جلوگیری از دسترسی به دوربین های مداربسته در میکروتیک
سلام ، خسته نباشید . بنده یه شبکه داخلی دارم با 50 عدد دوربین تحت شبکه و یک سرور دوربین مداربسته با آی پی 192.168.1.200
و 5 عدد کلاینت با آی پی های 192.168.1.201 -202-203-204-205 دوربین ها با فیبر نوری به سوئیچ وصل هستند. همه به یک سوییچ وصل هستند.الان یه میکروتیک 493 دارم میخواهم کلاینتها رو مدیریت کنم که به یه سری آی پی ها دسترسی نداشته باشن.ممنون میشوم راهنمایی نمایید.متشکرم
43 پاسخ
منظورتون رو از محدود و مجزا متوجه نمیشم
چه چیزی رو میخواین محدود کنید
چه چیزیز رو میخواین برای اونها مجزا کنید
نه دوربینها داخل شبکه هستن و سرور خودش هم از داخل شبکه دوربین ها رو دریافت میکنه.
منم همینطور فکر میکنم
اگه کاربر آی پی یا مک آدرس رو عوض کنه قطعا این روش جوابگو نیست.
باز فردا یه تست میگیرمو مزاحمت میشم برادر
خیلی ممنون از راهنمایی های منطقی شما
متشکرم
دوست عزیز برای لینک دادن باید از گزینه لینک در بالای همون مستطیلی که داخلش تایپ میکنیدباید استفاده کنید .لینک شما الان کار نمیکنه
اما این موردی که شما میفرمائید پورت فورواردینگ است و برای ارتباط بیرونی و اینترنتی است و برای ارتباط لوکال شما نیست
دوست عزیز اینکه میگم فشار میاره به واسطه تجربه ای است که دارم
آخه دلیلی هم برای این که شما اون ترافیک رو از میکروتیک عبور بدین ندارن ...
از تنظیمات میکروتیک عکس بزارین تا بررسی کنم که ایراد از کجاست
ممنون از جوابتون.
ولی بنده باز سر در نیاوردم.
الان چطوری روتر رو به سوئیچ وصل کنم؟
و چطوری کلاینت ها رو از دسترسی به تعدادی آی پی محدود کنم؟
سلام و عرض ادب دوباره.
یکی از دوستان راهکار دیگه ای به شرح زیر داد:
تمام دوربین ها و سرور و کلاینت رو به سوئیچ وصل کرد.
بعد میکروتیک رو به سوئیچ وصل کرد از طریق اینترفیس شماره یک.
بعد روتر رو دیفالت گیت وی قرار داد.
بعد آی پی روتر رو گیت وی تمام دوربین ها و سرور قرار داد.
البته زیاد یاد نداد.
کاری کرد تو قسمت آرپ سیستم هارو ثبت کرد به صورت داینامیک.
البته نمیدونم چیکار کرد کلاینت ها بطور خودکار آی پی میگرفتن!!!!
اگه امکان داره این روش رو برام شرح دهید.
یعنی لطف بزرگی می کنید راهنماییم می کنید.
متشکرم
اگر اینجوریه
شما همه دوربینها و سرورها رو بزارین روی همون سوئیچ باشه و بعد میکروتیک رو با یک کابل وصل کنید به سوئیچ و بعد کلاینتها رو هم تک تک با کابل وصل کنید به میکروتیک
بعد روی میکروتیک تمام پورتهایی که کلاینتها به اونها وصل هستند رو با هم بریج کنید و یک در nat یک masquerade بنویسین که src .address فقط ip سرور باشه
دوست عزیز این کار شما باعث شده که فشار زیادی روی میکروتیک بیاد تمامی تصاویر شما داره از روی میکروتیک رد میشه و 2بار هم رد میشه و این فشار زیادی رو داره به رم و cpu میکروتیک میاره و دلیلی هم نداره که سرور و دوربینها رو در دو شبکه جدا بگذارین
چرا سرور رو مستقیم به همون سوئیج وصل نمیکنید؟
از کلاینت ping سرور رو دارین؟
فایروال سرور رو خاموش کنید
از تنظیماتی که روی میکروتیک انجام دادین عکس بزارین
شرمنده بابت لینک
زمانی که سرور رو هم رنج میکنم و به سوئیچ وصل میکنم نیز دوباره کلاینتها با میکروتیک وصل نمیشه.
