Можно ли проксировать RTSP?

Question

[akass]

И так, есть VPS с настроенным OpenVPN, за городом есть сеть с серым ip, там же стоит raspberry pi с vpn клиентом и видерегистратор с камерами.
Цель получить доступ к потоку видео по ссылке rtsp://.
Пробросил нужные порты через rinet (через iptables) тоже пробовал. Но увы web морда доступна, но не rtsp канал.
В локально сети все работает. Я так понимаю дело в том что 554 порт для rtsp используется только "косвенно" и возникают проблемы из-за NAT.
Когда все было через белый адрес все работало как надо, но пришлось от него отказаться.

Подскажите какие есть варианты решения подобной проблемы?

Comments

[Wexter]

554 порт вы tcp или udp прокидывали?
rtsp абсолютно плевать на nat, хоть за 10 nat'ов засуньте, всё-равно будет работать

[akass]

Wexter, и так и так пробовал. nmap кстати помечает его как filtered

[Wexter]

akass, вывод iptables-save от рута покажите

[akass]

Wexter, с rpi ? 2.108 это регистратор 10.8.0.6 это в "vpn сети"

# Generated by iptables-save v1.4.21 on Sat Oct 21 22:22:08 2017
*nat
:PREROUTING ACCEPT [296:19188]
:INPUT ACCEPT [294:19084]
:OUTPUT ACCEPT [14030:842470]
:POSTROUTING ACCEPT [14022:841990]
-A PREROUTING -d 10.8.0.6/32 -p tcp -m tcp --dport 554 -j DNAT --to-destination 192.168.2.108:554
-A PREROUTING -p udp -m multiport --sports 6970:6971,10580:10581 -m recent --rcheck --seconds 60 --name DEFAULT --mask 255.255.255.255 --rsource -j DNAT --to-destination 192.168.2.108
-A POSTROUTING -d 192.168.2.108/32 -p tcp -m tcp --dport 554 -j SNAT --to-source 10.8.0.6
COMMIT
# Completed on Sat Oct 21 22:22:08 2017
# Generated by iptables-save v1.4.21 on Sat Oct 21 22:22:08 2017
*filter
:INPUT ACCEPT [22802:3745844]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25198:6092447]
-A INPUT -p tcp -m tcp --dport 49500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 37777 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 554 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 554 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 554 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -d 192.168.2.108/32 -i eth0 -p udp -m multiport --sports 6970:6971,10580:10581 -m recent --rcheck --seconds 60 --name DEFAULT --mask 255.255.255.255 --rsource -j ACCEPT
COMMIT
# Completed on Sat Oct 21 22:22:08 2017

[Wexter]

а для чего сперва прокидывать порт, а потом делать snat на адрес VPN? у 192.168.2.108 дефолт шлюз малина?

-A PREROUTING -d 10.8.0.6/32 -p tcp -m tcp --dport 554 -j DNAT --to-destination 192.168.2.108:554
-A POSTROUTING -d 192.168.2.108/32 -p tcp -m tcp --dport 554 -j SNAT --to-source 10.8.0.6

[akass]

Wexter, одно из нагугленных решений... Нет, шлюзом роутер который там стоит

[Wexter]

akass, тогда делайте snat на адрес малины в сети 192.168.2.x

[akass]

Wexter, А можно поподробнее как это сделать? Магией iptables пока не владею.

[Wexter]

akass,

-A POSTROUTING -d 192.168.2.108/32 -p tcp -m tcp --dport 554 -j SNAT --to-source 10.8.0.6

поменяйте 10.8.0.6 на IP малины в этой сети
и удалите старое правило

iptables -t nat -D POSTROUTING -d 192.168.2.108/32 -p tcp -m tcp --dport 554 -j SNAT --to-source 10.8.0.6

[akass]

Wexter, это все мы делаем с малины же?

