Forum » Omrežja in internet » MikroTik, UPnP, port forwarding, Amis, kamere...
MikroTik, UPnP, port forwarding, Amis, kamere...
monaco ::
Z nakupim MikroTika RB2011UiAS-2HnD-IN sem si očitno kupil pameti, saj zadev, ki so prej delovale plugNplay niti po treh nočeh branja raznih navodil ne uspem nastavit...
provider je Amis, njegov modem je v bridge načinu in Mikrotik v PPPoE.
Shema omrežja:
Amis Thomson -> Mikrotik (v port eth1). Nanj je priključen računalnik, IP kamere... in preko kabla še Asus WL-500g s Tomato fw v access point načinu. Asus je v dnevni sobi in nanj je priključen Amisov STB, TV, media player..., uporablja se pa tudi kot dodatna wifi dostopna točka, saj je signal iz Mikrotika tukaj že na meji...
Dostop do interneta deluje povsod, v omrežju tudi lepo vidim vse naprave. Nikakor pa ne uspem usposobiti, da bi delal AmisTV. Mi konstantno javlja "prišlo je do napake v sistemu predvajanja. UPnP imam vključen in pod interfaces imam pppoe-out1 in ether1 kot external ter bridge in ether4 (Asus), 6,7,8 (kamere) kot internal. Mi tu še kaj manjka?
Aja, IP imam dinamični in po navodilih na http://wiki.mikrotik.com/wiki/Dynamic_D... narejen DDNS (za katerega mislim da deluje).
Drug problem so pa kamere, do katerih prav tako nikakor ne morem dostopat od zunaj. Ne preko web browserja, ne preko aplikacije. Na starem routerju je bilo enostavno, saj sem samo nastavil port forwarding npr. porta 85 na ip kamere in port 80 (ker imam pač tega po defaultu v konfiguraciji kamere nastavljenega).
Firewall -> NAT
chain: dstnat
dst.address: moj zunanji IP (trenutni - kaj pa ko se bo spremenil???)
protocol: 6(tcp)
dst port: 85 (port ki ga vtipkam v browser)
action: dst-nat
to addresses: interni IP kamere
to ports: 0-65535 (lahko bi pa tudi dal 80)
Zadeva od zunaj nikakor ni dosegljiva. Ne preko IPja, ne preko no-ip naslova. Kaj delam narobe?
Vključil sem tud UPnP, na kameri nastavil UPnP port 855 in pričakoval, da če bom od zunaj vpisal IPnaslov:855, bo port forwarding avtomatsko deloval. Ostela UPnP nastavitve sem že zgoraj napisal...
Ni pravtako nobene razlike če imam pod Quickset kljukico pri Firewall router ali pa je nimam.
Prosim za pomoč!
provider je Amis, njegov modem je v bridge načinu in Mikrotik v PPPoE.
Shema omrežja:
Amis Thomson -> Mikrotik (v port eth1). Nanj je priključen računalnik, IP kamere... in preko kabla še Asus WL-500g s Tomato fw v access point načinu. Asus je v dnevni sobi in nanj je priključen Amisov STB, TV, media player..., uporablja se pa tudi kot dodatna wifi dostopna točka, saj je signal iz Mikrotika tukaj že na meji...
Dostop do interneta deluje povsod, v omrežju tudi lepo vidim vse naprave. Nikakor pa ne uspem usposobiti, da bi delal AmisTV. Mi konstantno javlja "prišlo je do napake v sistemu predvajanja. UPnP imam vključen in pod interfaces imam pppoe-out1 in ether1 kot external ter bridge in ether4 (Asus), 6,7,8 (kamere) kot internal. Mi tu še kaj manjka?
Aja, IP imam dinamični in po navodilih na http://wiki.mikrotik.com/wiki/Dynamic_D... narejen DDNS (za katerega mislim da deluje).
Drug problem so pa kamere, do katerih prav tako nikakor ne morem dostopat od zunaj. Ne preko web browserja, ne preko aplikacije. Na starem routerju je bilo enostavno, saj sem samo nastavil port forwarding npr. porta 85 na ip kamere in port 80 (ker imam pač tega po defaultu v konfiguraciji kamere nastavljenega).
Firewall -> NAT
chain: dstnat
dst.address: moj zunanji IP (trenutni - kaj pa ko se bo spremenil???)
protocol: 6(tcp)
dst port: 85 (port ki ga vtipkam v browser)
action: dst-nat
to addresses: interni IP kamere
to ports: 0-65535 (lahko bi pa tudi dal 80)
Zadeva od zunaj nikakor ni dosegljiva. Ne preko IPja, ne preko no-ip naslova. Kaj delam narobe?
Vključil sem tud UPnP, na kameri nastavil UPnP port 855 in pričakoval, da če bom od zunaj vpisal IPnaslov:855, bo port forwarding avtomatsko deloval. Ostela UPnP nastavitve sem že zgoraj napisal...
Ni pravtako nobene razlike če imam pod Quickset kljukico pri Firewall router ali pa je nimam.
Prosim za pomoč!
www.ramsak.si
NoName ::
Žal ne vem kako dela AmisTV, tako da ti bo glede tega moral pomagati kdo drug...
Tudi UPNP-ja ne uporabljam, ker je malce security risk...
Glede kamer pa mislim, da bi pomagalo, če bi v ip > firewall > filter dodal rule, ki bi dovoljeval promet za kamero, seveda pred generalnim drop-om:
chain: forward
dst address: (interni ip naslov kamere, verjetno nekaj v stilu 192.168.88.x)
protocol: tcp
dst port: 80
in interface: pppoe1
out interface: bridge-local
za bonus lahko pa dodaš še connection state: new, ker imaš verjetno takoalitko prvi forward rule, ki dovoljuje established/related seje
kar se pa tiče tvojega NAT pravila za kamero, pa mora v to ports: obvezno vpisati 80, saj delaš tudi translacijo porta, in sicer 85 v 80
še eno stvar je potrebno vedeti... če boš testiral delovanje NAT-a do kamere, najverjetneje ne bo delovalo, če se boš povezoval z notranje mreže na zunanji IP, na port 80... sicer ne vem iz glave, ampak za kaj takega bi bil verjetno potreben še en rule, ki bi 'maskiral' notranji promet, ki gre nazaj noter...
ip > firewall > nat
chain: srcnat
src address: 192.168.88.0/24
out interface: birdge-local
...
action: masquerade
Tudi UPNP-ja ne uporabljam, ker je malce security risk...
Glede kamer pa mislim, da bi pomagalo, če bi v ip > firewall > filter dodal rule, ki bi dovoljeval promet za kamero, seveda pred generalnim drop-om:
chain: forward
dst address: (interni ip naslov kamere, verjetno nekaj v stilu 192.168.88.x)
protocol: tcp
dst port: 80
in interface: pppoe1
out interface: bridge-local
za bonus lahko pa dodaš še connection state: new, ker imaš verjetno takoalitko prvi forward rule, ki dovoljuje established/related seje
kar se pa tiče tvojega NAT pravila za kamero, pa mora v to ports: obvezno vpisati 80, saj delaš tudi translacijo porta, in sicer 85 v 80
še eno stvar je potrebno vedeti... če boš testiral delovanje NAT-a do kamere, najverjetneje ne bo delovalo, če se boš povezoval z notranje mreže na zunanji IP, na port 80... sicer ne vem iz glave, ampak za kaj takega bi bil verjetno potreben še en rule, ki bi 'maskiral' notranji promet, ki gre nazaj noter...
ip > firewall > nat
chain: srcnat
src address: 192.168.88.0/24
out interface: birdge-local
...
action: masquerade
I can see dumb people...They're all around us... Look, they're even on this forum!