متاسفانه الان خونه هستم ولی تنظیمات به شرح زیر هستش:
فقط آی پی دادم به پورت ها:
ether1 :
address=132.22.101.1/24
network=132.22.101.0/24
interface=ether1
ether2 :
address=161.31.102.1/24
network=161.31.102.0/24
interface=ether2
ether3 :
address=161.31.103.1/24
network=161.31.103.0/24
interface=ether3
پورت یک به سوئیچ وصله
پورت دو به سرور(161.31.102.2)وصله
پورت سه کلاینت(161.31.103.2)وصله
دوست عزیز من نمیدونم این بنده خدا چکار کرد اما این روش چند تا مشکل داره
یکی اینکه اگر ip رو دستی تنظیم کنند شبکه به هم میریزه
دوم اینکه کلاینتها درسته دسترسی به نرم افزارشون مدیریت میشه اما کلاینتها به صورت تکی تکی به دوربینها دسترسی خواهند داشت
از تنظیمات میکروتیکی که انجام شده عکس بزارین شاید بشه بهتر راهنمایی کرد. اما روش استانداردی نیست و میشه با دستکاری دوربینتها رو با کلاینتهای دیگه دید
پورت 2 میکروتیک رو 192.168.102.1 و کلاینت رو 192.168.102.2 و دیفالت کلاینت رو 192.168.102.1 انجام دادم.
پورت 1 میکروتیک رو هم هم رنج سویچ کردم 192.168.1.1
حال کلاینت 192.168.102.2 چطوری میخواد به سرور(192.168.1.201) وصل بشه؟
آیا باز تنظیمات خواصی نیاز هست؟
شما با تفکیک ip میتونید راحت محدودیت بزارید
برای گتوی هم میتونید ip interface روتر رو براشون معرفی کنید
شما باید مودم رو به یکی از پورتهای میکروتیک وصل کنید و سوئیچ شبکه رو هم با کابل به یک پورت دیگه از میکروتیک وصل کنید
یعنی اینترنت از یکی از پورتها وارد میکروتیک میشه و بعد با تنظیماتی که در روتر میکروتیک انجام میشه ، اینترنت در اختیار کاربران قرار میگیره
ببخشید که نقاشیم خوب نیست
بعد از اینکه اینجوری وصل کردین حالا نرم افزار winbox رو دانلود و اجرا کنید و وارد روتر بشین و از قسمت دوم آموزش به بعد رو برین جلو
اگر باز هم متوجه نشدین . دقیقا بفرمائید کدوم قسمت رو متوجه نمیشین تا بیشتر توضیح بدم
کلاینتها از طریق نرم افزار از سرور تصویر میگیرند.
ما فقط نمیخواهیم کلاینتها به سایر آی پی های داخل شبکه دسترسی داشته باشند.همین
ممنون میشم راهنمایی نمایید
متشکرم
ببخشید الان اداره تعطیل شده و امکان ارسال تصویر نیست.
نه اصلا دیگه کلاینتها امکان دسترسی ندارند چون تعریف میشه چه سیستمی با چه آی پی و مک آدرسی میتونه به شبکه وصل بشه.
برای دوربین ها و سرور گیت وی تعریف شده و هرکی به شبکه وصل بشه یا باید هم رنج بشه و تو روتر تعریف بشه یا از قبل از روتر به صورت خودکار آی پی دریافت کرده باشه.
خیلی پیچیدس من واقعا قاطی کردم خودم
از تنظیماتی که در میکروتیک انجام دادین عکس بزارین
از کلاینتها ping سرور رو دارین؟
آیا امکان دارد سرور هم به میکروتیک وصل کنم و سرور آی پی های دوربین ها رو از پورت یک دریافت کنه؟
یه تنظیماتی هم داخل آرپ انجام داد
دوست عزیز از میکروتیک بیشتر برای مدیریت اینترنت استفاده میشه. مثلا برای اینکه برای یوزرها تعیین کنید که چقدر اینترنت در روز مصرف کنند یا چقدر پهنای باند اینترنت رو اشغال کنند . من بهمین خاطر فکر کردم شما میخواین برای اینترنت استفاده کنید
اما ظاهرا شما میخواین از روتینگ میکروتیک استفاده کنید
دوست عزیز شما باید میکروتیک رو جوری در شبکه قرار بدین که اگر قراره دیتایی از شبکه عبور کنه ، از میکروتیک عبور کنه
یعنی کابل های شبکه دستگاهها به میکروتیک وصل بشه
و توی میکروتیک با تعریف یک سری قوانین بتونید اون کاری که میخواین انجام بدین
میشه دقیقا بفرمائید منظورتون از مدیریت کاربران چیه؟ و خواسته شما از میکروتیک چیه؟ ریز و با جزئیات بفرمائید
بله درسته ببخشید
فردا nat رو هم تست می کنم
خیلی ممنون
شما منظورتون اینه که میخواین یک کلاینت به یک سری دوربین دسترسی داشته باشه و یک کلاینت به یک سری دوربین دیگه ؟
این ها که پیش نیازهاست
روتها و nat هایی که نوشتین رو میخوام بدونم
دوست عزیز اینجوری که شما نوشتین نمیشه
بارها و بارها دوستان همین کار رو کردن و نوشتن و مشکل حل نشده اما وقتی عکس گذاشتم من دیدم اون چیزی که نوشتن با اون عکسی که گذاشتن هم خوانی نداشته و دقیقا هم مشکل همون بوده
شما هم هر وقت دسترسی داشتین لطفا عکس از همه تنظیماتی که انجام دادین بزارین
الان دوباره کانفیگ قبلی که شما گفتید رو انجام دادم.
کل شبکه رو پیوست کردم.
الان تنها مشکل بنده عدم اتصال نرم افزاری کلاینت به نرم افزار سرور هستش(مایلستون)
پینگ داره سرور ولی وصل نمیشه!!
البته وقتی هر دو رو مستقیم به سوئیچ وصل میکنم وصل میشه ولی از طریق میکروتیک وصل نمیشه!!
ممنون میشم راهنمایی نمایید
با این عکسی که کشیدین خیلی بهتر شد . این نقشه شبکه شما است؟
اگر این نقشه شبکه شما است . تمامی خواسته هاتون رو بفرمائید تا بگم شبکه رو چطور تغییر بدین و چه تنظیماتی انجام بدین که به خواستهایتون برسین
تا الان فقط فرمودین نمیخواین کلاینتها به دوربینها دسترسی داشته باشن ... دیگه چه خواسته ای دارین؟
من توی یکی از جوابهای بالا عرض کردم که چطور باید nat رو بنویسین
خب دوست عزیز دلیلی نداره که کار رو اینقدر پیچیده کنید و خودتون هم ندونید چی به چی است
روشی که خدمت شما عرض کردم خیلی رو راست و استاندار است و به راحتی هم قابل انجام است
دوست عزیز در روشی که شما فرمودین اگر یوزر به صورت دستی ip بده میتونه به دوربینهای دیگه دسترسی داشته باشه ، من مطمئن هستم
دوست عزیز شما فرمودین که دوربینها همه به سرور وصل هستند و توسط یک نرم افزار کلاینتها به سرور دسترسی دارن
پس برای اینکه شما بعضی از دوربینها رو به یک کلاینت و بعضی رو به کلاینت دیگه بدین ، روش استاندارد اینه که با همون نرم افزار این کار رو انجام میدن
یعنی توی نرم افزار دوتا یوزر تعریف میکنند و برای هر یوزر مشخص میکنند که تصویر کدوم دوربین ها رو داشته باشه
سلام
دوست عزیز لایسنس روتر شما لول 5 است و مشکلی برای مدیریت نخواهید داشت
میتونید از آموزش 5 قسمتی زیر استفاده کنید و اگر مشکلی بود من در خدمتم
با سلام و عرض ادب
پیوست موجود است.
کلاینتها از سرور تصویر میگیرند.
و نباید به آی پی دوربین ها دسترسی داشته باشند.
1-چطوری میکروتیک رو به سوئیچ وصل کنم؟
2-آی پی سرور رو چی بدم؟
3-آی پی کلاینتها رو چی بدم؟
4-آی پی میکروتیک رو چی بدم؟
5-دسترسی رو چطوری تعیین کنم؟
خیلی ممنون از راهنمایی شما.
پورت مایلستون 7563 هستش
سلام بر شما روست عزیز
با اجازه رسول جان
شما تمام دوربین ها و سروری که نرم افزار روش نصب هست رو به یه سوییچ متصل کن و یه رنج ip بده بهشون مثل الان که گذاشتید 192.168.1.0/24 حالا حالا از این سوییچ که کابل بگیرید و بدید به یکی از اینترفیس های میکروتیک و ip در همون رنج به اینترفیس بدید.
حالا مابقیه کلاینت هایی که دارید و ip از رنج مختلف مثل 192.168.100.0/24 بدید.
