Всем привет.
Имеется MikroTik RouterOS 6.43.8 по ethernet1 подключается провайдер. В своей локальной сети стоит видеосервер novicam.
Правила проброса для видеосервера:
4 chain=dstnat action=dst-nat to-addresses=192.168.1.8 protocol=tcp in-interface=ether1
dst-port=80,8000,554 log=no log-prefix=""
5 сhain=dstnat action=dst-nat to-addresses=192.168.1.8 protocol=udp in-interface=ether1
dst-port=80,8000,554 log=no log-prefix=""
Через web все работает.
Но есть приложуха под андроид IVMS 4500 pro и если подключиться с вафли(внутри сети) то все норм (RTSP прет на 554 порт), а если с инета то программа авторизуется на порт 8000 но видеопоток не идет.
Отключал все правила и оставлял только такие настройки:
1 chain=srcnat action=same to-addresses=38.***.***.97 same-not-by-dst=no src-address=192.168.1.8
in-interface=ether1 log=no log-prefix=""
2 chain=dstnat action=same to-addresses=192.168.1.8 same-not-by-dst=no dst-address=38.***.***.97 log=n>
log-prefix=""
В фильтрах ставил input,output,forward разрешить. Тишина.
Так же делал с белого ip netmap на видеосервер, а с него маскарадил наружу. При этом опять же подключение есть видеопотока нет. Подскажите что еще можно попробовать
IVMS 4500 pro + Mikrotik
-
ukebear
- Сообщения: 6
- Зарегистрирован: 26 янв 2019, 07:57
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) С фильтрами аккуратно. Что не знаем, то не трогаем или не добавляем. На время теста не забываем их отключить.
2) в НАТе: сначала идут dst (они внутри микротика первее обрабатываются), потом уже src/masq
3) не надо пока использовать netmap, используйте dst-nat только
4) на каждый порт - отдельное правила
5) для проверки что порт(ы) реально доступны снаружи, проверять надо с другого канала, то есть
если с телефона, отключаете ВиФи и идёте себе на роутер "снаружи", с оператора сотового.
6) не забудьте, что порт 80 занят микротиком (там у него веб-портал), советую отключить его, и
управлять микротиком через утилиту Winbox только. И порт 80 освободиться, и безопасность поднимется.
А вообще, всё это есть на просторах, уж проброс с указание порта = это просто должно быть.
P.S.
После работы с пробросом, не забываем сделать защиту роутеру, так как Вы информации не дали,
то и я советую лишь чтобы она была...обязательно.
2) в НАТе: сначала идут dst (они внутри микротика первее обрабатываются), потом уже src/masq
3) не надо пока использовать netmap, используйте dst-nat только
4) на каждый порт - отдельное правила
5) для проверки что порт(ы) реально доступны снаружи, проверять надо с другого канала, то есть
если с телефона, отключаете ВиФи и идёте себе на роутер "снаружи", с оператора сотового.
6) не забудьте, что порт 80 занят микротиком (там у него веб-портал), советую отключить его, и
управлять микротиком через утилиту Winbox только. И порт 80 освободиться, и безопасность поднимется.
А вообще, всё это есть на просторах, уж проброс с указание порта = это просто должно быть.
P.S.
После работы с пробросом, не забываем сделать защиту роутеру, так как Вы информации не дали,
то и я советую лишь чтобы она была...обязательно.
-
ukebear
- Сообщения: 6
- Зарегистрирован: 26 янв 2019, 07:57
1) Тестирую без фильтров
3) Пробовал, все так же.
4) Пробовал, все так же.
5) Порты проверяю с 2ip.ua, все что нужно открыты. На телефоне через оператора.
6) Все сервисы поотключал и сервисные порты тоже, акромя винбокса.
3) Пробовал, все так же.
4) Пробовал, все так же.
5) Порты проверяю с 2ip.ua, все что нужно открыты. На телефоне через оператора.
6) Все сервисы поотключал и сервисные порты тоже, акромя винбокса.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Хорошо:
У каждого правила есть счётчик (сработки) и счётчик байтов. Они сработали?
Они перестали быть нулевыми?
Ну и самое главное - на том адресе локальном, куда делается проброс, там шлюзом должен быть
прописан адрес локальный микротика, это сделано?
И также в догонку, антивирусники, тот же Касперский умеет смотреть заголовок пакета, и
блокирует пробросы порой, поэтому проверьте, что туда, куда делается проброс - не срабатывает
уже локальная защита и/или ограничения.
Подходите инженерно, ударяйтесь в порты, которые Вы открыли, включите логирование эти правил,
смотрите логи, смотрите счётчик правил, если счётчик стал уже не нулевым, то значит на роутер
и на порт Вы попали, значит если и дальше не работает - проверяете тот узел(хост) куда делается
проброс и что там твориться.
Чудес не бывает....
У каждого правила есть счётчик (сработки) и счётчик байтов. Они сработали?
Они перестали быть нулевыми?
Ну и самое главное - на том адресе локальном, куда делается проброс, там шлюзом должен быть
прописан адрес локальный микротика, это сделано?
И также в догонку, антивирусники, тот же Касперский умеет смотреть заголовок пакета, и
блокирует пробросы порой, поэтому проверьте, что туда, куда делается проброс - не срабатывает
уже локальная защита и/или ограничения.
Подходите инженерно, ударяйтесь в порты, которые Вы открыли, включите логирование эти правил,
смотрите логи, смотрите счётчик правил, если счётчик стал уже не нулевым, то значит на роутер
и на порт Вы попали, значит если и дальше не работает - проверяете тот узел(хост) куда делается
проброс и что там твориться.
Чудес не бывает....
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Вероятнее всего приложению требуется ещё какой-то порт. Посмотрите торчем когда прога подключается по каким портам работает - когда внутри сети и когда с наружи.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
ukebear
- Сообщения: 6
- Зарегистрирован: 26 янв 2019, 07:57
Всем спасибо. Проблема решена. В сети стояло еще одно устройство которое внаглую заворачивало на себя траф во внешку с видеосервера, было найдено, измерено и отправлено в небытие