Настройка проброса портов mikrotik для регистратора и вероятно firewall?

Question

[MikrotNoob]

Здравствуйте.

Имеется роутер mikrotik, за ним находится регистратор видеонаблюдения. Для того, что бы просмотр видео с регистратора работал на мобильном телефоне через приложение нужно пробросить TCP 8000 порт. В web интерфейсе микротика я добавил NAT правило вот такое:

Chain = dstnat Protocol = TCP Dst. Port = 8000 In. Interace = spf1 Action = dst-nat To Adresse = 192.168.88.14 To ports = 8000

где 192.168.88.14 внутренний IP регистратора.

Результат получил следующий:

В 1ом здание стоит микротик за которым регистратор. Во втором, соседнем здание отдельное подключение того же провайдера. Оба подключения имеют статичные внешние выделенные IP адреса. Если с телефона подключиться к wifi второго здания, то просмотр камер через приложение работает как надо. А если отключиться от wifi, то через сеть мобильного оператора камеры уже не доступны.

Получается видимо, что сам проброс порта успешно работает. Но только при нахождение устройства мобильного в одной сети одного провайдера. Я предполагаю что из внешних сетей подключение может блокировать firewall, но поскольку для меня микротик сложный в настройке не могу разобраться видимо с ним.

В firewall на данный момент присутствую вот такие правила, скрин предоставляю.



Это видимо стандартные правила по умолчанию. На скрине на месте "внешний IP" вбит внешний IP адрес микротика.

Подскажите пожалуйста, возможно мне нужно добавить правило здесь какое-то? Что бы пакеты на 8000 порт проходили с любых внешний адресов, а не с одной подсети провайдера.

Answer 1

[Denis Melnikov]

Для начала, NAT обрабатывается раньше, чем FW.
Второе, экспорт таблицы NAT глянуть бы.

Comments

[MikrotNoob]

А как сделать экспорт? я не знаю к сожалению... Скрин странички NAT подойдет?

[Denis Melnikov]

MikrotNoob, ну можно /ip firewall nat export

[MikrotNoob]

Вот экспорт NAT

[admin@MikroTik] > /ip firewall nat export 

# sep/07/2018 14:06:44 by RouterOS 6.32.2

# software id = L85Q-0WBM

#

/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration" \

    out-interface=sfp1

add action=netmap chain=dstnat comment="RDP" dst-port=3380 \

    in-interface=sfp1 protocol=tcp to-addresses=192.168.88.3 to-ports=3389

add action=dst-nat chain=dstnat comment="Web routera" dst-port=8088 \

    in-interface=sfp1 protocol=tcp to-addresses=192.168.88.1 to-ports=80

add action=dst-nat chain=dstnat comment="web registratora 1" dst-port=8081 \

    in-interface=sfp1 protocol=tcp to-addresses=192.168.88.14 to-ports=8081

add action=dst-nat chain=dstnat comment="8000 port reg 1" dst-port=8000 \

    in-interface=sfp1 protocol=tcp to-addresses=192.168.88.14 to-ports=8000

[Ивор Барханский]

Казалось бы всё верно.
на sfp1 у вас же белый адрес?

[MikrotNoob]

Игорь, да. Белый статичный.

[MikrotNoob]

А вот кстати, не думал что это важно. Но мало ли. 192.168.88.14 это IP другого роутера (простого длинка), который находится за микротиком и принадлежит именно сети ip видеонаблюдения. Тоесть 192.168.88.1/24 это рабочая сеть в здание. А в ней уже находится длинк простой адрес которого в рабочей сети 192.168.88.14 , а внутренняя сеть длина там другая чисто отдельная для видео. Но я сразу не стал об этом описывать, т.к. не думал что это может иметь значение. На длинке разумеется проброс стоит 8000 порта TCP на уже конкретный IP видеорегистратора. Не думаю что там проблема может быть, т.к. с сети 192.168.88.1/24 внутренней тоже все работает. Да и по внешнему адресу из сети провайдера тоже.

+ к тому же WEB интерфейс регистратора проброс 8081 на 80 порт регистратора по этйо же схеме рабоатет с внешней сети.

[Denis Melnikov]

То есть, вы стучитесь по адресу IP( Который на SFP ) : 8000
И
По WIFI Это все работает
А с мобилы это не работает ?
Правильно ?

[Ивор Барханский]

Стопэ-стопэ. Дайте карту сети.
Сейчас получается, что у вас микрот пробрасывает порт 8000 на другой роутер за которым и находится DVR?
А вообще из независимого изолированного ира вы можете попасть на микротик? Может ваш провайдер разрешает порт 8000 внутри своей провайдерской сети и запрещает извне — вот вы и мучаетесь…

[MikrotNoob]

Спасибо за помощь всем. Оказалось дело было не в пробросе... На телефоне на котором была задача настроить видео, оказывается на уровне iOs не был разрешен доступ к интернету через мобильную сеть для программы просмотра видео с регистратора. Поэтому и получилось, что с внутренней сети wifi работает, а снаружи нет.

Answer 2

[Anunnax]

Chain = dstnat Protocol = TCP Any. Port = 8000 Action = dst-nat To Adresse = 192.168.88.14 To ports = 8000

И я бы использовал netmap