951rb как побродить порты для iP камер?

[batman666]

Собственно есть rb951g адрес 192.168.88.1

и интернет pppoe без статического адрес адресса

Как пробросить порты от камер 554 rstp

адрес камер 192.168.88.3 и 4 ?

если можете поподробней а то я пробовал через ip-firewall-Nat прописывал адресс внешний и адресса внутренний на роутер с портом 554 не получилось

что-то я не так делаю :(

[Nuts]

Сначала уточните, что вы делали, т.е. нужен конфиг.

[batman666]

Создаем правило на вкладке NAT.

 

Chain – выбираем dst-nat;

Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard;

Protokol – tcp;

Dst. Port – порт назначения

На вкладке Action, в поле Action выбираем dst-nat.

 

To Addresses – 192.168.88.3 Это адрес в локальной сети на который будут перенаправлятся запросы.

 

To Ports – указываем номер порта.

 

по этой инструкции

 

или могу скинуть конфигурации тока как её записать в файл?

[DRiVen]

batman666, "тихо сам с собою я веду беседу"?

[batman666]

я написал как я пробовал

я бы не задавал вообще вопросов если была бы возможность его забрать домой на пару дней, а так стремно т.к. там две сетки + Hotspot и если что-то на порталу то я долго разбираться буду :(

[kostikbel]

могу скинуть конфигурации тока как её записать в файл?

 

/export compact file=<filename>

Потом выкачиваете файл. Проверьте, чтобы пароли/ключи/нежелательные адреса не светились в том, что вы показываете.

[DRiVen]

Во-первых: адрес по рррое получаете "белый"? Если нет, то ничего не выйдет. Во-вторых, если адрес таки реальный, то поскольку он не постоянен, то правило

Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard

бессмысленно, указывайте In.Interface (pppoe-out1 или как там у вас).

[batman666]

may/08/2017 19:29:10 by RouterOS 6.38.5

# software id = 0

#

/interface bridge

add name=bridge-free-wifi

add admin-mac=00:11:22:33:44:55 auto-mac=no name=bridge-local

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \

disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=keb \

wireless-protocol=802.11

/interface ethernet

set [ find default-name=ether1 ] name=ether1-gateway

set [ find default-name=ether2 ] name=ether2-master-local

set [ find default-name=ether3 ] master-port=ether2-master-local name=\

ether3-slave-local

set [ find default-name=ether4 ] master-port=ether2-master-local name=\

ether4-slave-local

set [ find default-name=ether5 ] master-port=ether2-master-local name=\

ether5-slave-local

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1-gateway \

keepalive-timeout=disabled name=pppoe-out1 password=0123456789 \

use-peer-dns=yes user=bebko

/ip neighbor discovery

set ether1-gateway discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\

dynamic-keys wpa-pre-shared-key=0011223344 wpa2-pre-shared-key=0011223344

add management-protection=allowed name=free-wifi

/interface wireless

add disabled=no mac-address=00:11:22:33:44:55 master-interface=wlan1 mode=\

ap-bridge name=wlan2 security-profile=free-wifi ssid="Kebab's" \

wds-default-bridge=bridge-local

/ip hotspot profile

add hotspot-address=192.168.30.1 login-by=http-chap,trial name=hsprof1 \

trial-uptime-limit=59m trial-uptime-reset=1m

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-128-cbc

/ip pool

add name=default-dhcp ranges=192.168.88.10-192.168.88.254

add name=pool-free-wifi ranges=192.168.30.5-192.168.30.255

/ip dhcp-server

add address-pool=default-dhcp disabled=no interface=bridge-local name=default

add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\

dhcp-free-wifi

/ip hotspot

add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\

hotspot1 profile=hsprof1

/interface bridge port

add bridge=bridge-local interface=ether2-master-local

add bridge=bridge-local interface=wlan1

add bridge=bridge-free-wifi interface=wlan2

/ip address

add address=192.168.88.1/24 comment="default configuration" interface=\

bridge-local network=192.168.88.0

add address=192.168.30.1/24 interface=wlan2 network=192.168.30.0

/ip dhcp-client

add comment="default configuration" dhcp-options=hostname,clientid disabled=\

no interface=ether1-gateway

/ip dhcp-server network

add address=192.168.30.0/24 dns-server=192.168.30.1,8.8.8.8 gateway=\

192.168.30.1 netmask=24

add address=192.168.88.0/24 comment="default configuration" gateway=\

192.168.88.1

/ip dns

set allow-remote-requests=yes servers=192.168.88.1,8.8.8.8

/ip dns static

add address=192.168.88.1 name=router

/ip firewall filter

add action=passthrough chain=unused-hs-chain comment=\

"place hotspot rules here" disabled=yes

add action=accept chain=input comment="default configuration" protocol=icmp

add action=accept chain=input comment="default configuration" \

connection-state=established,related

add action=drop chain=input comment="default configuration" in-interface=\

ether1-gateway

add action=fasttrack-connection chain=forward comment="default configuration" \

connection-state=established,related

add action=accept chain=forward comment="default configuration" \

connection-state=established,related

add action=drop chain=forward comment="default configuration" \

connection-state=invalid

add action=drop chain=forward comment="default configuration" \

connection-nat-state=!dstnat connection-state=new in-interface=\

ether1-gateway

add action=drop chain=input in-interface=pppoe-out1

add action=drop chain=forward in-interface=pppoe-out1

/ip firewall nat

add action=passthrough chain=unused-hs-chain comment=\

"place hotspot rules here" disabled=yes

add action=masquerade chain=srcnat comment="default configuration" \

out-interface=ether1-gateway

add action=masquerade chain=srcnat out-interface=pppoe-out1

add action=masquerade chain=srcnat comment="masquerade hotspot network" \

src-address=192.168.30.0/24

/system clock

set time-zone-name=Europe/Kiev

/system leds

set 0 interface=wlan1

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

/tool mac-server mac-winbox

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

#interrupted

[Chexov]

Что за камера? Что-то не уверен тот порт вы дали.

Наверное вам надо сменить ether1 на ether1-gateway

У меня так порт открыт для видеокамеры:

/ ip firewall nat 
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=554 action=netmap to-addresses=192.168.88.3 to-ports=554 comment="Camera-1" disabled=no

/ ip firewall filter 
add chain=forward in-interface=ether1 protocol=tcp dst-port=554 action=accept comment="Camera-1" disabled=no

Edited May 8, 2017 by Chexov

[batman666]

порт точно тот 554 по fing на андроиде смотрел

в ether 2 или 4 точно не помню включён свичь 8 портовый в него все камеры

подключены

в ether1 идёт провод от провайдера pppoe

Edited May 8, 2017 by batman666

[DRiVen]

/ip firewall nat add action=dst-nat chain=dstnat dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.3

Возможно, что протокол не tcp, а udp.

Это:

add action=drop chain=forward in-interface=pppoe-out1

убрать.

[batman666]

скорее всего вы правы наверно udp

 

а на счёт убрать то на сайте провайдера такая инструкция

" любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки

, Вам следует принять меры к ее немедленному исправлению. В противном случае Вы можете быть отключены от сети в любое время без предупреждения"

Edited May 8, 2017 by batman666

[DRiVen]

любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки

Для защиты этого

add action=drop chain=input in-interface=pppoe-out1

достаточно.