[alibek]

Есть Mikrotik RB2011 на ROS 6.48.

На нем созданы три интерфейса: lan (мост, порты с 2 по 5), wan (порт 1) и svc (порт 9).

На интерфейсах имеются IP-адреса. Добавлены маршруты, дефолтный через wan и 10.102.0.0/16 через svc.

Настроен файрвол и NAT.

 

Есть устройство 10.102.2.41, подключенное через svc, это IP-камера.

В lan есть видеорегистратор, к которому я хочу подключить IP-камеру.

И из lan нет доступа к этому устройству, непонятно почему.

 

Поскольку на Микротике нет никаких нормальных инструментов для диагностики, приходится извращаться.

На IP-камере есть веб-сервер, если подключится телнетом на 80 порт и отправить GET-запрос, то камера в ответ возвращает HTML.

 

Открываю терминал на Mikrotik.

Делаю ping 10.102.2.41 - получаю ответы. Впрочем это мало что дает — может там где-то NAT по пути, или отвечает на пинги вообще не камера.

Подключаюсь с помощью telnet: system telnet port=80 address=10.102.2.41

Вроде бы успешно, в терминал выдает: Connected to 10.102.2.41

Пишу:

GET / HTTP/1.0

и два раза нажимаю Enter — никакой реакции. Если ждать достаточно долго, то через некоторое время выдает "Remote closed connection: 10.102.2.41" и отключается.

При этом если с нормального ПК отправить GET-запрос на камеру, она сразу же возвращает ответ.

 

Как проверить, в чем причина?

torch тут совершенно бесполезен. Как и packet sniffer — несмотря на заданные фильтры он захватывает все пакеты и не показывает толком их содержимое.

Счетчики на правилах firewall никакой полезной информации не дают (на запрещающих правилах счетчики не растут).

NAT тут работать не должен (прямая маршрутизация), судя по счетчикам он и не работает.

 

К сожалению у камеры нет никаких диагностических инструментов (пинг, трассировка), чтобы с самой камеры проверить доступность микротика (на случай, если что-то не так с маршрутизацией).

И сам микротик находится далеко, так что я не могу подключиться ноутбуком в lan-порт и проверить доступность камеры ноутбуком (на случай, если что-то не так с регистратором).

Остается только сам микротик с его кастрированным инструментарием.

[VolanD666]

А что вы еще хотите от микротика? У него как раз, а счет его софтовости, самый широкий набор для дебага. У вас есть встроенный снифер, смотрите что уходит и что приходит на интерфейс. Настройте в нем правила фильтра и смотрите пакеты нормально. Если прям хочется внутрь пакетов смотреть (зачем?)- запишите трафик и посмотрите его в вайршарке. В чем проблема то?

[Saab95]

В 12.01.2021 в 10:32, alibek сказал:

И сам микротик находится далеко, так что я не могу подключиться ноутбуком в lan-порт и проверить доступность камеры ноутбуком (на случай, если что-то не так с регистратором).

Ну так через EoIP туннель прокиньте на свой микротик канал и подключитесь ноутбуком к камере. Иногда бывает что на камерах настройка шлюза слетает или может кто такой же IP адрес поставил.