Жалоба Saab95 А не можно ли прописать 2 правила в которых написать "пробросить все кроме винбокса"? Пробрасывать целый хост.... fumo покажи все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 июня, 2015 · Жалоба Saab95 А не можно ли прописать 2 правила в которых написать "пробросить все кроме винбокса"? Можно и 2 правила, только обычно нижние 2 не используются, потому что столь высокие порты не пробрасывают, они показаны для примера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 11 июня, 2015 (изменено) · Жалоба fumo покажи все. Да, наверное лучше так. Это M1. Тот, на котором белый внешний. Белые IP и несущественные настройки затёр. /interface bridge add mtu=1500 name=Bridge-Local /interface ethernet set [ find default-name=ether1 ] name=1 set [ find default-name=ether2 ] master-port=1 name=2-NAS set [ find default-name=ether3 ] master-port=1 name=3-Server set [ find default-name=ether4 ] master-port=1 name=4 set [ find default-name=ether5 ] master-port=1 name=5-VoIP_GW set [ find default-name=ether6 ] name=6-office set [ find default-name=ether7 ] master-port=6-office name=7-En set [ find default-name=ether8 ] master-port=6-office name=8-52 set [ find default-name=ether9 ] name=9-U-tel set [ find default-name=ether10 ] name=10-Int set [ find default-name=sfp1 ] disabled=yes /interface pppoe-client add add-default-route=yes comment=int_gw1 disabled=no interface=10-Int max-mru=1480 max-mtu=1480 mrru=1600 name=Int password=xxx use-peer-dns=yes user=aaa add add-default-route=yes comment=int_gw2 default-route-distance=2 disabled=no interface=9-U-tel max-mru=1480 max-mtu=1480 mrru=1600 name=USI password=xxx use-peer-dns=yes user=777 /ip neighbor discovery set Int comment=int_gw1 set USI comment=int_gw2 /ip pool add name=dhcp_pool1 ranges=192.168.1.230-192.168.1.245 add name=YuG_pool1 ranges=192.168.2.50-192.168.2.60 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=Bridge-Local lease-time=3d name=dhcp1 add address-pool=YuG_pool1 disabled=no interface=wlan_YuG lease-time=3d name=YuG_DHCP /port set 0 name=serial0 /ppp profile set [ find name=default ] name=default set [ find name=default-encryption ] name=default-encryption /queue simple add burst-limit=5M/5M burst-time=2s/2s max-limit=3M/3M name=YuG_Guest target=192.168.2.0/24 /interface bridge port add bridge=Bridge-Local interface=1 add bridge=Bridge-Local interface=wlan1 add bridge=Bridge-Local interface=6-office /interface pppoe-server server add authentication=mschap1,mschap2 default-profile=default-encryption disabled=no interface=10-Int max-mru=1480 max-mtu=1480 mrru=1600 service-name=service1 /interface pptp-server server set enabled=yes /ip address add address=192.168.1.254/24 interface=Bridge-Local network=192.168.1.0 add address=xxxx comment=isp1 interface=10-Int network=xxxx add address=xxxx comment=isp2 interface=9-U-tel network=xxxx add address=192.168.2.1/24 interface=wlan_YuG network=192.168.2.0 /ip dhcp-server network add address=192.168.1.0/24 dns-server=192.168.1.254 gateway=192.168.1.254 add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 /ip dns set allow-remote-requests=yes /ip firewall filter add action=drop chain=input dst-address=eeee dst-port=53 protocol=udp add action=drop chain=input dst-address=rrrr dst-port=53 protocol=udp add action=drop chain=input dst-address=192.168.2.0/24 src-address=192.168.1.0/24 add action=drop chain=input dst-address=192.168.1.0/24 src-address=192.168.2.0/24 add chain=forward dst-port=80 protocol=tcp add chain=input dst-port=80 protocol=tcp add chain=forward dst-port=1935 protocol=tcp add chain=input protocol=icmp add chain=input dst-port=2000 protocol=tcp