kogledom ::
še eno stvar je potrebno vedeti... če boš testiral delovanje NAT-a do kamere, najverjetneje ne bo delovalo, če se boš povezoval z notranje mreže na zunanji IP, na port 80... sicer ne vem iz glave, ampak za kaj takega bi bil verjetno potreben še en rule, ki bi 'maskiral' notranji promet, ki gre nazaj noter...
ip > firewall > nat
chain: srcnat
src address: 192.168.88.0/24
out interface: birdge-local
...
action: masquerade
za hairpin iz notranje mreže je tukaj rešitev, ki meni deluje
glede TV-ja pa sem jaz WAN port in port, ki gre v STB dal v switch mode, drugače mi ni delovalo.
monaco ::
Žal ne vem kako dela AmisTV, tako da ti bo glede tega moral pomagati kdo drug...
Tudi UPNP-ja ne uporabljam, ker je malce security risk...
Glede kamer pa mislim, da bi pomagalo, če bi v ip > firewall > filter dodal rule, ki bi dovoljeval promet za kamero, seveda pred generalnim drop-om:
chain: forward
dst address: (interni ip naslov kamere, verjetno nekaj v stilu 192.168.88.x)
protocol: tcp
dst port: 80
in interface: pppoe1
out interface: bridge-local
za bonus lahko pa dodaš še connection state: new, ker imaš verjetno takoalitko prvi forward rule, ki dovoljuje established/related seje
kar se pa tiče tvojega NAT pravila za kamero, pa mora v to ports: obvezno vpisati 80, saj delaš tudi translacijo porta, in sicer 85 v 80
NoName hvala. Za kamere sem izklopil UPnP, dodal filter in pod NAT popravil še port na 80 pa deluje.
Kaj pa ko se bo moj zunanji IP spremenil, glede na to, da sem moral tukaj ročno vnesti svoj trenutni IP?
Sem pa nekje prebral, da za Amisov STB vseeno potrebujem UPnP... samo nimam pojma kako ga konfigurirat.
še eno stvar je potrebno vedeti... če boš testiral delovanje NAT-a do kamere, najverjetneje ne bo delovalo, če se boš povezoval z notranje mreže na zunanji IP, na port 80... sicer ne vem iz glave, ampak za kaj takega bi bil verjetno potreben še en rule, ki bi 'maskiral' notranji promet, ki gre nazaj noter...
ip > firewall > nat
chain: srcnat
src address: 192.168.88.0/24
out interface: birdge-local
...
action: masquerade
Testiram preko mobilnega omrežja, tako da se zaenkrat s tem še nisem ukvarjal, bom pa moral tudi to urediti zaradi aplikacije na androidu.
glede TV-ja pa sem jaz WAN port in port, ki gre v STB dal v switch mode, drugače mi ni delovalo.
Lahko prosim poveš malo več kaj kje kako? Je UPnP potreben?
Me pa zdaj nekaj drugega skrbi. STBja ne morem priklopit direkt v Mikrotika, ker imam do dnevne (na drugi strani hiše) potegnjen samo en LAN kabel (niti ga ne morem enostavno dodat) in na njem še en router, da imam priklopljen tudi TV, media server...
www.ramsak.si
Zgodovina sprememb…
- spremenil: monaco ()
Daniel ::
Najbolje je, če se STB ne priklaplja čez router. Torej za internet uporabiš Mikrotik, STB pa naj ima svoj kabel iz modema. Če je težava samo en kabel se potrudi in potegni še enega ali pa ga razdeli na 2x po 2 para (omejeno na 100 Mbit, kar je lahko težava zaradi NAS).
Lahko pa si prebereš tole temo, če najdeš kaj uporabnega v njej:
https://slo-tech.com/forum/t659934/kone...
Lahko pa si prebereš tole temo, če najdeš kaj uporabnega v njej:
https://slo-tech.com/forum/t659934/kone...
Zgodovina sprememb…
- spremenil: Daniel ()
monaco ::
Najbolje je, če se STB ne priklaplja čez router. Torej za internet uporabiš Mikrotik, STB pa naj ima svoj kabel iz modema. Če je težava samo en kabel se potrudi in potegni še enega ali pa ga razdeli na 2x po 2 para (omejeno na 100 Mbit, kar je lahko težava zaradi NAS).
Lahko pa si prebereš tole temo, če najdeš kaj uporabnega v njej:
https://slo-tech.com/forum/t659934/kone...
Gledam temo, samo mi je polovica stvari kot kitajščina :)
Še enega kabla ne morem potegnit zato, ker je potrebno iti čez 5 sob in ker imam vse inštalacije pod ometom in ne želim imeti nikjer vidnih kablov (razen tu kjer je router). Če ga razdelim pa spet nisem kaj naredil, saj je bila želja po gigabitni povezavi eden izmed razlogov za nakup novega routerja. Pol mi je enostavneje menjat operaterja, če bi vedel da kateri drug s temi stvarmi nima težav ;). Samo skoraj ne morem verjet, da so STBji tako neumno narejeni, da ga ne moreš imeti za drugim routerjem...
No, trenutno tako ali tako ne deluje niti če je priključen direkt v MikroTika, pa nimam pojma zakaj - verjetno bi moral biti v switch kot je napisal kogledom? Kako to naredim?
za hairpin iz notranje mreže je tukaj rešitev, ki meni deluje
glede TV-ja pa sem jaz WAN port in port, ki gre v STB dal v switch mode, drugače mi ni delovalo.
Sem probal tole
/ip firewall nat
chain=dstnat dst-address-type=local
protocol=tcp
dst-port=85
action=dst-nat
to-address=192.168.1.205
to-port=85
in
/ip firewall nat
chain=srcnat
src-address=192.168.1.0/24
dst-address=192.168.1.254
protocol=tcp
dst-port=80
out-interface=bridge
action=masquerade
Pa ne dela... :( . Mi je pa zanimivo, da pod firewall/nat ne deluje več da kliknem na vnos in mi odpre nastavitve ?? Delm pa preko web gui.
www.ramsak.si
Zgodovina sprememb…
- spremenil: monaco ()
kihc ::
Naredi port forward tako:
/ip firewall nat
chain=dstnat
protocol=tcp
dst-port=85
in-interface=pppoe-out1 (oz. nevem kako imaš pomenovan pppoe interface)
action=dst-nat
to-address=192.168.1.205
to-port=85
STB je pa večji hec, ker mu moraš pripeljat taprav tagged vlan, če podpira še kakšen youtube/internet pa še untagged. Verjetno najboljše če narediš tako kot je predlagal predhodnik, ga prilopiš direkt na Amis modem.
/ip firewall nat
chain=dstnat
protocol=tcp
dst-port=85
in-interface=pppoe-out1 (oz. nevem kako imaš pomenovan pppoe interface)
action=dst-nat
to-address=192.168.1.205
to-port=85
STB je pa večji hec, ker mu moraš pripeljat taprav tagged vlan, če podpira še kakšen youtube/internet pa še untagged. Verjetno najboljše če narediš tako kot je predlagal predhodnik, ga prilopiš direkt na Amis modem.
x
Zgodovina sprememb…
- spremenil: kihc ()
monaco ::
Četudi je amis v bridge, ga priklopim direkt? Bi to lahko delovalo tudi preko teh vmesnikov za vticnice?
www.ramsak.si
kihc ::
Nevem kako ima AMIS, pri Siolu ravno tako dela če je modem v bridge, samo port kamor priklopiš mora biti nastavljen na video/trunk.
Glede vmesnikov pojma nimam, načeloma ethernet je ethernet, torej v teoriji bi moralo.
Glede vmesnikov pojma nimam, načeloma ethernet je ethernet, torej v teoriji bi moralo.
x
monaco ::
Naredi port forward tako:
/ip firewall nat
chain=dstnat
protocol=tcp
dst-port=85
in-interface=pppoe-out1 (oz. nevem kako imaš pomenovan pppoe interface)
action=dst-nat
to-address=192.168.1.205
to-port=85
Hvala, tudi deluje. Edino to-port=80.
