Удаленное управление Веб камерой

Сообщение **Grum_** » 15 янв 2009, 15:03

Задача:
Требуется удаленно из инета рулить видеокамерой в офисе.

Есть:
ACORP LAN 420 (4-х портовый), имеющий IP 192.168.10.2
Видеокамера, имеющая IP 192.168.10.1, подключенная ко второму порту Акорпа.
Компьютер, имеющий IP 192.168.10.3, подключенный к первому порту Акорпа
Подключение к ADSL, статический IP адрес 212.3.x.x

Делаю:
1. Логинюсь к Акорпу
2. На вкладке Wizard устанавливаю протокол PPPoE, VPI, VCI, логин, пароль. Сохраняюсь, перегружаюсь. Соединение есть, IP выдается. Инет на компе есть.
3. На вкладке Setup / Wizard снимаю галку с Firewall, проверяю, что галка на NAT стоит.
4. На вкладке Advanced / Lan Clients прописываю IP камеры (192.168.10.1)
5. На вкладке Advanced / Port Forwarding создаем новое правило. В котором прописываем Protocol: TCP, Port Start: 80, Port End: 80, Port Map: 80
Добавляем это правило для WAN Connection: Wizard, LAN Group: 1, LAN IP: 192.168.10.1
Сохраняемся, перегружаемся.

Имеем: По внешнему адресу 212.3.x.x грузится веб интерфейс модема.
С компа в локалке (192.168.10.3) все работает как надо: по 192.168.10.1 - камера, по 192.168.10.2 - модем.

Помогите плиз, весь мозг уже сломал. В чем грабли ?

Пробовал еще такой вариант:
в Custom Port Forwarding прописывал:
Source IP Address: *
Source Netmask: *
Destination IP Address: 192.168.10.1
Destination Netmask: 255.255.255.255
Destination Port Start: 80
Destination Port Map: 80
Destination Port End: 80
Результат тот-же.

Георгий

5. На вкладке Advanced / Port Forwarding создаем новое правило. В котором прописываем Protocol: TCP, Port Start: 80, Port End: 80, Port Map: 80

сделай так:
5. На вкладке Advanced / Port Forwarding создаем новое правило. В котором прописываем Protocol: TCP, Port Start: 8000, Port End: 8000, Port Map: 80

и заходи на http://212.3.x.x:8000

Сообщение **Grum_** » 15 янв 2009, 16:18

Георгий писал(а):Цитата(Георгий @ 15.1.2009, 15:33) сделай так:
5. На вкладке Advanced / Port Forwarding создаем новое правило. В котором прописываем Protocol: TCP, Port Start: 8000, Port End: 8000, Port Map: 80
и заходи на http://212.3.x.x:8000

Те же в профиль. И по 80 и по 8000 порту грузится веб страница модема.

Георгий

так ты форвардишь значит на IP-адрес модема
а надо на IP-адрес камеры 192.168.10.1

Сообщение **Grum_** » 15 янв 2009, 16:41

Георгий писал(а):Цитата(Георгий @ 15.1.2009, 16:40) так ты форвардишь значит на IP-адрес модема
а надо на IP-адрес камеры 192.168.10.1

я же написал
"Добавляем это правило для WAN Connection: Wizard, LAN Group: 1, LAN IP: 192.168.10.1"

форвардинг все таки работает, но какого хрена на адрес модема если указывается адрес камеры нифига не пойму

Георгий

я наизусть не знаю интерфейс модема Acorp, поэтому "Добавляем это правило для WAN Connection: Wizard, LAN Group: 1, LAN IP: 192.168.10.1" для меня неинформативно, да и не вчитывался я, ибо просто понял что нужно сделать типовую задачу = сделать форвард внешки в локалку - это простейшая задача, независимо от того какой модем.

Что-то вы делаете не так, а что - не знаю.
Если бы был доступ - ну подсказал бы (или сделал), а так - не могу сказать.

Георгий

сделай
Пробовал еще такой вариант:
в Custom Port Forwarding прописывал:
Source IP Address: *
Source Netmask: *
Destination IP Address: 192.168.10.1
Destination Netmask: 255.255.255.255
Destination Port Start: 80
Destination Port Map: 80
Destination Port End: 80
Результат тот-же.

