[Resolvido] Liberação de portas para DVR



  • Amigos,

    Eu revirei tudo no fórum do PFsense com relação a NAT para portas do dvr mas não obtive sucesso até agora. Estou desde agosto tentando liberar essas portas para meus chefes terem acesso às cameras do prédio onde trabalho via celular porém sem sucesso.

    Nosso ambiente está assim:

    WAN IP FIXO DE INTERNET VIA RÁDIO: 189.x.x.xx
    LAN: 192.168.1.15 (pfsense)
    IP DO DVR: 192.168.1.69

    Segundo o rapaz que instalou o DVR aqui, nos teriamos que liberar as portas 8080, 34599, 34567 para que o DVR pudesse ser acessado externamente. Além disso ele nos passou o endereço nomedampresa.dvralartec.com.br. Deixo em anexo minhas regras e caso necessitem de mais informações eu passo.

    Obrigado!
    Vitor

    ![regras lan.PNG](/public/imported_attachments/1/regras lan.PNG)
    ![regras lan.PNG_thumb](/public/imported_attachments/1/regras lan.PNG_thumb)
    ![regras nat.PNG](/public/imported_attachments/1/regras nat.PNG)
    ![regras nat.PNG_thumb](/public/imported_attachments/1/regras nat.PNG_thumb)



  • @vitorgadi:

    Amigos,

    Eu revirei tudo no fórum do PFsense com relação a NAT para portas do dvr mas não obtive sucesso até agora. Estou desde agosto tentando liberar essas portas para meus chefes terem acesso às cameras do prédio onde trabalho via celular porém sem sucesso.

    Nosso ambiente está assim:

    WAN IP FIXO DE INTERNET VIA RÁDIO: 189.x.x.xx
    LAN: 192.168.1.15 (pfsense)
    IP DO DVR: 192.168.1.69

    Segundo o rapaz que instalou o DVR aqui, nos teriamos que liberar as portas 8080, 34599, 34567 para que o DVR pudesse ser acessado externamente. Além disso ele nos passou o endereço nomedampresa.dvralartec.com.br. Deixo em anexo minhas regras e caso necessitem de mais informações eu passo.

    Obrigado!
    Vitor

    Poste as regras da Wan também!

    Suas regras de nat estão corretas.  Mas elas deveriam criar uma regra na Wan automaticamente com o Nome NAT "descricao de sua regra nat"



  • Mascarando seus ips públicos por favor.



  • @victorfmaraujo:

    Suas regras de nat estão corretas.  Mas elas deveriam criar uma regra na Wan automaticamente com o Nome NAT "descricao de sua regra nat"

    Olá, amigo!

    Obrigado pela resposta rapidíssima… até me assustei aqui quando fui notificado hehehe. Esqueci das regras WAN, então segue...

    ![regras wan.PNG](/public/imported_attachments/1/regras wan.PNG)
    ![regras wan.PNG_thumb](/public/imported_attachments/1/regras wan.PNG_thumb)



  • @marcelloc:

    Mascarando seus ips públicos por favor.

    Oi Marcelo,

    Desculpe… deixei algo indevido exposto? Se puder me ajudar a identificar, pois não achei!  :-\



  • @vitorgadi:

    @victorfmaraujo:

    Suas regras de nat estão corretas.  Mas elas deveriam criar uma regra na Wan automaticamente com o Nome NAT "descricao de sua regra nat"

    Olá, amigo!

    Obrigado pela resposta rapidíssima… até me assustei aqui quando fui notificado hehehe. Esqueci das regras WAN, então segue...

    Parece estar correto

    Utilize um tcpdump na interface wan escutando uma dessas portas e tente um acesso externo.  Se o tcpdump não acusar nada, significa que nem está chegando em seu firewall!

    provavelmente a sintaxe seja essa:

    tcpdump -nn -ni "suainterfacewan" host "ip_da_wan" port "numerodaporta"



  • Victor,

    Editando… Rodei o tcpdump mas esqeuci de abrir o APP no celular hehehehe

    Ele retorna minhas tentativas de conexão via celular sim! Porém a imagem não aparece no app... mas pelo menos sei que pelo menos em partes, tudo certo.



  • @vitorgadi:

    Victor,

    Rodei o tcpdump dessa maneira: tcpdump -nn -ni bge0 host xxx.x.x.xx and dst port 34599

    E não obtive resposta. O que você acha que pode ser?

    Obrigado pela atenção!

    ele fica escutando as requisições que passam na interface bge0 que possuem o IP e porta 34599

    ele só retorna alguma coisa quando você fizer o teste de fora.  Ele irá mostrar o IP externo que originou a requisição.

    Se não apareceu nada, é bem provável que o problema seja em seu provedor pois a requisição nem está chegando em seu firewall.

    É possível também que você não possua um IP público exclusivo para você.



  • @victorfmaraujo:

    @vitorgadi:

    Victor,

    Rodei o tcpdump dessa maneira: tcpdump -nn -ni bge0 host xxx.x.x.xx and dst port 34599

    E não obtive resposta. O que você acha que pode ser?

    Obrigado pela atenção!

    ele fica escutando as requisições que passam na interface bge0 que possuem o IP e porta 34599

    ele só retorna alguma coisa quando você fizer o teste de fora.  Ele irá mostrar o IP externo que originou a requisição.

    Se não apareceu nada, é bem provável que o problema seja em seu provedor pois a requisição nem está chegando em seu firewall.

    É possível também que você não possua um IP público exclusivo para você.

