@Nike555

Всем привет
Появилась задача настроить установленные IP камера подключённых в роутер тп-линк, который в свою очередь получает инет от микротика.
Простите если задам слишком простые вопросы, просто не нашёл в инете точных и рабочих ответов на мои вопросы...
1) Как можно посмотреть ip адреса камер через микротик?
Я пробовал варианты вида:
- IP/ARP (вроде тут должно показываться то что мне нужно...видел там странные IP 192.168.68.200-202 (иногда до 203)) остальные ип знаю откуда, (прикрепил скрин)
- IP/firewall/connections
- Bridge/Hosts (показывает только МАКи, и даже не понятно есть ли там камер или нет)
- DHCP Server/Leases (показывает вроде если только добавить устройство)

2) Пытался сделать правило в IP/Firewall/NAT (прикрепил скрины), Dst. Address - внешний IP(от провайдера)
правило поставил сразу после masquarade.
При попытке посмотреть через браузер : http://внеший_ип:8080 получаю типа страницы не существует(типа проверьте настройки ДНС, прокси...)

А также, тут возникает вопрос, нужно вообще включить или отключить или поменять порт www (IP/Services)? Я все настройки делаю только через winbox, не нужен веб интерфейс, оно связано чем-то с просмотром с видеокамер?

Потом уже придётся попробовать поставить запись на удалённый видеорегистратор.

Спасибо заранее.

0

@insect_87

1. он соединен с микротиком wan-портом и он наирует трафик внутренней сети?
2. от какого устройства камеры получают адреса? от DHCP тп-линка? или они вообще заданы статически?
3. доступ к тп-линку есть вообще?

1

@romsan

настроить тапок свитчем, прописать статику на камерах (либо в dhcp-сервере make static застолбить адреса)
у Вас просто камеры? или есть видеорегистратор? по адресу http://внеший_ип:8080 Вы хотите попасть куда?
правило не верно прописано.
1) Какой порт у камеры 192.168.68.200 ? Вы хотите попасть на web-порт? или rtsp поток получить? или media-поток? У каждого источника свой порт.
2) Если, предположим, у камеры web-порт 80 (по умолчанию), то Вам нужно в фаере микротика данный порт открыть на форвард, а в NAT прописать проброс порта 8080 на 80
3) и не забываем про ActiveX в "осле"

1

@Nike555

да думаю от ТП-линка,
если честно думаю вся проблема именно в нём, как возможно узнать ип этого роутера? пробовал подключить в 1 из портов тплинка чтобы увидеть ип тплинка(ipconfig->основной шлюз), но он там находит только ип микротика.
Ну, конечная цель, это настроить всё для записи в видеорегистратор, но вить чтобы проверить если работает вообще нужно проверить по 1 камерой так, если у меня так работает в регистратор тем более не будет работать, нет? Я так предположил, но наверное я ошибся Как я написал мне нужно для видеорегистранора всё это сделать, не знаю какой из них...
Можете пожалуйста подсказать какую комманду вбить для этого? Просто не хочу чтобы снова сделать ресет микротика
да, точно, проверю

0

@romsan

Это сделано умышленно? просто в таком случае придется двойной NAT городить. Спрашивается - зачем!?
Ну Вы даете... Вы думаете, что от тапка. А мы тоже так должны думать? Вы же там на месте, посмотрите и отпишитесь.
1) отключить тапок от микротика,
2) подключиться Пк к тапку,
3) проверить адрес командой ipconfig /all
данным вопросом я хотел уточнить - Вы не меняли стандартный web-порт 80 на другой!?
Если для видеорегистратора, тогда, нужно сперва собрать СВН воедино (СВН - Система Видео Наблюдения)
-----------------------------------------------
Из всего описанного я так понял, что Вы используете тапок как свитч для камер. Но в тапке ведь 4 порта, значит Вы сможете подключить 3 камеры и видеорегистратор. Либо, можно переделать имеющийся WAN-порт тапка под обычный LAN, тогда Вы сможете подключить 4 камеры и видеорегистратор. Но в этом случае нет возможности подключить микротик.
(Неужели нельзя за 450р. купить 8 портовый свитч!? Ведь Вам нужно на долго это всё собрать, не на 2 дня же)
Перед тем, как Вы начнете собирать СВН, Вам нужно сперва подключить видеорег к ПК и узнать его адрес. Модель Вашего рега я не знаю, поэтому посмотрите в инструкции, скорее всего 192.168.1.10 и авторизация по admin/admin
Отпишитесь, потом дам рекомендации дальше.

