MR_Sample Ierakstīts Jūnijs 22, 2021 Share Ierakstīts Jūnijs 22, 2021 Sveiki tātad ir darbojos satups mikrotik SXT LTE6 un HIKVISION KAMERA kas darbojas no Priekšapmaksas kartes BEZ DDNS vai STATISKĀS IP Tas viss darbojas ar IKEv2 tuneli kam pa virsu ir EOIP. Jautājums kā izveidot NAT lai varētu piekļūt HIKVISION kamerai ar jau iedotu STATISKO IP (Man ir vairākas ip no ISP) tobiš ideja tāda kad ejot uz Statisko ip piemeram 85.255.X.X tu caur tuneli pa taisno tiec pie ip kameras. PARASTAIS NAT nedarbojas Ja kādam intresē viss setups darbojas ļoti stabili un nav kolhoza variants :D:D Link to comment Share on other sites More sharing options...
rubb Jūnijs 22, 2021 Share Jūnijs 22, 2021 Rūterī jāveido porta forwards. Ārējo portu, pie kura arī slēdzies no ārpuses, liec kādu gribi(saprāta robežās), forwardē to uz portu , pa kādu pie kameras slēdzies no iekšienes. Neticu, ka port forwards nedarbosies. Ja domā VPN... tad rūterī liec VPN servisu, pie kura arī slēdzies. Jebkurā gadījumā paliek aktuāls jautājums par to kā identificēt ārējo IP, kura var dinamiski mainīties. Tādiem mērķiem parasti izmanto DynDNS, https://www.noip.com/ vai līdzīgus servisus. Link to comment Share on other sites More sharing options...
MR_Sample Jūnijs 22, 2021 Author Share Jūnijs 22, 2021 (labots) 26 minutes ago, rubb said: Rūterī jāveido porta forwards. Ārējo portu, pie kura arī slēdzies no ārpuses, liec kādu gribi(saprāta robežās), forwardē to uz portu , pa kādu pie kameras slēdzies no iekšienes. Neticu, ka port forwards nedarbosies. Ja domā VPN... tad rūterī liec VPN servisu, pie kura arī slēdzies. Jebkurā gadījumā paliek aktuāls jautājums par to kā identificēt ārējo IP, kura var dinamiski mainīties. Tādiem mērķiem parasti izmanto DynDNS, https://www.noip.com/ vai līdzīgus servisus. 🤦♂️ Paldies par atbildi bet laikam neiedziļinājies jautājumā runā par ko visam citu! Labots Jūnijs 22, 2021 - MR_Sample Link to comment Share on other sites More sharing options...
hero Jūnijs 22, 2021 Share Jūnijs 22, 2021 Pēc būtības tā arī dara. 'Hub' pusē, kur ir statiskā ip taisa portu forwardu un inside adresi norādi kameras IP, kas ir EOIP tuneļa 'spoke' galā. Klasiskajā IPSEC variantā tieši tā tas arī strādā - galvenais tāpat tuneli pacelt, routingu uztaisīt un firewall rulles sadefinēt. done. Kāpē NAT nearbojas? - eoip ierobežojums? Ja ierobežojums, tad kāpēc vajag taisīt EOIP? kamera ar kaut ko sazinās caur L2 uz 'hub'? Ja eoip nav obligāta prasība - pārmet to uz klasiskāku tuneli. Ja jāpaliek pie eoip, tad alternatīva ir taisīt Remote vpn savienojumu (ovpn piemēram) uz centrālo (hub) mikrotiku un tad jau konektēties uz iekšējo kameras IP bez NAT translācijas. Link to comment Share on other sites More sharing options...
VebKamera Janvāris 15 Share Janvāris 15 (labots) Baigi negribējās cept jaunu tēmu. Bet varbūt pat būtu jātaisa atsevišķa tēma ar MT konfigurācijas lietām. Klau, MT guru - kā vienkāršākajā bet korektākajā veidā taisīt MT hairpin, ja tas hairpin vajadzīgs uz daudziem nestandarta portiem (ne tikai uz slaveno 80-to). Es te esmu vairākus klasiskos variantus mēģinājis, man kaut kā nestrādā pareizi, ja grib lai no iekšējā tīkla aiziet uz https://domēns.com tieši 1235 portu. Kas, protams, ir tajā pašā iekšējā tīklā. Varbūt sintaksi kāc var uzrakstīt? Nu piemēram, klienc ir 192.168.1.x, bet https://domēns.com serveris sēž uz 192.168.1.10 un cītīgi klausās uz 1235 portu Labots Janvāris 15 - VebKamera Link to comment Share on other sites More sharing options...
