ramzes_83 Posted August 2, 2018 · Report post Добрый день. Интересная ситуация, после смены телефона перестало работать одно приложение. Не могу понять, косяк в настройке роутера, или это особенности мобильных устройств, в том числе точек доступа. ТД - простые роутеры разных фирм, с полностью отключенными правилами и DHCP. Имеем следущее: сеть 1, сервер видеонаблюдения 1, микротик 951G Сеть 2, сервер видеонаблюдения 2, тоже за микротиком. сеть 3 (любая другая, моб инет в том числе) мобильные устройства андроид N штук приложение для камер, подключается по дефолтному порту. на микротике /interface list WAN1 ether2..5 wlan PPPoE bridge (ether2..5, wlan) Так как сервера с наблюдением имеют одинаковые порты, то в мобильных клиентах для удобства указан внешний IP, а в настройках роутера указан входящий интерфейс для NAT. Если входящий интерфейс не указан, то все подключения, по номеру порта, сразу заворачиваются в текущую сеть, и доступ из сети 1, к серверу сети 2 не возможен. Все работает отлично. из сети 1 к серверу 1, к серверу 2 - ОК. Сеть2 - сервер1 и 2 ок. из других сетей ок. /ip firewall nat add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \ in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190 Самое интересное. Эта схема работала и работает уже ни один год. НО!!! сменил телефон на Xiaomi и теперь при идентичных настройках, подключение из сети 1 к серверу 1 - НЕТ ДОСТУПА. так же изсети2 к серверу 2. т.е. подключение из текущей сети, к серверу не возможно. Сейчас проверил на 2 разных Xiaomi - доступа нет, старая моторолла и нексус - доступ есть. На Xiaomi на стоковой прошивке MUI 9 пробовал. Сейчас поставил кастом LineageOS 14.1 (настройки идентичны нексус), но все равно на Xiaomi не работает. Приложение для ПК использует другой порт, но при включенном входном интерфейсе PPPoE провайдера, при подключении через внешний IP выдает ошибку. Есть варианты как починить, и иметь доступ ко всем серверам из любой точки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted August 3, 2018 · Report post IMHO должно быть достаточно обычный dst-nat и Hairpin NAT но нужно учесть, как в dst-nat так и в Hairpin, что видео от рега может идти по другому протоколу, отличному от управления/авторизации (http/https) покажите ip firewall nat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ramzes_83 Posted August 3, 2018 (edited) · Report post Про аналоговые регистраторы знаю, почти всегда управление и поток идет по разным портам. у меня IP сервер, в новых версиях используется всего 2 порта (один для ПК и приложения, один WEB). Про Hairpin NAT пока даже не слышал, видимо не было необходимости). Вот настройки сейчас. /ip firewall filter add action=accept chain=forward comment="CAM" dst-port=9997,9998,9999\ protocol=tcp /ip firewall nat add action=masquerade chain=srcnat out-interface=PPPoE add action=masquerade chain=srcnat comment=\ "возврат с адреса" out-interface=!PPPoE ----- для чего он создан не помню, знакомый делал add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \ in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190 Добавил еще 2 строки. (1.1.1.1 - внешний IP) Хорошо что он статический, а есди будет диамика, то сюда можно прописать DNS имя? /ip firewall nat add action=masquerade chain=srcnat out-interface=PPPoE add action=masquerade chain=srcnat comment=\ "возврат с адреса" out-interface=!PPPoE add action=dst-nat chain=dstnat comment="CAM" dst-port=9999 \ in-interface=PPPoE protocol=tcp to-addresses=10.10.10.190 -----в найденной инструкции говорят, что входящий интерфейс надо отключить, но в таком случае у меня не рыботают камеры, которые находятся в других сетях. add action=dst-nat chain=dstnat comment="CAM 2" dst-address=1.1.1.1 \ dst-port=9999 protocol=tcp to-addresses=10.10.10.190 add action=masquerade chain=srcnat comment="CAM 3" dst-address=\ 1.1.1.1 dst-port=9999 protocol=tcp src-address=10.10.10.0/24 Да, главное, в таком виде, все заработало. Прошу поправить, если чтото не так настроил. И главный (риторический) вопрос: почему же с прежними настройками многие устройства работали?!?! Спасибо. UP Оказывается достаточно одного правила в NAT для работы. Ранее находил инфу, только о указании входящего интерфейса, а оказывается можно без него, а только Dst. Address (адрес назначения). Оставил одну строчку из 3х. работает. add action=dst-nat chain=dstnat comment="CAM 2" dst-address=1.1.1.1 \ dst-port=9999 protocol=tcp to-addresses=10.10.10.190 Edited August 3, 2018 by ramzes_83 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...