0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|||||||
1 | |||||||
Удалённая запись на видеорегистратор с IP камеры через микротик04.03.2019, 04:32. Показов 8114. Ответов 88
Метки нет (Все метки)
Имеется два офиса, которые территориально сильно удалены друг от друга. В первом офисе (назовем его – Главный офис «ГО») имеется локальная сеть с адресами 10.254.254.ххх и выход в интернет через Mikrotik RB951G-2HnD (далее – GW1, внутр.адрес 10.254.254.1). У GW1 есть белый IP-адрес и на нем поднят pptp-Server, 192.168.237.100. Во втором офисе (назовем его – Удаленный офис «УО») имеется локальная сеть с адресами 192.168.88.ххх и выход в интернет через Mikrotik RB750 (далее – GW2, внутр.адрес 192.168.88.1). На GW2 нет белого IP-адреса и GW2 подключается к GW1 через pptp-Client, 192.168.237.101.
Две сети связаны pptp-туннелем, из каждой есть доступ к другой сети, т.е. все пингуется. В УО есть видеорегистратор (далее - RVi) к которому есть доступ по ip-адресу из главного и удаленного офисов. RVi можно просматривать из главного и удаленного офиса подключившись к нему по ip-адресу. Для доступа к RVi из вне, через GW1 проброшен порт 37777 на RVi, можно подключиться к RVi, но вот при попытке открыть окно просмотра выдает сообщение «Ошибка открытия видео». При этом, к RVi из вне можно подключаться через P2P, и все камеры можно нормально просматривать, но хочется разобраться, почему я не могу просматривать камеры, если подключаюсь из вне через GW1?
0
|
04.03.2019, 04:32 | |
Ответы с готовыми решениями:
88
Настройка/удалённая запись на видеорегистратор с IP камеры через микротик Настройка видеорегистратора NVR на запись с IP камеры через интернет Интернет через видеорегистратор (или врезка в кабель) ? Запретить ipv6 через ipv4 на Микротик |
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
04.03.2019, 08:07 | 2 |
потому что забываешь про шлюз по умолчанию.
На RVi же прописан шлюз по умолчанию, вот туда он ответы и шлёт. Т.е. запрос на "покажи картинку" прилетает из туннеля, а ответ (саму картинку) RVi шлет на шлюз по умолчанию. Если вопрос только в этом, то, достаточно повесить на интерфейс туннеля маскарадинг на стороне RB750. Но лучше промаркировать соединения и пакеты, и в прописать правила: - всё что прилетает из туннеля по порту 37777 отправлять туда же в туннель
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
04.03.2019, 08:39 [ТС] | 3 |
вот нашел интересную статью, как раз про мои проблемы:
https://asp24.ru/mikrotik/sozd... shlyuzami/ со стороны GW1 все настроил, но сейчас понимаю, что этого мало и надо еще сделать настройки со стороны GW2, т.к. глядя на соединение, вижу что пакету с GW2 "улетают" в интернет, а не в туннель. а как сделать эту настройку на RB750?
0
|
4000 / 1579 / 310
Регистрация: 23.06.2009
Сообщений: 5,608
|
|
04.03.2019, 08:52 | 4 |
не только по порту 37777, а вообще все что прилетело из туннеля, назад тоже должно улетать в туннель, завтра будет порт 38888, опять настраивать?
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
04.03.2019, 10:20 | 5 |
нужно промаркировать соединение и пакеты, после чего прописать правила что куда направлять.
1
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
04.03.2019, 10:39 [ТС] | 6 |
спасибо. буду изучать, как промаркировать пакеты
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
06.03.2019, 07:44 [ТС] | 7 |
с маркировкой соединения и пакетов так и не разобрался, но сделал настройки в NAT на примере вот этой статьи:
https://asp24.ru/mikrotik/sozd... shlyuzami/ после этого смог удалено подключится к видеорегистратору, но получить изображение с камер так и не получается. вот соединение на GW1 https://www.cyberforum.ru/atta... 1551847373 здесь соединение на GW2 https://www.cyberforum.ru/atta... 1551847373 подскажите, куда еще "копать", чтобы получить изображение с камер?
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|||||||||||
06.03.2019, 09:03 | 8 | ||||||||||
и не получится! Манглы тут нужны. Тебе нужно "объяснить" микротику, что
"всё, что прилетает из туннеля, ту да же и отправлять"
и лучше конкретизировать для какого хоста это делается
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
06.03.2019, 09:48 [ТС] | 9 |
на GW2 все сделал, как написали, но изображение с камер так и не нет, выдает "Ошибка открытия видео".
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
06.03.2019, 10:57 | 10 |
т.е. "из вне" по стат адресу, подключение к RVi по туннелю происходит?
Дело в том, что преимущественно на регах по 80 порту идет авторизация, а видео идет по 37777 порту. Т.к. у тебя на реге прописан скорее всего шлюзом адрес GW2, то, регистратор получает запрос на "показать видео" из туннеля, а видео улетает на этот шлюз 192.168.88.1, естественно там дропается. Нужно "объяснить" микротику, что ответ нужно не дропать, а перенаправить в тунель. Я наверно извинюсь за манглы (хотя это я детально позже разбиру и дам решение), но то решение, что я дал пока не работает (я у себя начал тестить и получил проблему). Если можно, прошу модераторов убрать моё решение Итак, в данном случае (я посоветовался с гуру) можно на стороне GW1 повесить маскарадинг на интерфейс туннеля, и, по идее, всё должно заработать.