только с портами
Destination Port Start: 8000
Destination Port Map: 80
Destination Port End: 8000

Сообщение **leo** » 15 янв 2009, 16:56

по лангруппе посмотри.. у тебя все порты в одну группу.. ?? какие там настройки??? Upnp попробуй зацепить может поможет..

Сообщение **Grum_** » 15 янв 2009, 17:06

настройки LAN

настройки WAN

страница Port Forwarding

само правило

Цитатапо лангруппе посмотри.. у тебя все порты в одну группу.. ?? какие там настройки??? Upnp попробуй зацепить может поможет..[/quote]

Да, все в одну группу. Настройки выше.

Сообщение **Grum_** » 15 янв 2009, 17:26

Георгий писал(а):Цитата(Георгий @ 15.1.2009, 16:46) сделать форвард внешки в локалку - это простейшая задача, независимо от того какой модем.

Я понимаю, что это простейшая задача и на D-Link'ах я ее делал не раз.
С Акорпами раньше не сталкивался.

Фокус с Custom Port Forwarding 8000/8000/80 также не удался.

Георгий писал(а):Цитата(Георгий @ 15.1.2009, 16:46) я наизусть не знаю интерфейс модема Acorp

Я скрины сделал. если что еще надо - еще сделаю.

В порядке бреда: не может быть это связано с тем, что IP камеры меньше IP модема ?

Сообщение **leo** » 15 янв 2009, 17:57

даже со своим сравнил особых отличий нету.. разве что Upnp у тебя не задействован.. но можно включить.. есть шанс что заработает. и вот главное НО! сейчас смутно припоминаю.. у меня раньше тож было 420 и на нём были проблемы с форвардом.. а затем я поставил 422 и проблема ушла.. как вариант попробовать обновить модем.

Сообщение **Grum_** » 15 янв 2009, 18:03

leo писал(а):Цитата(leo @ 15.1.2009, 17:57) даже со своим сравнил особых отличий нету.. разве что Upnp у тебя не задействован.. но можно включить.. есть шанс что заработает. и вот главное НО! сейчас смутно припоминаю.. у меня раньше тож было 420 и на нём были проблемы с форвардом.. а затем я поставил 422 и проблема ушла.. как вариант попробовать обновить модем.

Пробовал с Upnp. Нифига.

BORNDEAD · Сообщение **BORNDEAD** » 15 янв 2009, 21:57

Upnp то нафига вспомнили? он для других целей служит
по сабжу и скринам

Setup->modem
Поставить галочку Firewall, применить

Георгий

ну диагностика простая.
если не работает через веб-интерфейс, то телнетишься на модем и смотришь
iptables -t nat -L -nvx
если там нет нужного правила - добавляешь вручную и проверяешь заработало ли.
если заработало - разбираешься как сделать чтобы оно добавлялось через веб-интерфейс.

заочно что-то советовать сложно.
приехать и сделать - намного проще.

BORNDEAD · Сообщение **BORNDEAD** » 15 янв 2009, 22:29

Георгий, вы посмотрите на скрины, фаер вообще отключен))

Сообщение **leo** » 15 янв 2009, 22:46

BORNDEAD, ден не тупи. фаер нужно галочку снять.. ну или с правилами дополнтельными писать.. но там один фиг вед интерфейс по логину/паролю так что можно смело отключать

Георгий

да фаер вообще по-боку
если все правильно сделано - правила фаера не мешают остальному.
включите фаер и посмотрите iptables
потом отключите и снова посмотрите iptables
разница будет, но то что работало - работать будет и так и сяк.

Сообщение **leo** » 15 янв 2009, 22:52

скрины я со своими сравнил.. вроде всё верно.. единсвтенная версия - разница прошивок. 420 vs 422 это моё имхо..

BORNDEAD · Сообщение **BORNDEAD** » 16 янв 2009, 00:43

ааааа!!!! *тут был мат*
а порфорвард это не к файру относится?
откуда возмется цепочка форварда, если файр отключен? все по умолчанию в акцепте и правила пустые!!!!
*тут был мат*
поэтому и стучит ему на его мопед!!!
*тут был мат* *тут был мат* *тут был мат*

З.Ы. iptables это и есть файр

Георгий

ну ладно, пусть включит. :)

