Jump to content
Калькуляторы

951rb как побродить порты для iP камер?

Собственно есть rb951g адрес 192.168.88.1

и интернет pppoe без статического адрес адресса

Как пробросить порты от камер 554 rstp

адрес камер 192.168.88.3 и 4 ?

если можете поподробней а то я пробовал через ip-firewall-Nat прописывал адресс внешний и адресса внутренний на роутер с портом 554 не получилось

что-то я не так делаю :(

Share this post


Link to post
Share on other sites

Сначала уточните, что вы делали, т.е. нужен конфиг.

Share this post


Link to post
Share on other sites

Создаем правило на вкладке NAT.

 

Chain – выбираем dst-nat;

Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard;

Protokol – tcp;

Dst. Port – порт назначения

На вкладке Action, в поле Action выбираем dst-nat.

 

To Addresses – 192.168.88.3 Это адрес в локальной сети на который будут перенаправлятся запросы.

 

To Ports – указываем номер порта.

 

по этой инструкции

 

или могу скинуть конфигурации тока как её записать в файл?

Share this post


Link to post
Share on other sites

я написал как я пробовал

я бы не задавал вообще вопросов если была бы возможность его забрать домой на пару дней, а так стремно т.к. там две сетки + Hotspot и если что-то на порталу то я долго разбираться буду :(

Share this post


Link to post
Share on other sites

могу скинуть конфигурации тока как её записать в файл?

 

/export compact file=<filename>

Потом выкачиваете файл. Проверьте, чтобы пароли/ключи/нежелательные адреса не светились в том, что вы показываете.

Share this post


Link to post
Share on other sites

Во-первых: адрес по рррое получаете "белый"? Если нет, то ничего не выйдет. Во-вторых, если адрес таки реальный, то поскольку он не постоянен, то правило

Dst. Address – указываем внешний ip-адрес нашего Mikrotik Routerboard

бессмысленно, указывайте In.Interface (pppoe-out1 или как там у вас).