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
06.03.2019, 11:30 [ТС] | 11 |
да, из вне сейчас происходит подключение к RVi, но получить изображение с камер не получается, выдает "ошибка открытия видео". при этом, если подключаюсь из локальной сети, то изображение с камер есть...
для подключение к RVi из вне или из сети использую ПО SmartPSS, там в настройках "забиваю" адрес и порт 37777, и все. адрес для подключения из вне использую свой белый от провайдера и порт 37773 (проброс порта настроен на 37777), если в локальной сети подключаюсь то указываю адрес видеорегистратора - 192.168.88.254 и порт 37777.
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
06.03.2019, 11:32 | 12 |
Итак, я всё перепроверил, (ткнули меня носом в мою ошибку) - описанное мною решение с манглами работает.
давай выгрузку конфига под спойлер (затри статику и пароли). Посмотрим....
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
06.03.2019, 11:52 [ТС] | 13 |
конфиг очень большой получается, что именно надо скинуть?
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
06.03.2019, 11:57 | 14 |
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
06.03.2019, 12:10 [ТС] | 15 |
/ip firewall address-list
add address=10.254.254.0/24 list=vpn add address=95.154.0.0/16 list=vpn /ip firewall filter add action=accept chain=input comment="default configuration" protocol=icmp add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=1h chain=input comment="record ssh brute forcers" \ dst-port=22 log=yes log-prefix=" --- SSH ATTEMPT --- " protocol=tcp add action=drop chain=input comment="drop ssh brute forcers" protocol=tcp \ src-address-list=ssh_blacklist add action=accept chain=input comment=\ "EoIP Tunel" protocol=\ gre add action=accept chain=input log=yes log-prefix="L2TP-IPsec - " protocol=\ ipsec-esp add action=fasttrack-connection chain=forward comment=fasttrack \ connection-state=established,related add action=accept chain=input comment="default configuration" \ connection-state=established,related add action=accept chain=input connection-state=related disabled=yes add action=drop chain=input comment="default configuration" in-interface=\ ether1-gateway add action=accept chain=forward comment="default configuration" \ connection-state=established add action=accept chain=forward connection-state=related add action=drop chain=forward comment="default configuration" \ connection-state=invalid /ip firewall mangle add action=mark-connection chain=input in-interface=pptp-Tunel \ new-connection-mark=mark_pptp passthrough=yes add action=mark-connection chain=forward in-interface=pptp-Tunel \ new-connection-mark=mark_pptp passthrough=yes add action=mark-routing chain=output connection-mark=mark_pptp \ new-routing-mark=vpn_pptp passthrough=no add action=mark-routing chain=prerouting connection-mark=mark_pptp \ in-interface=bridge1 new-routing-mark=vpn_pptp passthrough=no /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway Добавлено через 30 секунд /ip address add address=192.168.88.1/24 comment="default configuration" interface=bridge1 \ network=192.168.88.0 Добавлено через 6 минут это с GW2, в этой сети и находится RVi
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
06.03.2019, 12:43 | 16 |
Не по теме: я же просил - под спойлер. Ты создаешь доп работу модеру.. не вижу ни адреса, ни интерфейса (/ppp export тоже покажи) подключается и выходит в сеть? или соединены туннелем? адрес рега 88.254? Какой у него шлюз? 88.1? где проброс? Добавлено через 2 минуты /ip address с GW1 покажи Добавлено через 1 минуту хм... а где адрес туннеля? Добавлено через 1 минуту всё тоже самое с GW1 нужно посмотреть
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
07.03.2019, 06:43 [ТС] | 17 |
я на форуме первый раз, не понял, как это "спойлер"?
на GW2 он пустой GW2 подключен к интернету, но у него нет белого адреса, белый адрес есть только на GW1, и GW2 цепляется к GW1 через pptp-client, на GW1 поднят pptp-server, на GW2 pptp-client, здесь проблем нет да, именно так к RVi из вне цепляюсь через GW1, вот на GW1 сделан проброс порта 37777, там и для других ресурсов есть пробросы портов и все работает, но все пробросы в сеть 10.254.254.0/24, это сеть GW1, а RVi находится в сети GW2, там сеть 192.168.88.0/24 /ip address add address=10.254.254.1/24 comment=defconf interface=ether2-master-local \ network=10.254.254.0 add address=95.154.xx.xxx0/24 comment=Internet interface=ether1-gateway \ network=95.154.xxx.0 не понял, а здесь он разве должен быть? можно, но там нет проблем...
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
07.03.2019, 06:52 [ТС] | 18 |
0
|
0 / 0 / 0
Регистрация: 03.07.2015
Сообщений: 48
|
|
07.03.2019, 06:53 [ТС] | 19 |
0
|
5096 / 2157 / 462
Регистрация: 17.10.2015
Сообщений: 9,208
|
|
07.03.2019, 08:27 | 20 |
Слушай, ты выложил экспорт gw2 - по большому счету он мне не нужен. Если ты на нём прописал всё, как я писал выше с манглами и маршрутом - то там всё ок.
Нужно посомтреть правильность проброса на gw1, посмотреть правила фаервола, нат .... Это сложно сделать? Я тут должен сидеть и угадывать - что же там именно не так настроено!? Не по теме: Дай хоть хрустальный шар, что ли.... Добавлено через 7 минут
0
|
07.03.2019, 08:27 | |
07.03.2019, 08:27 | |
Помогаю со студенческими работами здесь
20
Не проходит обращение по rdp через микротик Электронная почта на смартфон через микротик Микротик не раздает интернет через WiFi Микротик обрыв sip соединения через 30 секунд Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |