Помощь по пробросу портов

[maxxx83]

Вообщем есть интернет,подключен к основному роутеру, ай пи 192.168.1.1 netis, к нему подключен другой роурер с с сетью 192.168.0.1 тплинк, и к этому роутеру подключен регистратор, как сделать проброс портов,если они в разных подсетях?

[awadima]

из первого роутера (где интернет) пробрасываешь всё на второй или включаешь DMZ
а на втором разгребаешь куда и что надо

[maxxx83]

с первого не могу пробросить, другая подсеть не дает, 1.1 а там 0.1
а с дмз не знал, поробую, если даст перебросить в другую подсеть
спасибо

[maxxx83]

не не даст, тоже самое...
Ошибка кода: 4903
IP-адрес не указан в одной подсети с LAN IP-адресом. Укажите другое значение.

[dimonster]

В нетисе настраиваешь проброс портов на тплинк, в тплинке настраиваешь проброс портов на регистратор.
Допустим, провайдер даёт тебе статический "белый" IP-адрес 173.14.25.89. Значит, твой нетис имеет на WAN-интерфейсе этот адрес, а на LAN-интерфейсе имеет адрес 192.168.1.1
Допустим, тплинк имеет адрес WAN-интерфейса 192.168.1.8 и адрес LAN-интерфейса 192.168.0.1
Допустим, регистратор имеет адрес 192.168.0.99 и подключен к тплинку.

Вот, значит, на нетисе настраиваешь проброс портов так, чтобы пакеты, приходящие из интернета на его WAN-интерфейс, перенаправлялись через LAN-интерфейс нетиса на WAN-адрес тплинка 192.168.1.8.
Не знаю, какая у тебя модель нетиса, но судя по картинкам всяких нетисов, жми в настройках "Переадресация" - "Виртуальный сервер".
Там создаёшь по очереди несколько правил:
1) Описание: "DVR web", IP-адрес: 192.168.1.8 (ну или какой там адрес у твоего тплинка со стороны нетиса), Протокол: TCP, Внешний порт: 80, внутренний порт: 80
2) Описание: "DVR rtsp", IP-адрес: 192.168.1.8 (адрес у твоего тплинка со стороны нетиса), Протокол: TCP, Внешний порт: 554, внутренний порт: 554
3) Описание: "DVR native", IP-адрес: 192.168.1.8 (адрес у твоего тплинка со стороны нетиса), Протокол: TCP, Внешний порт: 8000 (см. настройки регистратора), внутренний порт: 8000

Потом на тплинке настраиваешь проброс портов так, чтобы пакеты, приходящие на его WAN-интерфейс, перенаправлялись через LAN-интерфейс на адрес регистратора 192.168.0.99
Тоже жмёшь в настройках "Переадресация" - "Виртуальный сервер". создаёшь три правила аналогично.
1) Порт сервиса: 80, Внутренний порт: 80, IP-адрес: 192.168.0.99 (ну или какой там адрес у регистратора), Протокол: TCP, Состояние: включено
2) Порт сервиса: 554, Внутренний порт: 554, IP-адрес: 192.168.0.99 (адрес регистратора), Протокол: Все, Состояние: включено
2) Порт сервиса: 8000, Внутренний порт: 8000, IP-адрес: 192.168.0.99 (адрес регистратора), Протокол: TCP, Состояние: включено

DMZ лучше не включай. Это лишняя дырка в безопасности.

А ещё разберись, какие порты нужно пробрасывать и какой протокол - TCP или UDP нужно использовать.
Обычно пробрасывают порт 80 по протоколу TCP (для доступа к веб-админке), порт 554 (TCP+UDP для потокового видео в RTSP) и какой-то порт для связи по родному протоколу регистратора. Обычно поверх протокола TCP. По умолчанию 8000 для Hikvision, 37777 для Dahua, 34567 для XiongMai, 9000 для RaySharp и т. д. Но в настройках регистратора можно менять эти значения.
Вообще, с точки зрения безопасности, лучше не использовать стандартные номера портов. По крайней мере, для веб-админки и родного софта (CMS) регистратора. А то ведь любой мамкин хакер первым делом лезет сканировать именно стандартные порты.

