NVR elérése Mikrotik router mögött

Sziasztok, 

Adott egy Hikvision NVR + 3 db szintén Hikvision kamera. Az NVR és a kamerák is egy Mikrotik Router mögött vannak elhelyezve, melyen a megfelelő NAT szabályok helyesen be vannak állítva ( a cél eszközökön az átjáró rendben van)
Helyi LAN-ból minden szépen és gond nélkül működik, azonban WAN oldalról az NVR NAT elérése nem működik. Minden a default porton van tehát 8000, 80, 443. Mind a 3 portra meg van csinálva a NAT szabály, de egyiksem működik. Tehát WAN oldalról nem tudom elérni az NVR-t semmilyen porton.
A mikrotik router logjaiban csak annyi látszik, hogy a NAT szabály lefut az átirányítás megtörténik az NVR IP címére, de válasz már nem jön rá. Először az átjáróra gondoltam, de az rendben van.

Ugyanilyen NAT szabályokat csináltam direkt módon a kamerákra is (tehát nem NVR-en keresztül), azok hibátlanul működnek.
Az NVR beállításait már többször átnéztem (ivms-en és böngészőben is), összehasonlítottam más működő NVR-rel, minden beállítás helyes.
Ugyanez a beállítás más telephelyeken szépen működik!

Találkoztak e esetleg hasonló problémával, nincs e valami trükk amiről elfeledkeztem?

Hozzászólások

Hát, a Mikrotiken van a kis zseblámpa, talán torch a neve, azzal meg tudod nézni, hogy pl. jön-e visszafelé paketta az NVR-ről. És ha igen, akkor a routerben áll valami csálén.

Teljesen anti-pattern, ne csináld ezt!

Használj valamilyen vpn-t.

Szerkesztve: 2024. 08. 14., sze – 20:36

Biztos jól van beállítva, már ha be van, az alapértelmezett átjáró az NVR-en? Az NVR kilát a netre? NTP, gyártói felhő, frissítések keresése működik? Esetleg valami tűzfal szabály akár a Mangle vagy RAW ágakon a routeren?

a kérdéses mikrotik támogatja a BTH-t (back to home) ? ha igen, akkor kb 2 perc alatt működik a VPN-ed wireguard-al.
Én azt használnám...

Torch helyett packet snifferrel nézd meg mikrotik-en, az jóval többet lát. (ne kérj semmilyen szűrést, csak mondjuk a tcp port-ot ahol a kommunikácónak zajlania kellene.

És ott szépen látod a mikrotik (virtuális) interface-eit és sorrendben láthatod, hogy haladt az NVR felé a csomag és esetleg hova (melyik interface-re) milyen válasz érkezett.

Ha komolyabban elemezni kell a csomagot, akkor pedig el is tudja menteni pcap-ba a rögzitett forgalmat és meg tudod nyitni wireshark-ban.

Ha bonyolultabb a hálózat (vlan-ok, többféle subnet) akkor én már fejtettem meg ezzel a módszerrel a problémát.

Ha nem úgy lenne, akkor érdemes az NVR-t közvetlenül a mikrotik egyik portjába dugni, hogy biztosan lásd a válaszát. Ha van neki. Ha meg látod, hogy tényleg nincs válasz, akkor nem a hálózatban kell keresni a problémát, hanem az NVR-en.

Szerkesztve: 2024. 08. 15., cs – 08:42

Miért nem használod a gyártó saját felhős elérését? Az mindenhonnan is megy, még dst-nat sem kell

Szerkesztve: 2024. 08. 15., cs – 11:43

Tesztként próbáld meg, hogy MT-n LAN oldalon beállítasz egy SRC NAT-ot az NVR felé (mintha a Miki szólítaná meg saját subnetből), hogy úgy megy-e! Lehet, hogy az NVR-en van tiltva, hogy subnet-en kívülre válaszoljon. (vagy a def gw. rossz rajta) - de így legalább addig is eléred, hogy ki tudd javítani (elvileg)

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Kezd érdekessé válni a dolog. Ha a kliens pc-nek másik vpn ip címet adok akkor működik. Nem értem, az összes többi nvr évek óta ugyanazzal a kliens pc vpn ip-vel műxik, csak ez az egy nvr nem.

/24 es hálózatban vannak a kliensek. A kliensek pedig egy /30 -as IP-t kapnak. A szóban forgó IP amiről nem megy : 192.168.199.1.

Egyébként route-olt hálózat:

- route 192.168.199.0 255.255.255.0

- client-to-client

Létezik, hogy ezt nem lehetne felhasználni? Már ilyet is olvastam, hogy az első IP ne használd! De akkor a többi eszköznél évek óta miért működik, és miért csak ez az 1 NVR panaszkodik rá? Ha más IP címet használok a kliensnek amiről el akarom érni, akkor jó minden. A mikrotiken semmilyen korlát nincs és az NVR-t is végignézve ott sem korlátozza semmi ezt az IP címet.

Rajzold le a hálózatot a router lábainak az IP-címeivel, illetve az egyes hálózatokat oda kapcsolódó "felhő"-ként a network címmel, illetve minden érintett eszközt ip-címmel, netmaszk-kal, defgw és egyéb routing adattal.

Mert nekem van egy olyan érzésem, hogy a 192.168.199.0/24-ben a gw (a Mikrotik lába) az a .1-es IP...