src-address=qqqq add chain=input in-interface=Bridge-Local add chain=input dst-port=8291 protocol=tcp add chain=input dst-port=8292 protocol=tcp add chain=input dst-address=qqqq dst-port=8291 log=yes protocol=tcp add chain=input protocol=udp add chain=input dst-port=1723 protocol=tcp add chain=input protocol=gre add chain=forward in-interface=all-ppp out-interface=Bridge-Local add chain=forward in-interface=Bridge-Local out-interface=all-ppp add chain=input connection-state=established add chain=forward in-interface=Bridge-Local add action=log chain=input log-prefix=BLOCKED add action=drop chain=input /ip firewall mangle add action=mark-routing chain=prerouting disabled=yes dst-address=rrrr dst-port=5001 new-routing-mark=fromLDtoInt protocol=tcp /ip firewall nat add action=dst-nat chain=dstnat disabled=yes protocol=tcp src-address=sss to-addresses=192.168.22.101 add action=dst-nat chain=dstnat comment=Revda_951 dst-port=8293 log=yes protocol=tcp to-addresses=192.168.22.254 to-ports=8291 add action=dst-nat chain=dstnat comment=LD_951G dst-port=8292 log=yes protocol=tcp to-addresses=192.168.0.254 to-ports=8291 add action=dst-nat chain=dstnat comment=LD_951G dst-port=8220 log=yes protocol=tcp to-addresses=192.168.22.254 to-ports=80 add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=masquerade chain=srcnat out-interface=all-ppp src-address=192.168.2.0/24 add action=dst-nat chain=dstnat comment=Server dst-port=5901 protocol=tcp to-addresses=192.168.1.200 to-ports=5901 add action=dst-nat chain=dstnat comment=VNC_En dst-port=5905 protocol=tcp to-addresses=192.168.1.98 to-ports=5901 add action=dst-nat chain=dstnat comment=LD_Cam1_Dlink dst-port=8091 protocol=tcp to-addresses=192.168.0.11 to-ports=8081 add action=dst-nat chain=dstnat comment=LD_Cam2_MegaPix dst-port=8092 protocol=tcp to-addresses=192.168.0.12 to-ports=80 add action=dst-nat chain=dstnat comment=Pol_Cam dst-address=iiii dst-port=8081 protocol=tcp to-addresses=iiii to-ports=8081 add action=dst-nat chain=dstnat comment=LD_Cam1_Dink dst-port=8091 protocol=tcp to-addresses=192.168.0.11 to-ports=8081 add action=dst-nat chain=dstnat comment="RDP Resh" dst-address=rrrr dst-port=3389 protocol=tcp to-addresses=rrrr to-ports=3389 add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=192.168.1.200 to-ports=3389 add action=dst-nat chain=dstnat comment=VNC_LD_Office dst-port=5902 protocol=tcp to-addresses=192.168.0.2 to-ports=5900 add action=dst-nat chain=dstnat comment=NAS_LD dst-port=5001 protocol=tcp to-addresses=192.168.0.222 to-ports=5000 add action=dst-nat chain=dstnat comment=LD_NAS dst-address=192.168.0.222 dst-port=5000 protocol=tcp to-addresses=192.168.0.222 to-ports=5000 add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=9098 protocol=tcp to-addresses=192.168.22.101 to-ports=80 add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=1935 protocol=tcp to-addresses=192.168.22.101 to-ports=1935 add action=dst-nat chain=dstnat comment=REVDA_80 disabled=yes dst-port=1935 protocol=udp to-addresses=192.168.22.101 to-ports=1935 add action=dst-nat chain=dstnat comment=NAS dst-port=5000 protocol=tcp to-addresses=192.168.1.222 to-ports=5000 add action=dst-nat chain=dstnat dst-port=6690 protocol=tcp to-addresses=192.168.1.222 to-ports=6690 add action=dst-nat chain=dstnat dst-port=873 protocol=tcp to-addresses=192.168.1.222 to-ports=873 add action=dst-nat chain=dstnat comment=NVR_IP_En dst-port=34567 protocol=tcp to-addresses=192.168.1.60 to-ports=34567 add action=dst-nat chain=dstnat dst-port=8060 protocol=tcp to-addresses=192.168.1.60 to-ports=80 add action=dst-nat chain=dstnat dst-port=34599 protocol=tcp to-addresses=192.168.1.60 