NVR (сетевой видеорегистратор)


  • Здравствуйте.
    В сети есть видеорегистратор и белый IP от провайдера. В интернет выходили при помощи простого роутера TP-link, проблем с его настройкой не было, так как там все понятно.
    Офис разросся и роутер перестал справляться, постоянно зависал. Установили pfsense. Все отлично, но камеры из дома не видно.
    Подскажите в какую сторону копать, что читать.


  • В сторону port forward.


  • Мы интернет получаем не напрямую от провайдера. Есть определенная организация, в структуру которой мы входим. Они получают интернет от провайдера и дают его уже нам. Порты NVR у него уже проброшены. До установки pfsense, на tp-linke я включал функцию DMZ где прописывал ip видерегистратора.
    То что я прочитал по настройке DMZ в pfsense, касается только если есть третья сетевая карта. Возможно ли все это настроить без дополнительной карты?



  • @hudyakov:

    Мы интернет получаем не напрямую от провайдера. Есть определенная организация, в структуру которой мы входим. Они получают интернет от провайдера и дают его уже нам. Порты NVR у него уже проброшены. До установки pfsense, на tp-linke я включал функцию DMZ где прописывал ip видерегистратора.
    То что я прочитал по настройке DMZ в pfsense, касается только если есть третья сетевая карта. Возможно ли все это настроить без дополнительной карты?

    То, что в бытовых роутерах называют DMZ - не DMZ в правильном понимании. Ведь NVR находится в вашей LAN?
    Ваша задача - у себя пробросить те же порты, что и в вышестоящей организации.
    На WAN  Block private networks and loopback addresses должно быть снято.


  • Доброе
    Настройте на pf опенвпн. Так и удобнее и безопаснее - не нужно открывать кучу портов.


  • @werter:

    Доброе
    Настройте на pf опенвпн. Так и удобнее и безопаснее - не нужно открывать кучу портов.

    Судя по всему ТС уже подключен  к аплинку чем-то вроде туннеля (?) с выходом в интернет через вышестоящий NAT,  IP на WAN у него "серый".


  • Поднять впн-сервер дома (роутер с tomatousb*wrt подойдет) и подкл. из офиса к нему (пф - как впн-клиент). Можно даже настроить по расписанию, чтобы не афишировать.
    Или же пробросить один udp-порт с ВАНа на пф для впн-сервера, попросив вышестоящих. В таком случае не забыть откл блокирование серых сетей на ВАН пф.


  • Всем спасибо за ответы. В принципе ничего не понял.
    На WAN IP серый.
    Задача смотреть видео не из дома, а с планшета в любом месте.
    Раньше как то все было просто, в выше стоящей организации сказали IP, я им порт который нужно пробросить, на роутере которому подключен DVR сделал DMZ его IP и все заработало.


  • @hudyakov:

    Всем спасибо за ответы. В принципе ничего не понял.
    На WAN IP серый.
    Задача смотреть видео не из дома, а с планшета в любом месте.
    Раньше как то все было просто, в выше стоящей организации сказали IP, я им порт который нужно пробросить, на роутере которому подключен DVR сделал DMZ его IP и все заработало.

    Ваша задача - у себя пробросить те же порты, что и в вышестоящей организации.
    На WAN  Block private networks and loopback addresses должно быть снято.

    Это сделали? Возможно для DVR нужно пробрасывать несколько портов.


  • На WAN  Block private networks and loopback addresses должно быть снято. - Снял.
    Порты пытаюсь пробросить по рекомендациям. (правда не совсем удобно, насколько я понял все описания сделаны для старой версии, у меня интерфейс другой.)
    Порты закрыты. (3080 и 3081). Проверяю через http://portscan.ru


  • И еще вопрос.
    прочитал что правила в NAT с Port Forward создавать не надо, якобы оно создается автоматически при создании правила в Rules/WAN.
    Так вот, оно не создается. Значит я что то делаю неправильно?


  • Узнавайте в сети какие точно порты и протоколы вам необходимо пробрасывать для NVR.
    Связывайтесь с вашими старшими и просите, чтобы вам пробросили порты и протоколы (а не просто разрешили на ВАН) на адрес ВАН вашего пф.
    После - настраивайте пф на проброс до NVR.

    Или не любитесь с двойным НАТом . Просто попросите старших, чтобы пробросили на ВАН вашего пф один udp-порт (напр, у них на ВАН 15247\udp - > проброс на ВАН вашего пф 1194\udp ). Затем настраиваете на пф ОпенВПН-сервер и радуетесь жизни - имеете полный доступ в вашу сеть за пф без всяких дальнейших пробросов. В чем проблема так сделать ?


  • @hudyakov:

    И еще вопрос.
    прочитал что правила в NAT с Port Forward создавать не надо, якобы оно создается автоматически при создании правила в Rules/WAN.
    Так вот, оно не создается. Значит я что то делаю неправильно?

    Разве не наоборот все? При создании проброса в NAT автоматически создается правило в Rules. Поправьте если я ошибся.


  • @borg:

    @hudyakov:

    И еще вопрос.
    прочитал что правила в NAT с Port Forward создавать не надо, якобы оно создается автоматически при создании правила в Rules/WAN.
    Так вот, оно не создается. Значит я что то делаю неправильно?

    Разве не наоборот все? При создании проброса в NAT автоматически создается правило в Rules. Поправьте если я ошибся.

    Именно так по умолчанию, если при создании port forward в Filter rule association оставлено дефолтное Add associated filter rule


  • @werter:

    Узнавайте в сети какие точно порты и протоколы вам необходимо пробрасывать для NVR.
    Связывайтесь с вашими старшими и просите, чтобы вам пробросили порты и протоколы (а не просто разрешили на ВАН) на адрес ВАН вашего пф.
    После - настраивайте пф на проброс до NVR.
    p ). Затем настраиваете на пф ОпенВПН-сервер и радуетесь жизни - имеете полный доступ в вашу сеть за пф без всяких дальнейших пробросов. В чем проблема так сделать ?

    Вот сбросили что у них проброшено
    redirect_port tcp 192.168.110.174:3080 3080

    redirect_port tcp 192.168.110.174:3081 3081

    redirect_port tcp 192.168.110.174:58080 58080

    redirect_port tcp 192.168.110.174:52554 52554

    redirect_port tcp 192.168.110.110:80 2080

    redirect_port tcp 192.168.110.110:37777 27777

    redirect_port tcp 192.168.110.110:37778 27778
    Дальше пробрасываю (я так надеюсь). Но все равно подключится к NVR не могу. Да и порты через http://portscan.ru показывает, что закрыты.



  • Классическая ошибка.
    Нужно:
    Source - обычно any
    Source port range - any

    Destination port range - нужный порт(ы)
    Redirect target IP - IP в вашей LAN
    Redirect target port -  нужный порт(ы).

    Если портов много - можно их оформить алиасом и потребуется всего одно правило.


  • 2 hudyakov
    Советую. По-хорошему.
    Настройте на пф опенвпн-сервер, пробросив один единственный порт и ходите безопасно в свою сеть по любым портам и протоколам.
    У вас будет одна единственная точка входа без открытия 100500 портов и протоколов.
    Не любите моск. Ни себе и людям.

    http://bfy.tw/9e7z