Сообщение **leo** » 16 янв 2009, 01:18

блин ну вот тебе вывод с оффом фаера..
# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
192.168.7.31 tcp dpt:24699
ACCEPT tcp -- anywhere Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
192.168.7.1 tcp dpt:14838
ACCEPT udp -- anywhere Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
192.168.7.3 udp dpt:18767
ACCEPT tcp -- anywhere Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
192.168.7.3 tcp dpt:18767
ACCEPT udp -- anywhere Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
Set PR mark for socket 0x5 = 230
192.168.7.1 udp dpt:14838

как видишь правила не месте :)

BORNDEAD · Сообщение **BORNDEAD** » 16 янв 2009, 01:31

# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ipaccount all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere 172.16.0.1 udp dpt:51142
ACCEPT tcp -- anywhere 172.16.0.1 tcp dpt:51142
DROP all -- anywhere anywhere

вот правила вижу на месте...

а у тя лео чет бред какой то.... и кста...
target prot opt source destination

а где акцепт у твои правил?

Сообщение **leo** » 16 янв 2009, 01:31

из этого вывод.. когда снимаешь галочку банально дефолтно кидает в ассеп.. ставишь - дефолтно в дроп. вот и всё
"In the presence of the firewall, anonymous Internet traffic is blocked." - из мануала в модеме.. т.е всё банально: ставишь галочку и пишешь доп правило на INPUT/

Сообщение **leo** » 16 янв 2009, 01:35

BORNDEAD, ьы тупишь реально.. читай между строк и всё увидишь :)

BORNDEAD · Сообщение **BORNDEAD** » 16 янв 2009, 01:41

ааа!!! увидил.... ну и бред

Сообщение **Grum_** » 16 янв 2009, 11:17

Вывод iptables -t nat -L -nvx

Код: Выделить всё

Chain PREROUTING (policy ACCEPT)
DNAT tcp --- ppp0   *  0.0.0.0/0   0.0.0.0/0   tcp   dpt:8000  to:192.168.10.1:80
DNAT all  --- ppp0   *  0.0.0.0/0   0.0.0.0/0   to:192.168.10.1

Chain POSTROUTING (policy ACCEPT)
MASQUERADE   all  --  *   ppp0  0.0.0.0/0  0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

Сообщение **leo** » 16 янв 2009, 11:47

Grum_, а зачем мну нат.. у тебя ж смотри маскарад идёт.. ты лучше форвард покажи

Сообщение **Grum_** » 16 янв 2009, 12:01

leo писал(а):Цитата(leo @ 16.1.2009, 11:47) Grum_, а зачем мну нат.. у тебя ж смотри маскарад идёт.. ты лучше форвард покажи

Это Георгий нат хотел увидеть.

Вывод iptables -L FORWARD

Код: Выделить всё

Chain FORWARD (ACCEPT)
TCPMSS tcp -- anywhere  anywhere tcp flags: SYN, RST/SYN TCPMSS clamp to PMTU

добавлял руками такое:
ACCEPT tcp -- anywhere 192.168.10.1 tcp: dpt:www

не пашет

Сообщение **leo** » 16 янв 2009, 12:07

ну не пашеть потому что у тебя и маскарад и DNAT// надо что-то одно.. так ясное дело у тебя будет на модем заварачиваца.. т.к приходящие с видео пакеты будут маскарадица на внешку, а потом приходящий пакет натица уже будет на то, что отмаскарадилось.. т.е на модем..

Сообщение **Grum_** » 16 янв 2009, 12:35

leo писал(а):Цитата(leo @ 16.1.2009, 12:07) ну не пашеть потому что у тебя и маскарад и DNAT// надо что-то одно.. так ясное дело у тебя будет на модем заварачиваца.. т.к приходящие с видео пакеты будут маскарадица на внешку, а потом приходящий пакет натица уже будет на то, что отмаскарадилось.. т.е на модем..

Ок. Очистил все цепочки. Сделал заново. Получилось:

NAT

Код: Выделить всё

Chain PREROUTING (policy ACCEPT)
DNAT tcp -- anywhere  anywhere  tcp   dpt:8000  to:192.168.10.1:80

Chain POSTROUTING (policy ACCEPT)

Chain OUTPUT (policy ACCEPT)

FORWARD

Код: Выделить всё

Chain FORWARD (ACCEPT)
ACCEPT all  --  anywhere  anywhere  state RELATED, ESTABLISHED
ACCEPT tcp  -- anywhere  192.168.10.1  tcp dpt:www

все равно не пашет.