to-ports=34599 add action=dst-nat chain=dstnat dst-port=8554 protocol=tcp to-addresses=192.168.1.60 to-ports=554 add action=dst-nat chain=dstnat comment="Synology FTP" dst-address=dddd dst-port=2121 protocol=tcp to-addresses=dddd to-ports=2121 add action=dst-nat chain=dstnat comment="Synology FTP" dst-port=2121 protocol=tcp to-addresses=192.168.1.222 to-ports=21 add action=dst-nat chain=dstnat comment=Cam_En dst-port=8021 protocol=tcp to-addresses=192.168.1.221 to-ports=8081 add action=dst-nat chain=dstnat comment=Cam_Sklad dst-port=8081 protocol=tcp to-addresses=192.168.1.99 to-ports=8081 add action=dst-nat chain=dstnat comment=IP_Cam_En dst-port=8061 protocol=tcp to-addresses=192.168.1.61 to-ports=80 add action=dst-nat chain=dstnat comment="2nd router" dst-port=8008 protocol=tcp to-addresses=192.168.1.252 to-ports=80 add action=dst-nat chain=dstnat dst-port=8062 protocol=tcp to-addresses=192.168.1.62 to-ports=80 add action=dst-nat chain=dstnat dst-port=8063 protocol=tcp to-addresses=192.168.1.63 to-ports=80 add action=dst-nat chain=dstnat dst-port=8064 protocol=tcp to-addresses=192.168.1.64 to-ports=80 add action=dst-nat chain=dstnat dst-port=8065 protocol=tcp to-addresses=192.168.1.65 to-ports=80 /ip firewall service-port set sip ports=5060,5061,4060,4055 /ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0 /ip proxy set cache-path=web-proxy1 /ip route add comment=gw2 distance=1 gateway=llll add comment=gw1 distance=1 gateway=kkkk add disabled=yes distance=1 gateway=uuuu add distance=1 dst-address=hhhh/32 gateway=Int add comment="for testing USI" distance=1 dst-address=ffff/32 gateway=USI add comment="for testing Int" distance=1 dst-address=vvvv/32 gateway=Int add disabled=yes distance=1 dst-address=bbbb/32 gateway=USI add distance=1 dst-address=192.168.0.0/24 gateway=192.168.1.1 add distance=1 dst-address=192.168.22.0/24 gateway=192.168.1.202 /ip route rule add disabled=yes dst-address=192.168.0.222/32 interface=*F001C7 routing-mark=fromLDtoInt src-address=0.0.0.0/0 table=fromLDtoInt /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes port=8080 set ssh disabled=yes set winbox address=sss/32,dddd/32,192.168.1.0/24 set api-ssl disabled=yes /lcd set default-screen=interfaces time-interval=weekly /lcd interface set sfp1 disabled=yes /ppp secret add local-address=192.168.1.254 name=555 password=666 profile=default-encryption remote-address=192.168.1.68 service=pptp add local-address=192.168.1.254 name=LD password=LD profile=default-encryption remote-address=192.168.1.1 service=pptp add local-address=192.168.1.254 name=r password=1 profile=default-encryption remote-address=192.168.1.202 service=pptp /system clock set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg /system identity set name=320 /system lcd set contrast=0 enabled=no port=parallel type=24x4 /system ntp client set enabled=yes primary-ntp=31.131.249.27 secondary-ntp=91.122.42.73 /tool romon port add disabled=no /tool sniffer set filter-interface=all Это M2. Тот, к которому подключен регистратор, на который надо зайти извне. Инет на нём через LTE модем (который в hilink режиме (соединяется с сетью сам, работает, как роутер с адресом 192.168.8.1)). /interface lte set [ find ] mac-address=0C:5B:8F:27:9A:64 name=lte1 /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether2 ] master-port=ether1 set [ find default-name=ether3 ] master-port=ether1 set [ find default-name=ether4 ] master-port=ether1 set [ find default-name=ether5 ] master-port=ether1 /interface wireless set [ find default-name=wlan1 ] l2mtu=2290 ssid=MikroTik /interface pptp-client add connect-to=VPN_IP disabled=no mrru=1600 name=R password=1 user=r /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp_pool1 ranges=192.168.22.80-192.168.22.99 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=1h name=dhcp1 /ppp profile set [ find name=default ] name=default set [ find name=default-encryption ] name=default-encryption /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=wlan1 /ip address add address=192.168.22.254/24 interface=bridge1 network=192.168.22.