1

@insect_87

тогда то, что находится за тп-линком, в микротике не увидишь.
поэтому тп-линк следует настроить свитчем (сменить LAN адрес на адрес из подсети микротика, отключить dhcp-сервер, соединить с микротиком LAN портом)
а затем

0

@Nike555

В общем, прощу прощения, я ошибся, тут не роутер, а tp-link свитч.
Попробовал вытащить все кабеля из свитча кроме кабеля который шёл с микротик и кабели от камер, и в списке IP/ARP появились только 192.168.68.200 - 192.168.68.202 (соответственно это ип тех 3х камер).
Значит проблема всё-таки в неправильном правиле в NAT а также возможно как говорил romsan нужно прописывать ещё 1 правило в файрволе.

0

@romsan

.... тем самым, Вы заставили нас поломать голову после Новогодних праздников. Совести у Вас нет...

И так.
1) Мы имеем микротик с "белым" адресом смотрящим в мир, и подсеть 192.168.68.0/24 смотрящей в локалку.
2) В IP/ARP Вы обнаружили адреса 192.168.68.200, 201, 202 и, т.к. подключены только камеры, то логично предположить, что это их адреса.
3) идем в dhcp-leases находим наши камеры по адресам и жмем на них Make Statik (тем самым привязываем МАС-адреса к IP-адресам камер) Данными манипуляциями Мы всегда будем знать, что микротик никаму адрес 192.168.68.200 не отдаст. Этот адрес будет принадлежать камере 1 (К1) и т.п.
4) Подключаем ПК к свитчу, и через IE идем по адресу К1. Перед тем как набрать в браузере адрес камеры, выполняем действия по подготовке браузера к работе с камерой. А именно:
4.1) Идем в Свойства обозревателя - безопасность - Становимся на Надежные узлы, жмем Сайты и вписываем адрес камеры в строку (http://192.168.68.200) Жмем Добавить. (можно сразу и два других адреса К2,К3 добавить)
4.2) Закрываем Надежные узлы, и тут же опускаемся до Уровень безопасности для этой зоны, жмем Другой
4.3) В списке опускаемся почти до середины и проставляем везде напротив параметров ActiveX Включено/Разрешено
Не выполнив п.п. 4.1-4.3 Вы не получите доступа к изображению с камеры
5) Набираем в браузере адрес камеры - http://192.168.68.200
6) Ждем загрузки плагина или если выскочит всплывающее окно какое либо жмем на Разрешить/Запустить
7) Авторизуемся в камере и смотрим в настройках порт web. По умолчанию он у всех камер всегда 80 (иногда 8089, 81 и т.п.)
Т.е. теперь мы знаем, что камера1 у нас всегда имеет адрес внутренней сети 192.168.68.200 и порт для просмотра по web - 80
9) Идем в микротик, заходим в firewall filters и прописываем разрешающее правило трансляции данных во внутреннюю нашу сеть из вне по 80 порту:
10) Располагаем это разрешающее правило выше запрещающих
11) Идем в NAT и прописываем проброс порта на камеру:
12) Если нужно отдельно заходить на другие камеры, то прописываем проброс порта для них:
------------------------
По идее, из вне, выполнив на том ПК, с которого Вы подключаться планируете к камерам, процедуры п.п. 4.1-4.3 и введя в браузере адрес: http://1.2.3.4:8080 (где 1.2.3.4 это Ваш внешний белый адрес) Вы получите страницу авторизации камеры1
http://1.2.3.4:8081 - камера 2
http://1.2.3.4:8082 - камера 3

1

@insect_87

romsan все верно расписал, добавить нечего. Остается открытым вопрос - действительно ли ТС имеет белый адрес

0

@Nike555

Спасибо)
Сделал всё как вы написали, но не работает
Начиная с этого пункта, где уже как вы говорили должно работать локально, не работает в браузере, я сделал всё по вашей инструкции



Белый(внешний) ип вроде норм работает, при переходе на нём показывает панель управления роутера ()

Добавлено через 6 минут
Правила
к1:

0

@insect_87

1. из интернета обращаться так:
http://внешний_белый_адрес_роутера:8080
порт в конце адреса указать обязательно

из локальной обращаться так:
http://192.168.68.200
2. на самой камере точно 80 порт прописан?
3. с компа в локальной сети вообще пингуются 192.168.68.200-202?
с компа в локальной сети заходит по http://192.168.68.200?

1

@Nike555

Так и делал
Немного не понял, вы про правило в НАТ?
К сожалению не пришло в голову это проверять, как буду там - проверю
нет, такой-же еррор как и тут https://prnt.sc/hwtkf7

0

@NoNaMe

Я несовсем понял а модель камер какая, и чем смотрите?

Добавлено через 16 секунд
Может это просто rtsp поток.

0

@insect_87

нет, в настройках камер
как вы заходите в настройки камер? с пк из локальной сети вы можете попасть на WEB-морду камеры?
и в результате попадает на web-морду роутера?
сюда вбейте ваш белый адрес и порт 8080, что напишет?