Vilx Janvāris 15 Share Janvāris 15 Pat tuvu neesmu guru, bet man plex serveris, kas sēž uz iekšējās adreses, rakstot servera nosaukumu un portu, strādā šādi: /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.20 protocol=tcp dst-address=!192.168.88.0/24 dst-address-type=local dst-port=32400 comment="Hairpin to Plex" /ip firewall nat add chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-port=32400 comment="Local to Local Plex" Link to comment Share on other sites More sharing options...
uldise Janvāris 15 Share Janvāris 15 vienam portam tas strādā, biedrs prasija kā var uzreiz vairākiem portiem. es pats šādi esmu taisijis pavienam portam tikai. Link to comment Share on other sites More sharing options...
Vilx Janvāris 15 Share Janvāris 15 Cik daudziem? Find/replace, un pasto tik komandrindā iekšā. Ja simtiem, tad protams nav aršana. Link to comment Share on other sites More sharing options...
VebKamera Janvāris 16 Share Janvāris 16 Izskatās līdzīgi, kā jau iepriekš taisīju, bet patestēšu kā darbojas un padošu ziņu. Thnx. Link to comment Share on other sites More sharing options...
HIGH-Zen Janvāris 16 Share Janvāris 16 pirms 16 stundām , VebKamera teica: Baigi negribējās cept jaunu tēmu. Bet varbūt pat būtu jātaisa atsevišķa tēma Kas tev pirksti nokaltīs, ja izveidosi jaunu tēmu? Atkal viens kabinātājs sačakarē random tēmu. Link to comment Share on other sites More sharing options...
Luckystrike Janvāris 16 Share Janvāris 16 kas tieši tiek sačakarēts? 😇 Link to comment Share on other sites More sharing options...
HIGH-Zen Janvāris 16 Share Janvāris 16 22.06.2021. , 11:07, MR_Sample teica: Jautājums kā izveidot NAT lai varētu piekļūt HIKVISION kamerai ar jau iedotu STATISKO IP Tāds bija jautājums. Un attiecīgas atbildes. Tagad jāpārtin visas atbildes, lai saprastu, ka kāds pēc 2 gadiem ir piekabinājis tēmai savu jautājumu un atbildes ir atkal nākošajam jautājumam. 1 Link to comment Share on other sites More sharing options...
VebKamera Janvāris 16 Share Janvāris 16 1 stundu atpakaļ, HIGH-Zen teica: Atkal viens kabinātājs sačakarē random tēmu. 😘💗🥰 Link to comment Share on other sites More sharing options...
VebKamera Janvāris 16 Share Janvāris 16 Starp citu, stilīgi - ielīdu ka savā MT. Sen nebiju līdis. Burtiski izmisīgi kāds centies ielīst no krievijas Un nav man tāds jūzeris "admin" aktīvs Link to comment Share on other sites More sharing options...
AndrisBB Janvāris 16 Share Janvāris 16 Maz jau ticams ka tur kāds maunuāli mēģina ielīst. Kautkādi boti skanē visas IP addreses pēc kārtas un testē uz vienkāršākajām kļūdām, varbūt kāds atstājis defaulto passwordu. 4 Link to comment Share on other sites More sharing options...
VebKamera Janvāris 16 Share Janvāris 16 uzrādās kā winbox? Link to comment Share on other sites More sharing options...
uldise Janvāris 16 Share Janvāris 16 nu tikko tu atstāj Winbox uz āru vaļā, uzreiz viņu mēģina atlauzt. pareizi jau biedrs saka, ka to manuāli neviens nedara, bet skanē visu cauri. Link to comment Share on other sites More sharing options...
AndrisBB Janvāris 16 Share Janvāris 16 Pirms 9 minūtēm , uldise teica: nu tikko tu atstāj Winbox uz āru vaļā, uzreiz viņu mēģina atlauzt. Un diezgan liela iespēja ka arī atradīs kādu 'caurumu'. (ja atstāj pieeju 'uz āru') Link to comment Share on other sites More sharing options...
maize Janvāris 16 Share Janvāris 16 Vienīgais par ko jāsatraucas, ka tas vispār ir iespējams - no ārpuses visu ir jābloķē. Pieslēdzot pasaulei "tīru" IP, kura gadiem nav bijusi nevienam, roboti ir klāt pēc pāris minūtēm - nebeidzami un automātiski skenē visas IP. Mikrotikam, diemžēl, ir bijušas vairākas nopietnas ievainojamības, kas tika un, joprojām, tiek izmantotas, lai pārņemtu iekārtu un izmantotu dažādām vajadzībām. Link to comment Share on other sites More sharing options...
AndrisBB Janvāris 16 Share Janvāris 16 Nu ja IP ir nonākusi 'redzeslokā', kautkāda informācija ievākta, kas pa devaisu pieslēgts, kādi servisi eksistē utt, tad jau tiks tiks padota tālāk 'specializētākiem' botiem, kur maz ticams kāda aktivitāte tiks manīta log failos. Link to comment Share on other sites More sharing options...
maize Janvāris 16 Share Janvāris 16 Bez variantiem, tur viss ir atstrādāts, tas ir reāls bizness. 1 Link to comment Share on other sites More sharing options...
pauls Janvāris 16 Share Janvāris 16 17 hours ago, uldise said: vienam portam tas strādā, biedrs prasija kā var uzreiz vairākiem portiem. es pats šādi esmu taisijis pavienam portam tikai. Ja porti ir sekvenciāli, vari norādīt arī portu diapazonu. T.i. dst-port=32400-33400 Link to comment Share on other sites More sharing options...
uldise Janvāris 16 Share Janvāris 16 un arī source portam tas tā strādā? Link to comment Share on other sites More sharing options...
VebKamera Janvāris 16 Share Janvāris 16 pirms 3 stundām , maize teica: Bez variantiem, tur viss ir atstrādāts, tas ir reāls bizness. Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas? Link to comment Share on other sites More sharing options...
Boņs Janvāris 16 Share Janvāris 16 Uzliec port knocking un lieta darīta. Link to comment Share on other sites More sharing options...
Net Janvāris 16 Share Janvāris 16 Var teorijā blaclistot, bet kā pieredze rāda, tad vislabāk ir izmantot konfigurāciju, kurā ''viss ir aizliegts'' un atļauts ir tikai tas, ko tu pats atļauj. Respektīvi, pēdējā rule- drop=all. Winbox protams nav ieteicams ''spīdināt'' uz ārpasauli. Ja izmanto vpn, tad arī var izveidot address-listus , no kuriem ir iespējama pieslēgšanās un tad tavi ''log'' logi būs tīri un bez sarkaniem ierakstiem. Link to comment Share on other sites More sharing options...
maize Janvāris 16 Share Janvāris 16 (labots) Pirms 38 minūtēm , VebKamera teica: Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas? Vienīgais drošais risinājums ir liegt jebkādu piekļuvi no ārpuses. Ja pašam ir vajadzība attālināti pieslēgties - tunelis vai @Boņs minētā klauvēšanās. "Viņu" ir daudz un, ja pārņem jaunu iekārtu var turpināt skenēt no tās un tā tālāk pa ķēdi. Tīri intereses nolūkos viens dzelzis taisa 7 dienu blacklistu, tur, piemēram, SSH ir 2k+ IP, "tava" interesanta IP gan tur neredzu Un blacklisti nekādā veidā nepalīdzēs pret ievainojamībām kurām nav nepieciešams veikt ielogošanos, vai portu skenēšanu. + nekas neliedz portu skenēšanu vai ielogošanos veikt ilgā laika periodā, pāris failed login, blaklistā neliek un pienāk nākamajā dienā, kad atkārto to pašu Labots Janvāris 16 - maize Link to comment Share on other sites More sharing options...