[akass]

Wexter,

# Generated by iptables-save v1.4.21 on Sun Oct 22 12:14:17 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 10.8.0.6/32 -p tcp -m tcp --dport 554 -j DNAT --to-destination 192.168.2.108:554
-A PREROUTING -p udp -m multiport --sports 6970:6971,10580:10581 -m recent --rcheck --seconds 60 --name DEFAULT --mask 255.255.255.255 --rsource -j DNAT --to-destination 192.168.2.108
-A POSTROUTING -d 192.168.2.108/32 -p tcp -m tcp --dport 554 -j SNAT --to-source 192.168.2.3
COMMIT
# Completed on Sun Oct 22 12:14:17 2017
# Generated by iptables-save v1.4.21 on Sun Oct 22 12:14:17 2017
*filter
:INPUT ACCEPT [36680:5385958]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39389:8045051]
-A INPUT -p tcp -m tcp --dport 49500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 37777 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 554 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 554 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 554 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -d 192.168.2.108/32 -i eth0 -p udp -m multiport --sports 6970:6971,10580:10581 -m recent --rcheck --seconds 60 --name DEFAULT --mask 255.255.255.255 --rsource -j ACCEPT
COMMIT
# Completed on Sun Oct 22 12:14:17 2017
pi@rpi:~ $

[akass]

Wexter, есть ли смысл пробовать объединить сети для этой задачи?

[Wexter]

akass, что значит объединить? в один l2 сегмент? вряд ли это необходимо. есть смысл настроить правильно маршрутизацию и файрвол.
изменение правила не помогло?

[akass]

Wexter, Не помогло, выше приложил текущий вывод. Не посоветуете еще что-нибудь?

[Wexter]

akass, echo 1 > /proc/sys/net/ipv4/ip_forward
делали?

[akass]

Wexter, Сделал не помогло. До этого помню где-то в другом есте тоже разрешал forward ipv4

[Wexter]

akass, а у регистратора точно rtsp есть? nmap -Pn -sT 192.168.2.208 сделайте с малины

[akass]

Wexter, точно, в локальной сети же все работает. прикладываю вывод, кстати интересно что раньше rtsp был filtered.

PORT     STATE SERVICE
21/tcp   open  ftp
23/tcp   open  telnet
80/tcp   open  http
443/tcp  open  https
554/tcp  open  rtsp
8000/tcp open  http-alt

А вот если тоже самое с vps до малины

PORT     STATE    SERVICE
22/tcp   open     ssh
80/tcp   open     http
554/tcp  filtered rtsp
8000/tcp open     http-alt

[Wexter]

akass, а напрямую на самой vps через малину пробовали тянуть поток по rtsp?
если я правильно понял вы скорее всего через интернет пытаетесь подключиться к регистратору через 2 проброса, сделайте до кучи snat на vps в сторону малины

[akass]

Wexter, нет, даже схожу в глову не приходит как.
Да именно так vps-rpi-регистратор.
Так не сработало
sudo iptables -A POSTROUTING -d VPSIP -p tcp -m tcp --dport 554 -j SNAT --to-source 10.8.0.6

Starting Nmap 7.01 ( https://nmap.org ) at 2017-10-23 19:06 MSK
Nmap scan report for 10.8.0.6
Host is up (0.078s latency).
Not shown: 978 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
53/tcp   filtered domain
80/tcp   filtered http
111/tcp  filtered rpcbind
113/tcp  filtered ident
139/tcp  filtered netbios-ssn
143/tcp  filtered imap
199/tcp  filtered smux
256/tcp  filtered fw1-secureremote
443/tcp  filtered https
445/tcp  filtered microsoft-ds
554/tcp  filtered rtsp
995/tcp  filtered pop3s
1025/tcp filtered NFS-or-IIS
1720/tcp filtered h323q931
3306/tcp filtered mysql
3389/tcp filtered ms-wbt-server
8000/tcp open     http-alt
8080/tcp filtered http-proxy
8888/tcp filtered sun-answerbook

[Wexter]

akass, не, на впс надо

iptables -t nat -A POSTROUTING -d RPI_VPN_IP -p tcp -m tcp --dport 554 -j SNAT --to-source VPS_VPN_IP

[akass]

Wexter, Все круто, вы очень помогли. Вы не могли бы ответом написать в чем я был не прав, чтобы я мог пометить решением?

Answer 1

[Wexter]

Для проброса порта через 2 NAT'а надо сделать SNAT на VPS и RPi одновременно
На VPS

iptables -t nat -A POSTROUTING -d RPI_VPN_IP -p tcp -m tcp --dport 554 -j SNAT --to-source VPS_VPN_IP

на RPi

iptables -t nat -A POSTROUTING -d REG_LOCAL_IP -p tcp -m tcp --dport 554 -j SNAT --to-source RPI_LOCAL_IP