PS - просканируйте сеть advanced ip scanner / а лучше advanced port scanner c компа из локальной сети (указав в сканнере диапазон 192.168.68.200 - 192.168.68.202) и посмотрите какие порты слушают 192.168.68.200-202

1

@romsan

значит у Вас 80 порт занят роутером. Вы должны заходить на камеру по адресу через двоеточие порт

Добавлено через 7 минут
почему у Вас на скрине про DHCP-сервер в разделе leases напротив камер стоит статус waiting??? Т.е .камеры не получают адреса? Мы же определились, что камеры с адресами есть в списке ARP (хм...кстати, они же в ARP могут быть если и статика на камерах прописана)
блин, КАКИЕ АДРЕСА (и порты) ИМЕЮТ КАМЕРЫ??????
Дайте четкий и внятный ответ

Добавлено через 2 минуты
значит данная камера не имеет адрес 192.168.68.200 (или web-порт не 80)

1

@Nike555

IP камер пингуются
Не, да камеры уже стояли, нет на них инструкций, на какой ип зайти чтобы настройть камеру сразу.
Нет, попадаю на веб интерфейс роутера если будет просто http://внешний_ип
пишет "TCP Порт - 8080 закрыт"

(там где вы выделил поставил 9000 (думаю правильно сделал))
да тут показывает waiting даже у устройств которых работают(и включены) по сети.
кроме 192.168.68.200-192.168.68.202 у меня нет других идей, вить когда подключаю свитч где подключены только камеры появляются только эти ИП..а изначальные ип я не могу сказать, нет никаких бумажек от камер с ип.
Да и по инету не нашёл ип который они использует для их настройки, имя "topica C1100 top-311hmp", остальные вообще нонеймы, о которых не нашел в инете инфу.

Простите что так долго не отвечал просто, на работе был выходной.

0

@insect_87

это логично, доступ снаружи по http на роутер лучше бы прикрыть.

меняй на роутере перенаправления в dst nat
8080 - 192.168.68.200:81
8081 - 192.168.68.201:82
8082 - 192.168.68.202:83
а в filter forward делай accept на порты 81,82,83

порты и адреса на скриншотах по advanced ip scanner

из локальной сети на камеры можно попасть по
http://192.168.68.200:81
http://192.168.68.201:82
http://192.168.68.202:83

после проделанных изменений из инета на камеры можно попасть по
http://внешний_адрес:8080
http://внешний_адрес:8081
http://внешний_адрес:8082

1

@Nike555

Изначально так и было(www был отключён в IP/Services), ок, отключаю снова.

Никаких изменений(также не работает, при вводе в браузер http://внешний_ип:8080 ), вроде верно прописал правила:

пример 1 камеры:


всё правильно?

Зато порт 8080 открылся (использовал сервис который указали выше)

Добавлено через 6 минут
Спасибо, смог зайти на интерфейс камеры по http://192.168.68.200:81 , на остальные не работают (может я что-то не так сделал). не работает, но может проблема из-за того что я это делаю с компа который в этой локальной сети, попробую когда буду дома

0

@romsan

уже что то....
Вот видите, с помощью того же сканера стало известно, что web-порт не 80, а 81,82,83 (наверняка кто то настраивал ранее, по умолчанию практически на всех камерах стоит 80)
Вы в фаерволе прописали 3 правила по портам 81,82,83?
и еще.... в Internet Explorer в настройках поищите и отключите Блокирование всплывающих окон. Можно еще попробовать все 3 адреса камер загнать в список Параметры страниц в режиме совместимости
Сперва добейтесь, чтобы на камеры Вы заходили локально, т.е. с ПК. Потом будем про удалёнку смотреть

Добавлено через 7 минут
Идем в микротик, заходим в firewall filters и прописываем разрешающее правило трансляции данных во внутреннюю нашу сеть из вне по 81,82,83 порту:

;;; VideoReg and VideoKam in LAN
chain=forward action=accept protocol=tcp in-interface=__имя Вашего интерфеса__ dst-port=81-83 log=no log-prefix=""

Идем в NAT и прописываем проброс порта на камеру:

;;; VideoKam1
chain=dstnat action=dst-nat to-addresses=192.168.68.200 to-ports=81 protocol=tcp in-interface=______________ dst-port=8080 log=no log-prefix=""
;;; VideoKam2
chain=dstnat action=dst-nat to-addresses=192.168.68.201 to-ports=82 protocol=tcp in-interface=______________ dst-port=8081 log=no log-prefix=""
;;; VideoKam3
chain=dstnat action=dst-nat to-addresses=192.168.68.202 to-ports=83 protocol=tcp in-interface=______________ dst-port=8082 log=no log-prefix=""
--------------------------
У Вас так?

1

@Nike555

да, всё именно так.
А и да, порт 8081,8082 тоже открыт для внешнего ИП(через тот сервис проверил)

0