Share this post


Link to post
Share on other sites

may/08/2017 19:29:10 by RouterOS 6.38.5

# software id = 0

#

/interface bridge

add name=bridge-free-wifi

add admin-mac=00:11:22:33:44:55 auto-mac=no name=bridge-local

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \

disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=keb \

wireless-protocol=802.11

/interface ethernet

set [ find default-name=ether1 ] name=ether1-gateway

set [ find default-name=ether2 ] name=ether2-master-local

set [ find default-name=ether3 ] master-port=ether2-master-local name=\

ether3-slave-local

set [ find default-name=ether4 ] master-port=ether2-master-local name=\

ether4-slave-local

set [ find default-name=ether5 ] master-port=ether2-master-local name=\

ether5-slave-local

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1-gateway \

keepalive-timeout=disabled name=pppoe-out1 password=0123456789 \

use-peer-dns=yes user=bebko

/ip neighbor discovery

set ether1-gateway discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\

dynamic-keys wpa-pre-shared-key=0011223344 wpa2-pre-shared-key=0011223344

add management-protection=allowed name=free-wifi

/interface wireless

add disabled=no mac-address=00:11:22:33:44:55 master-interface=wlan1 mode=\

ap-bridge name=wlan2 security-profile=free-wifi ssid="Kebab's" \

wds-default-bridge=bridge-local

/ip hotspot profile

add hotspot-address=192.168.30.1 login-by=http-chap,trial name=hsprof1 \

trial-uptime-limit=59m trial-uptime-reset=1m

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-128-cbc

/ip pool

add name=default-dhcp ranges=192.168.88.10-192.168.88.254

add name=pool-free-wifi ranges=192.168.30.5-192.168.30.255

/ip dhcp-server

add address-pool=default-dhcp disabled=no interface=bridge-local name=default

add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\

dhcp-free-wifi

/ip hotspot

add address-pool=pool-free-wifi disabled=no interface=bridge-free-wifi name=\

hotspot1 profile=hsprof1

/interface bridge port

add bridge=bridge-local interface=ether2-master-local

add bridge=bridge-local interface=wlan1

add bridge=bridge-free-wifi interface=wlan2

/ip address

add address=192.168.88.1/24 comment="default configuration" interface=\

bridge-local network=192.168.88.0

add address=192.168.30.1/24 interface=wlan2 network=192.168.30.0

/ip dhcp-client

add comment="default configuration" dhcp-options=hostname,clientid disabled=\

no interface=ether1-gateway

/ip dhcp-server network

add address=192.168.30.0/24 dns-server=192.168.30.1,8.8.8.8 gateway=\

192.168.30.1 netmask=24

add address=192.168.88.0/24 comment="default configuration" gateway=\

192.168.88.1

/ip dns

set allow-remote-requests=yes servers=192.168.88.1,8.8.8.8

/ip dns static

add address=192.168.88.1 name=router

/ip firewall filter

add action=passthrough chain=unused-hs-chain comment=\

"place hotspot rules here" disabled=yes

add action=accept chain=input comment="default configuration" protocol=icmp

add action=accept chain=input comment="default configuration" \

connection-state=established,related

add action=drop chain=input comment="default configuration" in-interface=\

ether1-gateway

add action=fasttrack-connection chain=forward comment="default configuration" \

connection-state=established,related

add action=accept chain=forward comment="default configuration" \

connection-state=established,related

add action=drop chain=forward comment="default configuration" \

connection-state=invalid

add action=drop chain=forward comment="default configuration" \

connection-nat-state=!dstnat connection-state=new in-interface=\

ether1-gateway

add action=drop chain=input in-interface=pppoe-out1

add action=drop chain=forward in-interface=pppoe-out1

/ip firewall nat

add action=passthrough chain=unused-hs-chain comment=\

"place hotspot rules here" disabled=yes

add action=masquerade chain=srcnat comment="default configuration" \

out-interface=ether1-gateway

add action=masquerade chain=srcnat out-interface=pppoe-out1

add action=masquerade chain=srcnat comment="masquerade hotspot network" \

src-address=192.168.30.0/24

/system clock

set time-zone-name=Europe/Kiev

/system leds

set 0 interface=wlan1

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

/tool mac-server mac-winbox

set [ find default=yes ] disabled=yes

add interface=ether2-master-local

add interface=ether3-slave-local

add interface=ether4-slave-local

add interface=ether5-slave-local

add interface=wlan1

add interface=bridge-local

#interrupted

Share this post


Link to post
Share on other sites

Что за камера? Что-то не уверен тот порт вы дали.

Наверное вам надо сменить ether1 на ether1-gateway

У меня так порт открыт для видеокамеры:

/ ip firewall nat 
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=554 action=netmap to-addresses=192.168.88.3 to-ports=554 comment="Camera-1" disabled=no

/ ip firewall filter 
add chain=forward in-interface=ether1 protocol=tcp dst-port=554 action=accept comment="Camera-1" disabled=no

Edited by Chexov

Share this post


Link to post
Share on other sites

порт точно тот 554 по fing на андроиде смотрел

в ether 2 или 4 точно не помню включён свичь 8 портовый в него все камеры

подключены

в ether1 идёт провод от провайдера pppoe

Edited by batman666

Share this post


Link to post
Share on other sites

/ip firewall nat add action=dst-nat chain=dstnat dst-port=554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.3

Возможно, что протокол не tcp, а udp.

Это:

add action=drop chain=forward in-interface=pppoe-out1

убрать.

Share this post


Link to post
Share on other sites

скорее всего вы правы наверно udp

 

а на счёт убрать то на сайте провайдера такая инструкция

" любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки

, Вам следует принять меры к ее немедленному исправлению. В противном случае Вы можете быть отключены от сети в любое время без предупреждения"

Edited by batman666

Share this post


Link to post
Share on other sites
любой хост из сети Интернет может использовать Ваше оборудование для DNS-amplification атаки

Для защиты этого

add action=drop chain=input in-interface=pppoe-out1

достаточно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this