    Eu vacilei e rodei o comando sem estar tendando o acesso externo. Fiz corretamente e o tcpdump listou as requisições que eu estava mandando pela conexão externa.  ;D



  • Bem provável que esse ip fixo seja mascarado por nat no provedor, mesmo sendo exclusivo seu. Acho que só fica sem nat se o provedor usar BGP, já que a  distribuição dos ips válidos é feita de forma automática aos clientes.
    Pelo que tenho de experiência com provedor de rádio, quando o mesmo usa esse tipo de configuração, é necessário fazer a liberação dentro do rádio do cliente, já que a autenticação é por PPPOE na wan do rádio.
    Outro teste que vc pode fazer é rodar um VNC server, tipo UltraVNC e pedir pra liberar a porta 5900, nessa vc já consegue saber se tá dando zica na porta liberada pro DVR.
    Já me incomodei com provedor liberando porta, dizendo que está liberada e nada, no fim pra resolver, tive que usar porta http do dvr em 1990, ou 2021 pq as que o pessoal costuma usar, por algum motivo não estavam comunicando. Imagina o quanto eu bati boca com o cara do provedor  >:(



  • Pessoal,

    O erro foi meu, desculpem…  :P

    Eu usei esse site: http://www.yougetsignal.com/tools/open-ports/ para testar se a comunicação com as portas do DVR estavam Ok e ele sempre dizia que a porta X estava liberada para o meu IP. Logo, dei uma olhada no DVR e o gateway estava setado incorretamente :(

    Só foi alterar que funcionou que é uma beleza. Desculpem...



  • Legal, sempre é bom postar o resultado assim outros aprendem.
    Todos erram!



  • Eu tenho um exemplo parecido que não deu certo no pfsense, por exemplo, tenho varias lojas do Grupo que usam DVR da intelbras e sempre coloco padrão nos modens adsl (todas as marcas), o redirecionamento das portas, 8077(acesso via Web) 1777(acesso via Celular) e a 554 (Porta RTSP), essa porta 554 não sei para que serve exatamente, mas se não libero, não acesso, o detalhe é que quando faço essas mesmas liberações NAT no PFsense para acessar uma loja aqui local, ele não funciona, chega a abrir a tela de login, mas dá falha na conexão, a mesma mensagem quando não libero a 554 nos modens adsl!



  • http://pt.wikipedia.org/wiki/RTSP

    No texto diz: Utiliza os protocolos TCP e UDP na porta 554.

    Provável que está fazendo liberando só acesso TCP;



  • @celsosticanella:

    Eu tenho um exemplo parecido que não deu certo no pfsense, por exemplo, tenho varias lojas do Grupo que usam DVR da intelbras e sempre coloco padrão nos modens adsl (todas as marcas), o redirecionamento das portas, 8077(acesso via Web) 1777(acesso via Celular) e a 554 (Porta RTSP),

    Dê preferencia a discar pppoe no pfsense no lugar de deixar o modem fazer isso. Existem questões de segurança, performance e duplo nat que pode atrapalhar a sua publicação de porta.



  • Mas nas lojas não tenho PFSENSE, temos no máximo 2 computadores em cada, então acho que não compensa ter um firewall no local!



  • a porta 554 RSTP é pros Blackberry funcionar o aplicativo, ninguém usa isso, nem perco tempo em liberar.



  • @celsosticanella:

    Mas nas lojas não tenho PFSENSE, temos no máximo 2 computadores em cada, então acho que não compensa ter um firewall no local!

    Uma rede sem restrições nas lojas pode te dar muita dor de cabeça.  Prefira sempre ter um ambiente controlado.

    Hoje em dia é muito saudável ter até em casa um ids/ips e listas de bloqueio de ip para diminuir a facilidade de infecção por malware e outros lixos comuns na internet.



  • Eu revirei tudo no fórum do PFsense com relação a NAT para portas do dvr mas não obtive sucesso até agora. Estou desde agosto tentando liberar essas portas para meus chefes terem acesso às cameras do prédio onde trabalho via celular porém sem sucesso.

    Nosso ambiente está assim:

    WAN IP FIXO DE INTERNET VIA RÁDIO: 189.x.x.xx
    LAN: 192.168.1.15 (pfsense)
    IP DO DVR: 192.168.1.69

    Segundo o rapaz que instalou o DVR aqui, nos teriamos que liberar as portas 8080, 34599, 34567 para que o DVR pudesse ser acessado externamente. Além disso ele nos passou o endereço nomedampresa.dvralartec.com.br. Deixo em anexo minhas regras e caso necessitem de mais informações eu passo.

    É SÓ CRIAR DUAS NAT's uma para porta local e outra para porta externa. Exemplo 8080



  • @vitorgadi:

    Amigos,

    Eu revirei tudo no fórum do PFsense com relação a NAT para portas do dvr mas não obtive sucesso até agora. Estou desde agosto tentando liberar essas portas para meus chefes terem acesso às cameras do prédio onde trabalho via celular porém sem sucesso.

    Nosso ambiente está assim:

    WAN IP FIXO DE INTERNET VIA RÁDIO: 189.x.x.xx
    LAN: 192.168.1.15 (pfsense)
    IP DO DVR: 192.168.1.69

    Segundo o rapaz que instalou o DVR aqui, nos teriamos que liberar as portas 8080, 34599, 34567 para que o DVR pudesse ser acessado externamente. Além disso ele nos passou o endereço nomedampresa.dvralartec.com.br. Deixo em anexo minhas regras e caso necessitem de mais informações eu passo.

    Obrigado!
    Vitor

    É SÓ CRIAR DUAS NAT's UMA PARA ACESSO LOCAL E OUTRA PARA ACESSO EXTERNO. EXEMPLO 8080 (EXT)


Log in to reply