batman666 Posted May 6, 2017 Собственно есть rb951g адрес 192.168.88.1 и интернет pppoe без статического адрес адресса Как пробросить порты от камер 554 rstp адрес камер 192.168.88.3 и 4 ? если можете поподробней а то я пробовал через ip-firewall-Nat прописывал адресс внешний и адресса внутренний на роутер с портом 554 не получилось что-то я не так делаю :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted May 6, 2017 Сначала уточните, что вы делали, т.е. нужен конфиг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batman666 Posted May 6, 2017 Создаем правило на вкладке NAT. Chain – выбираем dst-nat; Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard; Protokol – tcp; Dst. Port – порт назначения На вкладке Action, в поле Action выбираем dst-nat. To Addresses – 192.168.88.3 Это адрес в локальной сети на который будут перенаправлятся запросы. To Ports – указываем номер порта. по этой инструкции или могу скинуть конфигурации тока как её записать в файл? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 6, 2017 batman666, "тихо сам с собою я веду беседу"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batman666 Posted May 7, 2017 я написал как я пробовал я бы не задавал вообще вопросов если была бы возможность его забрать домой на пару дней, а так стремно т.к. там две сетки + Hotspot и если что-то на порталу то я долго разбираться буду :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostikbel Posted May 7, 2017 могу скинуть конфигурации тока как её записать в файл? /export compact file=<filename> Потом выкачиваете файл. Проверьте, чтобы пароли/ключи/нежелательные адреса не светились в том, что вы показываете. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 8, 2017 Во-первых: адрес по рррое получаете "белый"? Если нет, то ничего не выйдет. Во-вторых, если адрес таки реальный, то поскольку он не постоянен, то правило Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard бессмысленно, указывайте In.Interface (pppoe-out1 или как там у вас). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batman666 Posted May 8, 2017 may/08/2017 19:29:10 by RouterOS 6.38.5 # software id = 0 # /interface bridge add name=bridge-free-wifi add admin-mac=00:11:22:33:44:55 auto-mac=no name=bridge-local /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=keb \ wireless-protocol=802.11 /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway set [ find default-name=ether2 ] name=ether2-master-local set [ find default-name=ether3 ] master-port=ether2-master-local name=\ ether3-slave-local set [ find default-name=ether4 ] master-port=ether2-master-local name=\ ether4-slave-local set [ find default-name=ether5 ] master-port=ether2-master-local name=\ ether5-slave-local /interface pppoe-client add add-default-route=yes disabled=no interface=ether1-gateway \ keepalive-timeout=disabled name=pppoe-out1 password=0123456789 \ use-peer-dns=yes user=bebko /ip neighbor discovery set ether1-gateway discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys wpa-pre-shared-key=0011223344 wpa2-pre-shared-key=0011223344 add management-protection=allowed name=free-wifi /interface wireless add disabled=no mac-address=00:11:22:33:44:55 master-interface=wlan1 mode=\ ap-bridge name=wlan2 security-profile=free-wifi ssid="Kebab's" \ wds-default-bridge=bridge-local /ip hotspot profile add hotspot-address=192.168.30.1 login-by=http-chap,trial name=hsprof1 \ trial-uptime-limit=59m trial-uptime-reset=1m /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name=pool-free-wifi ranges=192.168.30.5-192.168.30.255 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge-local name=default add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\ dhcp-free-wifi /ip hotspot add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\ hotspot1 profile=hsprof1 /interface bridge port add bridge=bridge-local interface=ether2-master-local add bridge=bridge-local interface=wlan1 add bridge=bridge-free-wifi interface=wlan2 /ip address add address=192.168.88.1/24 comment="default configuration" interface=\ bridge-local network=192.168.88.0 add address=192.168.30.1/24 interface=wlan2 network=192.168.30.0 /ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid disabled=\ no interface=ether1-gateway /ip dhcp-server network add address=192.168.30.0/24 dns-server=192.168.30.1,8.8.8.8 gateway=\ 192.168.30.1 netmask=24 add address=192.168.88.0/24 comment="default configuration" gateway=\ 192.168.88.1 /ip dns set allow-remote-requests=yes servers=192.168.88.1,8.8.8.8 /ip dns static add address=192.168.88.1 name=router /ip firewall filter add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=accept chain=input comment="default configuration" protocol=icmp add action=accept chain=input comment="default configuration" \ connection-state=established,related add action=drop chain=input comment="default configuration" in-interface=\ ether1-gateway add action=fasttrack-connection chain=forward comment="default configuration" \ connection-state=established,related add action=accept chain=forward comment="default configuration" \ connection-state=established,related add action=drop chain=forward comment="default configuration" \ connection-state=invalid add action=drop chain=forward comment="default configuration" \ connection-nat-state=!dstnat connection-state=new in-interface=\ ether1-gateway add action=drop chain=input in-interface=pppoe-out1 add action=drop chain=forward in-interface=pppoe-out1 /ip firewall nat add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway add action=masquerade chain=srcnat out-interface=pppoe-out1 add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=192.168.30.0/24 /system clock set time-zone-name=Europe/Kiev /system leds set 0 interface=wlan1 /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local #interrupted Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted May 8, 2017 (edited) Что за камера? Что-то не уверен тот порт вы дали. Наверное вам надо сменить ether1 на ether1-gateway У меня так порт открыт для видеокамеры: / ip firewall nat add chain=dstnat in-interface=ether1 protocol=tcp dst-port=554 action=netmap to-addresses=192.168.88.3 to-ports=554 comment="Camera-1" disabled=no / ip firewall filter add chain=forward in-interface=ether1 protocol=tcp dst-port=554 action=accept comment="Camera-1" disabled=no Edited May 8, 2017 by Chexov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batman666 Posted May 8, 2017 (edited) порт точно тот 554 по fing на андроиде смотрел в ether 2 или 4 точно не помню включён свичь 8 портовый в него все камеры подключены в ether1 идёт провод от провайдера pppoe Edited May 8, 2017 by batman666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 8, 2017 /ip firewall nat add action=dst-nat chain=dstnat dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.3 Возможно, что протокол не tcp, а udp. Это: add action=drop chain=forward in-interface=pppoe-out1 убрать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
batman666 Posted May 8, 2017 (edited) скорее всего вы правы наверно udp а на счёт убрать то на сайте провайдера такая инструкция " любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки , Вам следует принять меры к ее немедленному исправлению. В противном случае Вы можете быть отключены от сети в любое время без предупреждения" Edited May 8, 2017 by batman666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 9, 2017 любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки Для защиты этого add action=drop chain=input in-interface=pppoe-out1 достаточно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
