IP Camera nefungující NAT

[neumanj]

Moc prosím o radu s přesměrováním portu na veřejnou IP mé domácí kamery.

Firewall Filter Rules mám nastavený dle základní konfigurace Mikrotiku. V NAT jsem pouze přidal řádek č. 1 a zaboha nejsem schopnej se na kameru z venku připojit. Ping na veřejnou adresu taky nefunfuje.

Kód: Vybrat vše

0    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 1    ;;; Vivotek camera
      chain=dstnat action=dst-nat to-addresses=192.168.88.241 to-ports=8081 protocol=tcp connection-type=""
      dst-port=8081 log=yes log-prefix="Camera NAT"

Poradíte mi prosím co jsem kde zapomněl nebo neudělal. Díky

[neumanj]

Ještě doplní co mám default v Rules

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input comment="default configuration" log-prefix="" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    established,related log-prefix=""
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway \
    log-prefix=""
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=\
    established,related log-prefix=""
add action=accept chain=forward comment="default configuration" connection-state=\
    established,related log-prefix=""
add action=drop chain=forward comment="default configuration" connection-state=invalid \
    log-prefix=""
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-gateway log-prefix=""


Zkoušel jsem ještě přesměrovat přístup z venku na Mikrotik a tam to funguje s tímto pravidlem, který jsem pak vypnul (proto je tam disabled) ....

Kód: Vybrat vše

dst-nat chain=dstnat disabled=yes log=yes log-prefix="Nat MT" protocol=tcp \
    to-addresses=192.168.88.1

... ale kamera na adrese 192.168.88.241 s portem 80 (zkoušel 8080, 8081) nic

Díky

[dzejty]

Je potřeba do firewallu doplnit do chainu forward pravidlo na přístup k IP a portu kamery:

Kód: Vybrat vše

/ip firewall filter
add chanin=forward dst-address=192.168.88.241 dst-port=8081 protocol=tcp


a celé to umístit nad ty dva poslední dropy.

[neumanj]

moc díky za pomoc, ale stále nejsem schopnej kameru vidět, vnitřně ano z venku NE

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input comment="default configuration" log-prefix="" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    established,related log-prefix=""
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway \
    log-prefix=""
add action=fasttrack-connection chain=forward comment="default configuration" \
    connection-state=established,related log-prefix=""
add action=accept chain=forward comment="default configuration" connection-state=\
    established,related log-prefix=""
add action=accept chain=forward comment="Vivotek camera" dst-address=192.168.88.241 \
    dst-port=8081 log-prefix="" protocol=tcp
add action=drop chain=forward comment="default configuration" connection-state=invalid \
    log-prefix=""
add action=drop chain=forward comment="default configuration" connection-nat-state=\
    !dstnat connection-state=new in-interface=ether1-gateway log-prefix=""


Nemůže být problém někde jinde? Moc rád bych to vyřešil bohužel už dnes, protože zítra jedu pryč a rád bych viděl co se děje, vím že je to opovážlivé... ale už nad tím "dělám" 2 dny

[Kysa]

co tam dát

Kód: Vybrat vše

/ip firewall nat add chain=dstnat dst-port=8081 action=dst-nat protocol=tcp to-address=192.168.88.241 to-port=80

A na veřejna_ip:8081 bys měl mít kameru

[neumanj]

.. jenže já na IP kameře nastavil výchozí port 8081 , tedy takhle to je asi míněný pokud bych měl na IP kameře nastaveno na port 80? že jo? prosím nějaký nápad prosím?

10 minut poté... ...

.... přenastavil jsem na IP kameře port na 80 a nechal to jak jsi od Kysa napsal

Kód: Vybrat vše

/ip firewall nat add chain=dstnat dst-port=8081 action=dst-nat protocol=tcp to-address=192.168.88.241 to-port=80

a výsledek je tohle z Logu

Log.PNG (7.37 KiB) Zobrazeno 5558 x

, ale stejně mi jí neukáže..? pomůže to trochu k vyřešení , prosím?

[Kysa]

Přehlídl jsem, že port 8081 máš na kameře. Myslel jsem že na routeru.
Jak to zkoušíš? Z jakého připojení? pokud z toho samého jako je kamera, fungovat to nemusí. Skus to třeba přes telefon (samozřejmě s vypnutou wifi), nebo ať to skusí nějaký kamoš

[neumanj]

Bohužel, to už jsem zkoušel, ani tak to nejde

[Kysa]

A máš tam opravdu veřejnou IP?

[neumanj]

Jo mam, kdyz tam nanatuju adresu 192.168.88.1 ( chain dstnat tcp a adresu 192.168.88.1 bez portu) Mikrotiku, tak se normalne pres verejnou na Mikrotik prihlasim :-O

Nemuze to byt treba tim, ze je cela vnitrni sit zakazana nebo nepovolena pro pristup z venku? Jen doplnuju, ze mam nastaveni mikrotiku dle default a jen jsem doplnit adresu od providera a vytvoril wifi.

[Kysa]

Skus zakázat ty poslední dva dropy ve FW. Na chvilku na test. A připoj se od někud z venku.
Pokud to začne fungovat, povol poslední. pokud to bude fungovat dál, tak povol oba a prohoď je mezi sebou

[neumanj]

Bohuzel, stale nic - oba drop forward jsem zakazal a nic beze zmeny

[Kysa]

A v logu se ještě něco píše? Mě už nic nenapadá, protože tohle vždycky funguje.

[neumanj]

No prave , nejsem profik, ale vzdy jsem to zprovoznil na jinych routeru, ale minuly rok jsem si koupil Mikrotik a je to proste pro me velky sosuto asi ....
Uz me napada jen moznost, ti dat pristup do Routeru a aby jsi to zkusil se podivat nebo pres Team Viewer ? Ale asi bychom museli poslat pres mail udaje

Poradi prosim nekdo?

[Shakal]

Hmm, mňa napadlo:
a máš na kamere nastavenú gateway?