Jump to content
Калькуляторы

Настройка NAT или особенность устройства

Добрый день. Интересная ситуация, после смены телефона перестало работать одно приложение. Не могу понять, косяк в настройке роутера, или это особенности мобильных устройств, в том числе точек доступа. ТД - простые роутеры разных фирм, с полностью отключенными правилами и DHCP.
Имеем следущее:
сеть 1, сервер видеонаблюдения 1, микротик 951G
Сеть 2, сервер видеонаблюдения 2, тоже за микротиком.
сеть 3 (любая другая, моб инет в том числе)
мобильные устройства андроид N штук
приложение для камер, подключается по дефолтному порту.

на микротике
/interface list
WAN1
ether2..5
wlan
PPPoE

bridge (ether2..5, wlan)

Так как сервера с наблюдением имеют одинаковые порты, то в мобильных клиентах для удобства указан внешний IP, а в настройках

роутера указан входящий интерфейс для NAT. Если входящий интерфейс не указан, то все подключения, по номеру порта, сразу

заворачиваются в текущую сеть, и доступ из сети 1, к серверу сети 2 не возможен.
Все работает отлично. из сети 1 к серверу 1, к серверу 2 - ОК. Сеть2 - сервер1 и 2 ок. из других сетей ок.
/ip firewall nat
add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \
    in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190

Самое интересное. Эта схема работала и работает уже ни один год. НО!!! сменил телефон на Xiaomi и теперь при идентичных

настройках, подключение из сети 1 к серверу 1 - НЕТ ДОСТУПА. так же изсети2 к серверу 2. т.е. подключение из текущей сети, к

серверу не возможно. Сейчас проверил на 2 разных Xiaomi - доступа нет, старая моторолла и нексус - доступ есть.
 
На Xiaomi на стоковой прошивке MUI 9 пробовал. Сейчас поставил кастом LineageOS 14.1 (настройки идентичны нексус), но все равно

на Xiaomi  не работает.
Приложение для ПК использует другой порт, но при включенном входном интерфейсе PPPoE провайдера, при подключении через внешний IP

 выдает ошибку.

Есть варианты как починить, и иметь доступ ко всем серверам из любой точки?

Share this post


Link to post
Share on other sites

IMHO должно быть достаточно обычный dst-nat и Hairpin NAT

но нужно учесть, как в dst-nat так и в Hairpin, что видео от рега может идти по другому протоколу, отличному от управления/авторизации (http/https)

 

покажите ip firewall nat

Share this post


Link to post
Share on other sites

Про аналоговые регистраторы знаю, почти всегда управление и поток идет по разным портам. у меня IP сервер, в новых версиях используется всего 2 порта (один для ПК и приложения, один WEB). Про Hairpin NAT  пока даже не слышал, видимо не было необходимости).

Вот настройки сейчас.

/ip firewall filter

add action=accept chain=forward comment="CAM" dst-port=9997,9998,9999\    protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=PPPoE
add action=masquerade chain=srcnat comment=\    "возврат с адреса" out-interface=!PPPoE    ----- для чего он создан не помню, знакомый делал

add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \    in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190

 

Добавил еще 2 строки. (1.1.1.1 - внешний IP) Хорошо что он статический, а есди будет диамика, то сюда можно прописать DNS имя?
/ip firewall nat
add action=masquerade chain=srcnat out-interface=PPPoE
add action=masquerade chain=srcnat comment=\
    "возврат с адреса" out-interface=!PPPoE
add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \
    in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190         -----в найденной инструкции говорят, что входящий интерфейс надо отключить, но в таком случае у меня не рыботают камеры, которые находятся в других сетях.
add action=dst-nat chain=dstnat comment="CAM 2" dst-address=1.1.1.1 \
    dst-port=9999 protocol=tcp to-addresses=10.10.10.190
add action=masquerade chain=srcnat comment="CAM 3" dst-address=\
    1.1.1.1 dst-port=9999 protocol=tcp src-address=10.10.10.0/24

 

Да, главное, в таком виде, все заработало. Прошу поправить, если чтото не так настроил. И главный (риторический) вопрос: почему же с прежними настройками многие устройства работали?!?!

Спасибо.

 

UP

Оказывается достаточно одного правила в NAT для работы. Ранее находил инфу, только о указании входящего интерфейса, а оказывается можно без него, а только Dst. Address (адрес назначения). Оставил одну строчку из 3х. работает.

add action=dst-nat chain=dstnat comment="CAM 2" dst-address=1.1.1.1 \
    dst-port=9999 protocol=tcp to-addresses=10.10.10.190

Edited by ramzes_83

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.