И ещё: если уж выставляешь регистратор голым задом в интернет, то сначала обнови прошивку на нём. А то хакеры покусают через уязвимости в старых прошивках. В лучшем случае просто доступ к камерам получат и видео посмотрят, а в худшем - превратят твой рег в бота для DDOS.

[dimonster]

не не даст, тоже самое...
Ошибка кода: 4903
IP-адрес не указан в одной подсети с LAN IP-адресом. Укажите другое значение.

Это потому что пытаешься пробросить на внутренний адрес тп-линка, а надо на его внешний адрес пробрасывать.
Забыл, что ли, что у роутера два интерфейса: внешний WAN и внутренний LAN. И у этих интерфейсов разные адреса и подсети.

[maxxx83]

спасибо огромное за расписаную статью, это впринципе все знаю
Там очень друвний регик dahua?новых прошивок даавно уже нет...
немного наверное не понятно изъяснился...
есть белый айпи там 111.111.111.111, он приходит на роутер нетис, с внутренним айпи 192.168.1.1 в этот роутер в разъем лан, включен другой роутер, с сетью 192.168.0.1 и уже в этот роутер регистратор,
так вот, я не могу перебросить порти из сети 192.168.1.1 в сеть 192.168.0.1 ошибка что разные сети, дальше я разберусь

[maxxx83]

аа, точно на wan интерфейс)

[awadima]

с первого не могу пробросить, другая подсеть не дает, 1.1 а там 0.1
а с дмз не знал, поробую, если даст перебросить в другую подсеть
спасибо

у второго роутера, если он подключен правильно к первому
(или я не понимаю логики этого подключения)
должно быть 2 ip адреса - на ван порту от первого и своя сеть на других
вот с первого на адрес выданный второму роутеру и переадресуйте
а потом уже внутри второго разруливайте что и куда

[GenaSPB]

А собственно в чем смысл второго роутера? Может имеет смысл на нем отключить/исключить фаервол и DHCP?

[dimonster]

А собственно в чем смысл второго роутера? Может имеет смысл на нем отключить/исключить фаервол и DHCP?

Полагаю, нет в нём никакого смысла, кроме раздачи Wi-Fi и наличия Ethernet-портов. Просто в бытовых WiFi-роутерах по умолчанию включен режим "роутер с раздачей вайфай", вот его так и оставили.

А вообще, по хорошему, IP-видеонаблюдение должно работать по своей отдельной сети. Это подразумевает отдельные кабели, хотя бы до ближайшего "умного свитча", где IP-пакетики, относящиеся к видеонаблюдению, будут дальше бегать по своему VLAN до умного роутера. А роутер даёт доступ к подсети видеонаблюдения только правильным товарищам по "белому" списку.
И в открытый Интернет камерам и регистраторам ходу не должно быть, кроме как через VPN, чтобы зам. директора в отпуске мог с ноутбука на камеры взглянуть. Ну ладно, можно, наверное, дать доступ к NTP-серверу, чтобы время синхронизировать. И к резервному NAS в другом здании. Ну и хватит.

[maxxx83]

Благодарствую за подсказки, некоторое новое узнал
Смысл двух роутера,действительно покрыть большую территорию, и были просто подключены из lan v wan для дальнейшей раздачи по вай фай,можно было заморочится с безшовным роумингом,но роутеру старые, и так много времени потратил на это старье...
Сегодня все сделал,намучился конечно, пришлось несколько раз звонить провайдеру, айпишник белый присвоили, но что-то не прописали, порты все были закрыты.. потом интернет ещё радио,и скорость оставляет желать лучшего, да и регик с камерами ещё d1 разрешения, все настолько бюджетно,какие там отдельные сети и т.д.