Russian Users MikroTik | Форум пользователей MikroTik

Нужна помощь.
Переехали с D-Link на Mikrotik RB951Ui-2HnD, всё настроилось в полпинка, а вот с IP-камерами возникли проблемы!... %)
Суть проблемы: есть несколько IP-камер, видео с которых мы черпаем через rtsp. У каждой из камер свой порт, используеиый для rtsp. В локалке всё работает на ура, видео без проблем открывается по ссылкам вида rtsp://192.168.10.102:22554/user=admin&password=ХХХ
Кроме того, это же видео бекапится на внешний хост, соответственно нужен доступ с интернета,- настраиваю проброс порта для IP-камеры, делаю всё четко по инструкции: https://toster.ru/q/183419 , добавил правило: 
add action=dst-nat chain=dstnat disabled=no dst-port=22554 protocol=tcp to-addresses=192.168.10.102 to-ports=22554
- не работает!!!
Пробовал уже всё что можно: менял protocol=tcp/udp и action=dst-nat/netmap (как рекомендуют тут: http://www.technotrade.com.ua/Articles/ ... arding.php), ничего не помогает, камеры по rtsp - недоступны... %)

Может я где-то ступил? Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????



На всякий случай /ip firewall nat export:
# feb/16/2018 09:49:39 by RouterOS 6.41.2
# software id = I449-W8D6
#
# model = 951Ui-2HnD
# serial number = XXX 
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=22554 in-interface=WAN protocol=tcp to-addresses=192.168.10.102 to-ports=22554
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.10.0/24

У камер шлюз есть?

Или так спрошу, его можно задать в настройках или если камеры получают адрес по DHCP, в настройках DHCP его указать?
ОН должен быть явно указан, ибо камера не знает куда слать ответы.
И шлюзом должен быть указан IP адрес роутера.

Да, у камер в настройках указан основной шлюх, и он совпадает с айпи Микротика:

ну тогда ещё бредовые идеи-советы:

1) добавьте к Вашим правилам-пробросам кроме TCP, ещё такое(такие) же правила но уже UDP
2) ну и надеюсь что Вы проверяете проброс (как он работает) минимум с другого компа и с другого Интернет-подключения,
не с этого же?
3) ну и счётчики пакетов на правилах проброса с нуля "ушли"?

club777 писал(а): ↑16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????

проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554

maxkerch писал(а): ↑16 фев 2018, 21:12

club777 писал(а): ↑16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????

проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554

Один раз и на всегда (на все пробросы портов существующие и будущие):
/ip firewall filter add chain=forward connection-nat-state=dstnat action=accept in-interface=wan

Но не факт что есть закрывающее запрещающее правило.

to-addresses=192.168.10.102 to-ports=22554

to-ports не надо указывать если порты одинаковые.
Уходит на тот же порт что приходит

Отвечу тут на "советы", возможно, кому-то пригодится ...

enzain писал(а): ↑16 фев 2018, 22:57 to-addresses=192.168.10.102 to-ports=22554

to-ports не надо указывать если порты одинаковые.
Уходит на тот же порт что приходит

вы не правы, ОБЯЗАТЕЛЬНО нужно указывать, см.: https://forum.mikrotik.com/viewtopic.php?t=94998

enzain писал(а): ↑16 фев 2018, 22:56

maxkerch писал(а): ↑16 фев 2018, 21:12

club777 писал(а): ↑16 фев 2018, 08:59 Может кто-то сталкивался с такой проблемой ?? Подскажите, пожалуйста, куда копать ??????

проброс вы сделали, а порт в firewall открыли?
/ip fi fi add chain=forward action=accept protocol=tcp in-interface=wan dst-port=22554

Один раз и на всегда (на все пробросы портов существующие и будущие):
/ip firewall filter add chain=forward connection-nat-state=dstnat action=accept in-interface=wan

Но не факт что есть закрывающее запрещающее правило.

вернулся к дефолтному конфигу, а именно:

Vlad-2 писал(а): ↑16 фев 2018, 18:31 ну тогда ещё бредовые идеи-советы:

1) добавьте к Вашим правилам-пробросам кроме TCP, ещё такое(такие) же правила но уже UDP
2) ну и надеюсь что Вы проверяете проброс (как он работает) минимум с другого компа и с другого Интернет-подключения,
не с этого же?
3) ну и счётчики пакетов на правилах проброса с нуля "ушли"?

1) UDP нет смысла добавлять, тк они не используются
2) это было одним из факторов, которые существенно затормозили решение проблемы...
3) да, помогла идея подкинутая мне на другом форуме - заменить интерфейс на вн.айпиху, нечто подобное и на оф.форуме: https://forum.mikrotik.com/viewtopic.php?t=94998


Благодарю всех за попытку помочь,
надеюсь, мои ответы помогут такому же бедолаге, который вляпался в Микротик...