Sziasztok,
Adott egy Hikvision NVR + 3 db szintén Hikvision kamera. Az NVR és a kamerák is egy Mikrotik Router mögött vannak elhelyezve, melyen a megfelelő NAT szabályok helyesen be vannak állítva ( a cél eszközökön az átjáró rendben van)
Helyi LAN-ból minden szépen és gond nélkül működik, azonban WAN oldalról az NVR NAT elérése nem működik. Minden a default porton van tehát 8000, 80, 443. Mind a 3 portra meg van csinálva a NAT szabály, de egyiksem működik. Tehát WAN oldalról nem tudom elérni az NVR-t semmilyen porton.
A mikrotik router logjaiban csak annyi látszik, hogy a NAT szabály lefut az átirányítás megtörténik az NVR IP címére, de válasz már nem jön rá. Először az átjáróra gondoltam, de az rendben van.
Ugyanilyen NAT szabályokat csináltam direkt módon a kamerákra is (tehát nem NVR-en keresztül), azok hibátlanul működnek.
Az NVR beállításait már többször átnéztem (ivms-en és böngészőben is), összehasonlítottam más működő NVR-rel, minden beállítás helyes.
Ugyanez a beállítás más telephelyeken szépen működik!
Találkoztak e esetleg hasonló problémával, nincs e valami trükk amiről elfeledkeztem?
Hozzászólások
Hát, a Mikrotiken van a kis zseblámpa, talán torch a neve, azzal meg tudod nézni, hogy pl. jön-e visszafelé paketta az NVR-ről. És ha igen, akkor a routerben áll valami csálén.
Ezaz, hogy semmit nem lát a nvr-től, csak a kameráktól.
Teljesen anti-pattern, ne csináld ezt!
Használj valamilyen vpn-t.
Ebben igazad van, és a valóság így is van. A WAN oldal egy VPN interface, de ez a problémám szempontjából nem érdekes, azért nem is írtam róla.
Én is így használom. Minden más esetben a neten lógnak a kamerák publikusan.
Biztos jól van beállítva, már ha be van, az alapértelmezett átjáró az NVR-en? Az NVR kilát a netre? NTP, gyártói felhő, frissítések keresése működik? Esetleg valami tűzfal szabály akár a Mangle vagy RAW ágakon a routeren?
a kérdéses mikrotik támogatja a BTH-t (back to home) ? ha igen, akkor kb 2 perc alatt működik a VPN-ed wireguard-al.
Én azt használnám...
Torch helyett packet snifferrel nézd meg mikrotik-en, az jóval többet lát. (ne kérj semmilyen szűrést, csak mondjuk a tcp port-ot ahol a kommunikácónak zajlania kellene.
És ott szépen látod a mikrotik (virtuális) interface-eit és sorrendben láthatod, hogy haladt az NVR felé a csomag és esetleg hova (melyik interface-re) milyen válasz érkezett.
Ha komolyabban elemezni kell a csomagot, akkor pedig el is tudja menteni pcap-ba a rögzitett forgalmat és meg tudod nyitni wireshark-ban.
Ha bonyolultabb a hálózat (vlan-ok, többféle subnet) akkor én már fejtettem meg ezzel a módszerrel a problémát.
Ha nem úgy lenne, akkor érdemes az NVR-t közvetlenül a mikrotik egyik portjába dugni, hogy biztosan lásd a válaszát. Ha van neki. Ha meg látod, hogy tényleg nincs válasz, akkor nem a hálózatban kell keresni a problémát, hanem az NVR-en.
Miért nem használod a gyártó saját felhős elérését? Az mindenhonnan is megy, még dst-nat sem kell
Azért mert ez egy bevált módszer volt több éve, Mikrotik LTE router saját VPN. Lehetséges hogy tényleg valami az NVR-rel lesz, végső megoldásként megpróbálom majd nulláról felkonfigurálni, csak elég messze van :)
Jaj. Sosem használnám.
Mármint mit?
Bárminek a gyári, felhős elérését. VPN-en keresztüli közvetlen eszköz elérés játszik csak nálam. Ami ezt nem tudja, az nem kell.
Akkor lehet rosszul fogalmaztam és félreérthető volt. A mikrotik routerek saját OpenVPN szerverre csatlakoznak és így érhetők el a vpn keresztül. Saját felhős megoldást nem használok.
Tesztként próbáld meg, hogy MT-n LAN oldalon beállítasz egy SRC NAT-ot az NVR felé (mintha a Miki szólítaná meg saját subnetből), hogy úgy megy-e! Lehet, hogy az NVR-en van tiltva, hogy subnet-en kívülre válaszoljon. (vagy a def gw. rossz rajta) - de így legalább addig is eléred, hogy ki tudd javítani (elvileg)
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
NAT vs. routing. És az írta, hogy a gw/átjáró az jó.
Kezd érdekessé válni a dolog. Ha a kliens pc-nek másik vpn ip címet adok akkor működik. Nem értem, az összes többi nvr évek óta ugyanazzal a kliens pc vpn ip-vel műxik, csak ez az egy nvr nem.
VPN netmaszkja?
proxyarp? routed vagy bridged a vpn?
/24 es hálózatban vannak a kliensek. A kliensek pedig egy /30 -as IP-t kapnak. A szóban forgó IP amiről nem megy : 192.168.199.1.
Egyébként route-olt hálózat:
- route 192.168.199.0 255.255.255.0
- client-to-client
Létezik, hogy ezt nem lehetne felhasználni? Már ilyet is olvastam, hogy az első IP ne használd! De akkor a többi eszköznél évek óta miért működik, és miért csak ez az 1 NVR panaszkodik rá? Ha más IP címet használok a kliensnek amiről el akarom érni, akkor jó minden. A mikrotiken semmilyen korlát nincs és az NVR-t is végignézve ott sem korlátozza semmi ezt az IP címet.
akkor ujra kerdem, bridgelt vagy routeolt a vpn address space, es van -e atfedes a LAN oldallal?
ha bridgelt akkor a bridgere dobj egy proxyarp-t
A /30 az oké, openvpn ilyen, viszont gyanús, hogy a .1 az másra is használva van... ;)
ezaz nekem is már csak ez a gyanús, viszont akkor mi magyarázza, hogy a több tucatnyi kliens (NVR, kamera, router, stb) ezidáig hibátlan?
Pl, hogy az NVR-nek is van egy .1-es cime. Bár ez elég banális volna... :)
Rajzold le a hálózatot a router lábainak az IP-címeivel, illetve az egyes hálózatokat oda kapcsolódó "felhő"-ként a network címmel, illetve minden érintett eszközt ip-címmel, netmaszk-kal, defgw és egyéb routing adattal.
Mert nekem van egy olyan érzésem, hogy a 192.168.199.0/24-ben a gw (a Mikrotik lába) az a .1-es IP...