Net Janvāris 16 Share Janvāris 16 Pirms 3 minūtēm , maize teica: Tīri intereses nolūkos viens dzelzis taisa 7 dienu blacklistu kā tu tik lietu listi dabū gatavu? Tava IP ir trāpījusi kādā ''divainā vietnē? Link to comment Share on other sites More sharing options...
AndrisBB Janvāris 16 Share Janvāris 16 Pirms 59 minūtēm , VebKamera teica: Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas? Kapēc tu domā ka bots ir vispār no RU? Varbūt vienkārši kautkāds VPN servers pa vidam. Varbūt ķīnieši tevi tur grib uzhakot un rītdien IP būs no Portugāles. Link to comment Share on other sites More sharing options...
AlCohol Janvāris 16 Share Janvāris 16 ja pašam no ārpuses nekas nav nepieciešams, var vispār no wan visu aizliegt. tā, parasti, tiek darīts ar parastu front end useru mikrotikiem, lai nav jālauza galva ar apdeitiem. Link to comment Share on other sites More sharing options...
mafijs Janvāris 16 Share Janvāris 16 pirms 9 stundām , VebKamera teica: Burtiski izmisīgi kāds centies ielīst no krievijas Vajag izveidot adresu listi ar "atļautajām IP' , parasti LV adreses vajadzīgās, un frewall uz input winbox portam to iekabināt. viss. nekādas kreisās adreses netraucē. Link to comment Share on other sites More sharing options...
Stepselis Janvāris 16 Share Janvāris 16 pirms 1 stundas , mafijs teica: izveidot adresu listi ar "atļautajām IP'..... viss. nekādas kreisās adreses netraucē. Ir jau tā izdarīts, bet bombordē tāpat. Link to comment Share on other sites More sharing options...
Net Janvāris 16 Share Janvāris 16 1) aiztaisam ciet visus neizmantojamos portus 2) nespīdinam to 8291 uz ārpasauli 3) ja tik ļoti vajag piekļūt pie winbox, izmantojam ipsec vpn, wiregurd..... 4) ja vēl kāds bombī no ārpuses, tas nozīme ka ir biku kļūda firewall filtrācijā un nav tomēr aizvērts viss, ko vajadzētu aizvērt Link to comment Share on other sites More sharing options...
mafijs Janvāris 16 Share Janvāris 16 Pirms 15 minūtēm , Stepselis teica: Ir jau tā izdarīts, bet bombordē tāpat. Nezinu gan, man klusums, pie tam vismaz piecās vietās tā uzlikts un klusums. Link to comment Share on other sites More sharing options...
AndrisBB Janvāris 16 Share Janvāris 16 Pirms 1 minūtes , mafijs teica: Nezinu gan, man klusums, pie tam vismaz piecās vietās tā uzlikts un klusums. Kāds IP? Link to comment Share on other sites More sharing options...
mafijs Janvāris 16 Share Janvāris 16 LMT , Tet, Bite. Link to comment Share on other sites More sharing options...
Stepselis Janvāris 16 Share Janvāris 16 Pirms 3 minūtēm , mafijs teica: vismaz piecās vietās tā uzlikts un klusums. Man vismaz divreiz vairāk, bet tikai vienā vietā čamda. Link to comment Share on other sites More sharing options...
mafijs Janvāris 16 Share Janvāris 16 Varbūt tur kaut kās no iekšpuses dzivojas kāds zvērudārzs ? Un izsauc "uguni uz sevi" , tā nevarētu būt? Nekas jau nenāk prātā cits, Konfgi gan jau identiski, iespēju robežās. Link to comment Share on other sites More sharing options...
uldise Janvāris 16 Share Janvāris 16 Pirms 22 minūtēm , mafijs teica: LMT , Tet, Bite. un visiem šiem ir ārējās IP adreses, lai kāds tur varētu tikt vispār ? Link to comment Share on other sites More sharing options...
maize Janvāris 16 Share Janvāris 16 @Stepselis tev gadījumā netiek logots viss, tai skaitā jebkurš mēģinājums izveidot konekciju? Bez firewall export grūti ko vairāk iekomentēt. Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!