Микротик - Видеонаблюдение - Anydesk

Обсуждение ПО и его настройки
Ответить
kratos
Сообщения: 22
Зарегистрирован: 30 мар 2021, 19:44

Всех приветствую!
Прошу подсказать по следующей ситуации.
Была конфигурация сети - провайдер -> ЛВС (управляемый коммутатор Cisco - роутер Tp-link - IP видеонаблюдение с регистратором)
Статичный IP на коммутаторе.
Роутер Tp-link исключительно под видеонаблюдение (в него подключен IP регистратор и POE коммутаторы с IP камерами) в режиме роутер со своим DHCP.
Были проброшены порты для доступа к роутеру по IP+порт и для выхода видеонаблюдения в сеть (Провайдер за своим NAT).
Работало всё - видеонаблюдение и в приложении XMeya (локальная и через интернет) и через CMS на ПК (по статичному IP с указанием портов), Anydesk работал и будил спящие (и в гибернации) устройства, доступ на роутер Tp-link по IP+порт был.
Конфигурацию сети переиграли.
Вместо Cisco поставили роутер Микротик rb2011.
Ничего не делал с конфигурацией (только базовая настройка пользователя, присвоение статичного IP от провайдера, мелкие настройки по ограничению скорости и скрипты)
RouterOS v7.6
DHCP вкл.
В таком состоянии (из "коробки") видеонаблюдение работает только в приложение XMeya (локальная сеть + интернет), через CMS по ip+порт не работает ни в локальной сети, ни через интернет, доступ к роутеру Tp-link не работает, Anydesk работает, но не будит устройства.
К Микротику также нет доступа по IP (ну это отдельная тема - мне известная, легче делать VPN, хотя не откажусь от рекомендаций).
Подумал, что порты не проброшены на Микротике - попытался пробросить ничего не получилось (т.е. результата по всем пунктам 0).
Откатил всё назад до проброса.
Вопрос следующий - может кто-нибудь дать рекомендации/инструкции как это нужно сделать чтобы всё работало как и раньше только в новой конфигурации?
Порты для видеонаблюдения 34567 и 88.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если конфигурация на микротике та, которая идет с завода, то там есть включенный фаерволл и он, в принципе, все описанное вами блокирует.
Поэтому, чтобы заработало так, как раньше, нужно настроить микротик.
Открыть соответствующие порты в фаерволле и сделать их проброс.
Также нужно настроить статические маршруты на микротике и на TP-link (хотя на TP-Link маршрут есть, скорее всего). И, возможно, потребуется настроить Hairpin NAT.

А вот wol через Anydesk - интересный вопрос. А как оно вообще в anydesk работает? Там же как-то запрос посылается с одно из компьютеров в локальной сети? Но можно легко будить через микротик.


Какую конкретно помощь хотите от форума?


kratos
Сообщения: 22
Зарегистрирован: 30 мар 2021, 19:44

Anydesk не принципиален. Просто для информации - вдруг связанная проблема (p.s. по описанию работы Wake-on-Lan должны быть как минимум два устройства в локальной сети, но у меня все работало и в единичном исполнение, т.е. один узел был в локалке и его пробуждали из интернета).

Приоритетная проблема с видеонаблюдением, чтобы можно было через CMS смотреть.
В фаерволе только Fasttrack поднят на 1 позицию (после passthrough).
Порты пробрасывать в Firewall - NAT? (dst-nat, 6-tcp, src.port 34567) и также для 88 порта?
Буду рад любой помощи.

Изображение

Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Начните пользоваться WinBox. Веб интерфейс - это не по микротиковски.
2. Проброс, например, разные устройства в сети и разные порты:

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=5553 protocol=tcp \
to-addresses=192.168.89.147 to-ports=5553
add action=dst-nat chain=dstnat disabled=yes dst-port=5552 protocol=tcp \
to-addresses=192.168.89.148 to-ports=5552

3. Фаерволл:

/ip firewall filter

add action=accept chain=forward dst-port=5553 protocol=tcp
add action=accept chain=forward dst-port=5552 protocol=tcp

И поднимите эти правила выше всех запрещающих.


kratos
Сообщения: 22
Зарегистрирован: 30 мар 2021, 19:44

Спасибо, попробую. :-ok-:
Winbox пользуюсь :-):


kratos
Сообщения: 22
Зарегистрирован: 30 мар 2021, 19:44

В общем, получилось, но на половину :ne_vi_del:
Добавил правило в NAT (dstnat, netmap, tcp, dst port 34567, to addresses 192.168.88.204, to port 88/34567)
В принципе, этого хватило чтобы видеть из Интернета по статичному адресу NVR.
Но внутри локальной сети по статичному адресу глухо.
Только если внутри локальной сети указывать локальный адрес NVR (не хотелось бы на этом останавливаться, так как это не удобно).
Подскажите как это можно поправить?
Перенаправлять запросы с белого ip+порт на локальный ip+порт внутри локалки? :ps_ih:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Гуглить hairpin NAT.

Либо сделать на роутере статическую DNS запись и ходить не по адресу, а по доменному имени.

И да, в первом правиле должно быть не action=netmap а action=dst-nat.


Telegram: @thexvo
kratos
Сообщения: 22
Зарегистрирован: 30 мар 2021, 19:44

Благодарю :-):
Ознакомлюсь с технологией.
И такой еще вопрос - какие подводные камни могут вылезти, если использовать в моем случае netmap вместо dst-nat?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Netmap просто не для этого.
Избыточен.


Telegram: @thexvo
Ответить