Harpin oz da bi videl preko zunanjega naslova tudi znotraj omrežja mi pa ne deluje...
www.ramsak.si
monaco ::
Usposobil tudi harpin po navodilih iz zgornjega linka...
Za STB smo pa ugotovili na helpdesku, da so pozabili spremeniti nastavitve ko so dali modem v bridge, saj ni deloval niti neposredno priklopljen v modem.
Še vedno me pa muči delovanje preko routerja, saj imam zdaj celo dnevno sobo off-line. Mogoče kdo ve ali je kateri od konkurence bolj "prijazen" in bi deloval? Siol, Telemach, T2?
Za STB smo pa ugotovili na helpdesku, da so pozabili spremeniti nastavitve ko so dali modem v bridge, saj ni deloval niti neposredno priklopljen v modem.
Še vedno me pa muči delovanje preko routerja, saj imam zdaj celo dnevno sobo off-line. Mogoče kdo ve ali je kateri od konkurence bolj "prijazen" in bi deloval? Siol, Telemach, T2?
www.ramsak.si
kihc ::
A STB preko Mikrotika misliš? Mislim da ima to večina rešeno na podoben način.
Pač saj imaš top šit ruter, poštimaj VLAN-e, malo Amis buzeriraj na support kako bi to naredil - meni so na Siolu vse razložil, samo še vedno sem rabil kar nekaj trail & error poskusov da sem ruter prav skonfiguriral. Zdaj pa žal nimam več tega, zato ti tudi ne morem iz prve roke povedat kje je bil catch.
Nekaj je bilo na temu tudi tukaj napisano, samo ne najdem teme ... pobrskaj malo.
Pač saj imaš top šit ruter, poštimaj VLAN-e, malo Amis buzeriraj na support kako bi to naredil - meni so na Siolu vse razložil, samo še vedno sem rabil kar nekaj trail & error poskusov da sem ruter prav skonfiguriral. Zdaj pa žal nimam več tega, zato ti tudi ne morem iz prve roke povedat kje je bil catch.
Nekaj je bilo na temu tudi tukaj napisano, samo ne najdem teme ... pobrskaj malo.
x
Rias Gremory ::
@OP
Glej, da si vse nekam zapišeš kako in kje si skonfiguriral.
Glej, da si vse nekam zapišeš kako in kje si skonfiguriral.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
saj za časa našega življenja ne bo popolnoma propadel.
monaco ::
Za vsako kamero imam zdaj nastavljeno (primer kamere na 192.168.1.205 z zunanjim portom 85:
IP/Firewall/Filter rules/Firewall rule
Chain: forward
Dst. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
In. Interfacd: pppoe-out1
Out. Interface: bridge
Action: accept
IP/Firewall/NAT/NAT Rule
Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 85
In. Interface: pppoe-out1
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Chain: srcnat
Src. Address: 192.168.1.0/24
DST. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
Out. Interface: bridge
Action: masquerade
Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 85
Dst. Address Type: local
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Vprašanje je ali res rabim vse to za vsako kamero in ali lahko kaj združim. Recimo 1 filter za vse ali pa vsaj prvo in tretje pravilo? Kamere imam drugače na IPjih 202-210 in zunanjih portih 82-90.
Sem pa vmes ugotovil, da ima RouterOS svoj DDNS (cloud) s sicer zelo zapletenim imenom, ki pa ga lahko vpišem kot CNAME s poddomeno na svoji kupljeni domeni in uporabljam kar to :)
STB sem priklopil preko powerline adapterjev (AV 200). Deluje vendar se je slika občasno zatikala, zato sem zdaj zamenjal in imam router v dnevni (AP mode) priključen preko powerline. Še razmišljam kaj narediti... Če ne bo delovalo preko switcha v dnevni je tako ali tako vseeno ali ga imam tukaj priklopljenega v router ali modem, saj sta eden zraven drugega. Še boljše je če je v modemu, mi porta na routerju ne zadeva. A pa je sploh opcija da bo delovalo tudi preko switcha? Na Amisov support ni za računat. Sem 2x klical ob različnih časih (in različne svetovalce), pa so me vsi odpravili, da naj se ne trudim, ker nikakor ni možno da bi delovalo kako drugače kot če je priklopljen direkt v modem.