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=lte1 /ip dhcp-server network add address=192.168.22.0/24 gateway=192.168.22.254 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall filter add chain=input dst-port=80 log=yes protocol=tcp add chain=input comment="Allow ICMP" protocol=icmp add chain=input comment="Allow access over WinBox" dst-port=8291 protocol=tcp add chain=input comment="Allow Established connections" connection-state=established add chain=input comment="Allow UDP" protocol=udp add chain=input comment="Allow ICMP" protocol=icmp add chain=input comment="Allow access from local network" src-address=192.168.1.0/24 add chain=input comment="Allow access from local network" src-address=192.168.22.0/24 add chain=input comment="Allow access VNC" dst-port=5901 protocol=tcp add chain=forward comment="Allow already established connections" connection-state=established add chain=forward comment="Allow related connections" connection-state=related add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp /ip firewall mangle add action=mark-connection chain=prerouting dst-address=192.168.22.254 dst-port=8291 new-connection-mark=R passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-address=192.168.22.254 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-address=192.168.22.101 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-address=192.168.22.101 new-connection-mark=R passthrough=no protocol=udp add action=mark-connection chain=prerouting dst-address=192.168.22.101 dst-port=80 new-connection-mark=R passthrough=no protocol=tcp add action=mark-connection chain=output connection-mark=R new-connection-mark=R src-address=192.168.22.254 add action=mark-connection chain=prerouting connection-mark=R new-connection-mark=R src-address=192.168.22.0/24 /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.22.0/24 /ip route add distance=1 gateway=192.168.1.254 routing-mark=R add distance=1 dst-address=192.168.1.0/24 gateway=192.168.1.254 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api-ssl disabled=yes /system routerboard settings set protected-routerboot=disabled /tool romon port add disabled=no /tool sniffer set filter-interface=ether2 filter-ip-address=192.168.22.101/32 filter-stream=yes memory-limit=300KiB streaming-enabled=yes streaming-server=192.168.22.111 Ether3 - порт, в который подключен видео-регистратор (192.168.22.101). 192.168.22.111 - комп, на который в данный момент идёт картинка. В данный момент я, в попытках настройки, уже несколько раз переколбасил часть - голова вскипела - сейчас не виден даже интерфейс регистратора. Выкладываю текущие настройки, для понимания. Надеюсь на помошь! Изменено 11 июня, 2015 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 июня, 2015 · Жалоба Вам нужно начать со сброса всех конфигураций, отмены начального конфига, и настройки всего с нуля без лишних блокировок и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 11 июня, 2015 · Жалоба Вам нужно начать со сброса всех конфигураций, отмены начального конфига, и настройки всего с нуля без лишних блокировок и т.