Mikrotik RB951Ui-2HnD - проброс порта для IP-камеры

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
club777
Сообщения: 0
Зарегистрирован: 16 фев 2018, 08:53

Нужна помощь.
Переехали с D-Link на Mikrotik RB951Ui-2HnD, всё настроилось в полпинка, а вот с IP-камерами возникли проблемы!... %)
Суть проблемы: есть несколько IP-камер, видео с которых мы черпаем через rtsp. У каждой из камер свой порт, используеиый для rtsp. В локалке всё работает на ура, видео без проблем открывается по ссылкам вида rtsp://192.168.10.102:22554/user=admin&password=ХХХ
Кроме того, это же видео бекапится на внешний хост, соответственно нужен доступ с интернета,- настраиваю проброс порта для IP-камеры, делаю всё четко по инструкции: https://toster.ru/q/183419 , добавил правило: 
add action=dst-nat chain=dstnat disabled=no dst-port=22554 protocol=tcp to-addresses=192.168.10.102 to-ports=22554
- не работает!!!
Пробовал уже всё что можно: менял protocol=tcp/udp и action=dst-nat/netmap (как рекомендуют тут: http://www.technotrade.com.ua/Articles/ ... arding.php), ничего не помогает, камеры по rtsp - недоступны... %) :ps_ih:

Может я где-то ступил? Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????



На всякий случай /ip firewall nat export:
# feb/16/2018 09:49:39 by RouterOS 6.41.2
# software id = I449-W8D6
#
# model = 951Ui-2HnD
# serial number = XXX 
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=22554 in-interface=WAN protocol=tcp to-addresses=192.168.10.102 to-ports=22554
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.10.0/24


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

У камер шлюз есть?

Или так спрошу, его можно задать в настройках или если камеры получают адрес по DHCP, в настройках DHCP его указать?
ОН должен быть явно указан, ибо камера не знает куда слать ответы.
И шлюзом должен быть указан IP адрес роутера.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
club777
Сообщения: 0
Зарегистрирован: 16 фев 2018, 08:53

Да, у камер в настройках указан основной шлюх, и он совпадает с айпи Микротика:
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ну тогда ещё бредовые идеи-советы:

1) добавьте к Вашим правилам-пробросам кроме TCP, ещё такое(такие) же правила но уже UDP
2) ну и надеюсь что Вы проверяете проброс (как он работает) минимум с другого компа и с другого Интернет-подключения,
не с этого же?
3) ну и счётчики пакетов на правилах проброса с нуля "ушли"?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
maxkerch
Сообщения: 9
Зарегистрирован: 11 янв 2016, 23:35

club777 писал(а): 16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????
проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

maxkerch писал(а): 16 фев 2018, 21:12
club777 писал(а): 16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????
проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554
Один раз и на всегда (на все пробросы портов существующие и будущие):
/ip firewall filter add chain=forward connection-nat-state=dstnat action=accept in-interface=wan

Но не факт что есть закрывающее запрещающее правило.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

to-addresses=192.168.10.102 to-ports=22554

to-ports не надо указывать если порты одинаковые.
Уходит на тот же порт что приходит


club777
Сообщения: 0
Зарегистрирован: 16 фев 2018, 08:53

Отвечу тут на "советы", возможно, кому-то пригодится ... :ps_ih:
enzain писал(а): 16 фев 2018, 22:57 to-addresses=192.168.10.102 to-ports=22554

to-ports не надо указывать если порты одинаковые.
Уходит на тот же порт что приходит
вы не правы, ОБЯЗАТЕЛЬНО нужно указывать, см.: https://forum.mikrotik.com/viewtopic.php?t=94998


club777
Сообщения: 0
Зарегистрирован: 16 фев 2018, 08:53

enzain писал(а): 16 фев 2018, 22:56
maxkerch писал(а): 16 фев 2018, 21:12
club777 писал(а): 16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????
проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554
Один раз и на всегда (на все пробросы портов существующие и будущие):
/ip firewall filter add chain=forward connection-nat-state=dstnat action=accept in-interface=wan

Но не факт что есть закрывающее запрещающее правило.
вернулся к дефолтному конфигу, а именно:
Изображение


club777
Сообщения: 0
Зарегистрирован: 16 фев 2018, 08:53

Vlad-2 писал(а): 16 фев 2018, 18:31 ну тогда ещё бредовые идеи-советы:

1) добавьте к Вашим правилам-пробросам кроме TCP, ещё такое(такие) же правила но уже UDP
2) ну и надеюсь что Вы проверяете проброс (как он работает) минимум с другого компа и с другого Интернет-подключения,
не с этого же?
3) ну и счётчики пакетов на правилах проброса с нуля "ушли"?
1) UDP нет смысла добавлять, тк они не используются
2) это было одним из факторов, которые существенно затормозили решение проблемы... :ps_ih:
3) да, помогла идея подкинутая мне на другом форуме - заменить интерфейс на вн.айпиху, нечто подобное и на оф.форуме: https://forum.mikrotik.com/viewtopic.php?t=94998


Благодарю всех за попытку помочь,
надеюсь, мои ответы помогут такому же бедолаге, который вляпался в Микротик... :ps_ih:


Ответить