IP/Firewall/Filter rules/Firewall rule
Chain: forward
Dst. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
In. Interfacd: pppoe-out1
Out. Interface: bridge
Action: accept
IP/Firewall/NAT/NAT Rule
Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 85
In. Interface: pppoe-out1
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Chain: srcnat
Src. Address: 192.168.1.0/24
DST. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
Out. Interface: bridge
Action: masquerade
Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 85
Dst. Address Type: local
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Vprašanje je ali res rabim vse to za vsako kamero in ali lahko kaj združim. Recimo 1 filter za vse ali pa vsaj prvo in tretje pravilo? Kamere imam drugače na IPjih 202-210 in zunanjih portih 82-90.
Sem pa vmes ugotovil, da ima RouterOS svoj DDNS (cloud) s sicer zelo zapletenim imenom, ki pa ga lahko vpišem kot CNAME s poddomeno na svoji kupljeni domeni in uporabljam kar to :)
STB sem priklopil preko powerline adapterjev (AV 200). Deluje vendar se je slika občasno zatikala, zato sem zdaj zamenjal in imam router v dnevni (AP mode) priključen preko powerline. Še razmišljam kaj narediti... Če ne bo delovalo preko switcha v dnevni je tako ali tako vseeno ali ga imam tukaj priklopljenega v router ali modem, saj sta eden zraven drugega. Še boljše je če je v modemu, mi porta na routerju ne zadeva. A pa je sploh opcija da bo delovalo tudi preko switcha? Na Amisov support ni za računat. Sem 2x klical ob različnih časih (in različne svetovalce), pa so me vsi odpravili, da naj se ne trudim, ker nikakor ni možno da bi delovalo kako drugače kot če je priklopljen direkt v modem.
www.ramsak.si
monaco ::
Za vsako kamero imam zdaj nastavljeno (primer kamere na 192.168.1.205 z zunanjim portom 85:
IP/Firewall/Filter rules/Firewall rule
Chain: forward
Dst. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
In. Interfacd: pppoe-out1
Out. Interface: bridge
Action: accept
IP/Firewall/NAT/NAT Rule
Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 85
In. Interface: pppoe-out1
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Chain: srcnat
Src. Address: 192.168.1.0/24
DST. Address: 192.168.1.205
Protocol: 6 (tcp)
Dst. Port: 80
Out. Interface: bridge
Action: masquerade
Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 85
Dst. Address Type: local
Action: dst-nat
To Addresses: 192.168.1.205
To Ports: 80
Vprašanje je ali res rabim vse to za vsako kamero in ali lahko kaj združim. Recimo 1 filter za vse ali pa vsaj prvo in tretje pravilo? Kamere imam drugače na IPjih 202-210 in zunanjih portih 82-90.
Tole mi je še vedno uganka
www.ramsak.si
monaco ::
Pa še to - kako bi nastavil, da dobi določena naprava (Android) vsakič ko se prijavi v wi-fi isti IP?
www.ramsak.si
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Mikrotik nastavitveOddelek: Omrežja in internet | 2896 (2296) | Poldi112 |
| » | SSH forwarding na MikrotikuOddelek: Omrežja in internet | 1675 (1415) | miki133 |
| » | Mikrotik - forward porta za ftpOddelek: Omrežja in internet | 1679 (1546) | SeMiNeSanja |
| » | mikrotik pomocOddelek: Pomoč in nasveti | 4919 (3165) | kronik |
| » | pppoe+mikrotikOddelek: Omrežja in internet | 3382 (2960) | Senitel |