п. M2 я могу сбросить и настроить заново, а вот М1 - в рабочем режиме. Его тоже придётся сбрасывать и всё полностью перенастраивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 июня, 2015 · Жалоба Суть в том, что не совсем понятно то, что вы хотите или для какой цели все это настроили. Например правила файрвола, маркировки пакетов, все лишнее. Если вам надо заворачивать какие-то данные в туннель, то делать это нужно через OSPF. Если вам нужно весь трафик подключенных устройств (абонентов) отправлять не напрямую через модем в интернет, а так же пропускать дальше на свой первый микротик, и они уже с него пойдут в интернет, то надо промаркировать все пакеты по локальным адресам и отправить их в метку дефолта OSPF. Тогда НАТ не будет нужен на этом устройстве. Когда настроите связку, то подключившись к первому микротику, без всяких пробросов портов сможете открыть камеру внутри своей сети. Если вам потребуется посмотреть камеру извне, можно создать PPP туннель на первый микротик и работать с локальными адресами. Однако если вам нужно обращаться в такой связке просто по IP первого роутера, тогда без цепочки пробросов не обойтись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 11 июня, 2015 (изменено) · Жалоба что вы хотите или для какой цели все это настроили Надо иметь возможность подключаться из любойго места (со смартфона, планшета, компа, подключенных к инету) к видео-регистратору, подключенному в Микротик "М2". М2 подключен к инету через LTE-модем. Сотовый оператор выдаёт серый адрес. Т.е. подключиться извне не выйдет. Но Есть дрйгой Микротик ("M1"). Он имеет белый внешний адрес и на нём уже поднят VPN. Идея такова: М2 подключить к M1 по VPN. Прокинуть необходимые порты M1 -> M2 -> Видеорегистратор и иметь возможность заходить на регистратор из любого места. Изменено 14 июня, 2015 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 12 июня, 2015 (изменено) · Жалоба Fumo, а это чего такое? Я вообще имел ввиду дамп полный, а не в одну сторону. После увиденного есть сомнения в том чтоже там вообще накручено. Разметка в приведенном примере не имеет смысла, потому что отсутсвует routing mark. В torch виден rtsp поток, 554 порт. rtp потоков не видно. У вас в морде есть настройки как отображать видео? ну там картинками, кодеками? С ospf я бы не стал, тут всего то 3 сети 2 роутера. Но идея убрать огород натов не лишена смысла. Изменено 12 июня, 2015 пользователем user71 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 12 июня, 2015 · Жалоба Fumo, а это чего такое? Я вообще имел ввиду дамп полный, а не в одну сторону. После увиденного есть сомнения в том чтоже там вообще накручено. Разметка в приведенном примере не имеет смысла, потому что отсутсвует routing mark. В torch виден rtsp поток, 554 порт. Дамп настроек? Выше - не то? Откуда просмотр включить и с каким параметрами и где torch запустить - сделаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 12 июня, 2015 (изменено) · Жалоба [admin@eXmachine] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 2 A S 0.0.0.0/0 192.168.8.1 1 10 ADC 192.168.8.0/24 192.168.8.100 lte1 0 ну оно примерно как то так выглядит.... А у вас оно больше похоже на какой то скрипт для настройки. Да можете хоть локально с того пк с которого смотрите. Если оно у вас в прямой видимости нет никакого смысла выбирать интерфейсы - везде будет одно и то же. Torch вы уже запустили, я и говорю что в торче ртсп. Попробуйте 554 порт пробросить. Вообще rtsp это управляющий протокол а для передачи потоков он открывает доп соединения по rtp с указанием портов. Я это к тому что если вы действительно используете несколько таблиц для маршрутизации, то эти коннекты rtsp rtp тоже нужно пометить иначе оно улетит в черную дыру. И потом остаются не понятным, за какой потребностью каждая камера пробрасывается отдельно? как потом управлять доступом к ним? как подключатся к ним? Это каждую придется отдельно настраивать отдельно прописывать. Почему бы не цеплять все камеры к nvr а его уже пробросить и к нему цеплятся извне? с натами это какая то особенная идея или оно больше никак работать не хочет? Изменено 12 июня, 2015 пользователем user71 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fumo Опубликовано 14 июня, 2015 (изменено) · Жалоба за какой потребностью каждая камера пробрасывается отдельно? как потом управлять доступом к ним? как подключатся к ним? Это каждую придется отдельно настраивать отдельно прописывать. Почему бы не цеплять все камеры к nvr а его уже пробросить и к нему цеплятся извне? Ещё раз: Я и пытаюсь подключиться к NVR, который подключен к M2 (на котором нет белого адреса). Несколько проброшеных камер, которые видно в конфиге - это на М1. В сети М1 УЖЕ работают несколько камер, NVR, NAS, но они в текущую задачу не входят - я просто не стал вырезать из показаных настроек эти строки. с натами это какая то особенная идея или оно больше никак работать не хочет? "Никак" - а как ещё можно? Вот строки настроек с M1 (на котором белый адрес и на котором поднят VPN (к которому цепляется М2)), относящиеся к делу: /ip route add distance=1 gateway=xxxx add distance=1 dst-address=yyyy/32 gateway=Interra add distance=1 dst-address=192.168.4.0/24 gateway=192.168.1.202 /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24 add action=dst-nat chain=dstnat dst-port=9090 protocol=tcp to-addresses=192.168.4.101 to-ports=80 add action=dst-nat chain=dstnat dst-port=1935 protocol=tcp to-addresses=192.168.4.101 to-ports=1935 192.168.1.202 - адрес, присваеваемый роутеру M2 от VPN сервера. 192.168.4.101 - адрес NVR (заметка: в первых постах у М2 была подсеть 22. Сейчас поменял на 4). Подсеть 1 - подсеть M1 роутера. ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 1 S ;;; gw1 0.0.0.0/0 xxxx 1 2 ADS 0.0.0.0/0 xxxx 1 5 A S xxxx/32 Interra 1 6 ADC xxxx/32 xxxx 10-Interra 0 7 ADC xxxx/32 xxxx Interra 0 12 ADC 192.168.1.0/24 192.168.1.254 Bridge-Local 0 14 ADC 192.168.1.202/32 192.168.1.254 <pptp-r> 0 16 A S 192.168.4.0/24 192.168.1.202 1 Вот настройки M2: /ip firewall mangle add action=mark-connection chain=prerouting dst-address=192.168.4.0/24 in-interface=pptp-out1 new-connection-mark=R passthrough=no add action=mark-routing chain=output connection-mark=R new-routing-mark=R src-address=192.168.4.254 add action=mark-routing chain=prerouting connection-mark=R new-routing-mark=R src-address=192.168.4.0/24 /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.4.0/24 /ip route add distance=1 gateway=192.168.1.254 routing-mark=R ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 192.168.1.254 1 1 ADS 0.0.0.0/0 192.168.8.1 0 2 ADC 192.168.1.254/32 192.168.1.202 pptp-out1 0 3 ADC 192.168.4.0/24 192.168.4.254 bridge1 0 4 ADC 192.168.8.0/24 192.168.8.100 lte1 0 Вот Torch из сети M2, в которой и находится NVR: Снаружи подключается к веб-морде NVR, но видео не стартует. Ромашка периодически (раз в 3-4 секунды) проскакивает, но картинки нет. Вот Torch извне: Заметно, что на скрине "извне", попытки по порту 1935 повторяются периодически, а в "локальном" варианте - линк по TCP1935 - один и по нему и гонится видео-поток. P.S. Если подключаться к NVR из сети М1 - всё работает нормально. Торчем при этом видна та-же картина, что и при "локальном" (из M2 сети) подключении (назначением при этом является 192.168.1.254 (это IP роутера M1), хотя просмотр ведётся с компа, IP которого 192.168.1.200). Изменено 14 июня, 2015 пользователем Fumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...