حالا شما روی روتر میتونید دسترسی بنویسد که کلاینت ها با این ip فقط به Ip سرور دسترسی داشته باشن و بقیه رو دراپ کنید
حالا اگر خواستید اینترنت و وصل کنید به روتر و یا بقیه محدودیت ها راحت هستید
نه
میخواهیم تک تک کلاینها مدیریت بشه.
یعنی محدود مجزا برای هر کلاینت
ببینید شما یه روت مینویسید که این ipهایی که میخواید همدیگرو ببینند
حالا در فایرووال یه رول دیگه مینویسید که 192.168.102.2 فقط 192.168.1.201 رو ببینه و بقیه drop شن
برین تویfirewall و بعد قسمت nat و + رو بزنید و توی صفحه ای که باز میشه
chain=srcnat
src.address= ip server
action=masquerade
با این رول میتونید سرور رو داشته باشین
http://forum.milestonesys.com/yafpostst425XProtect-Corp-3-1.aspx
با ف شکن
من دیگه هیچ تنظیمی انجام ندادم
فقط تعریف آی پی
سلام آقا رسول عزیز
خیلی ممنون از باسخ شما
میکروتیک از سخت افزار بالایی برخورداره و اتفاقا از وقتی از سوئیچ جدا شده ، سرور تصاویر رو راحتتر دریافت میکنه.
از کلاینت پینگ داره.
فایروال تمام سیستم ها خاموشه.
- تو سایت خود مایلستون کمی توضیح داده به شرح زیر:
Chances are you need to visit the "Network" tab for your recording server(s) in Management Client.
So in the navigation tree on the left, choose "Recording Servers", then select a Recording Server on the right, and choose the "Network" tab.
You should be able to enable public access of the Recording Server from here, and enter the public IP address (112.78.88.xx) and port (7563). Then add to your Mikrotik router/firewall:
dstnat = 112.78.88.xx port 7563 dst address 10.15.110.99 port 7563
Also, since you mention vlans, if you want to view the system from a computer on a vlan that IS NOT directly connected to the management server or recording server, but that vlan IS routable without NAT, you should add the IP range of that vlan in the "Local IP ranges" dialogue.
This all seems a little odd until you understand the reason behind it. Since the Smart ClientRemote Client ONLY know the address of the Management Server (since that's the IPport you logged in to), the Management Server must tell the client the address(s) of the recording server(s). So the Management Server must first know whether you are a "local" user or a "remote" user. The only way the Management Server can determine this is to look at the source address of your connection. If your IP address looks local then the Management Server will give you the LAN IP(s) of your recording server(s). However, if your IP is not within the range of any interface configured on the management server (or listed in local IP ranges), then you MUST be a remote user and you'll get the WAN IP.
اینکه گفته dstnat رو متوجه نمیشم
باسلام دوباره
ممنون بابت جوابتون.
بنده اصلا با اینترنت کاری ندارم.
شبکه بنده داخلی هستش.
بنده یه سوئیچ دارم که همه کلاینتها و سرور و دوربین ها به آی وصل هستند.
یک عدد روتر 493 میکروتیک هم دارم.
1-چطوری میکروتیک رو به سوئیچ وصل کنم؟
2-چطوری برای هر کاربر دسترسی تعدادی آی پی رو تعریف کنم و کاربران رو مدیریت کنم؟
ممنونم از راهنمای شما
babakh233 خیلی ممنونم از پاسخ جامع.
از شما هم خیلی ممنونم رسول جان.
1-بنده میخواهم یه سری آی پی برای کلاینت یک محدود بشه و یه سری به کلاینت دو.
2-دیفالت گیت وی رو در کلاینتها و پورت های میکروتیک چی بزارم؟
خیلی ممنون و متشکرم از دوستان خوبم
با سلام دوباره و عرض ادب خدمت دوستان عزیزم.
بنده همه کارها رو انجام دادم.
الان کلاینتها به میکروتیک وصل هستن با آی پی های مجزا.
مشکل:
کلاینتها به نرم افزار سرور وصل نمیشن!!
ولی وقتی کلاینت رو به سوئیچ وصل میکنم و هم رنج میشن به نرم افزار سرور وصل میشه!!!!
نرم افزار مایلستون هستش.
سلام و عرض ادب و صبح بخیر
بله همون طور که شما گفتید روش بالا درست نیست.
بنده آی پی کلاینت رو عوض کردم و بهش گیت وی ندادم و دوربین هارو آورد.
دوست عزیز ببنید اینجوری بار زیادی روی میکروتیک میندازین و ممکنه اذیتتون کنه بهترین کار اینه که شبکه رو به صورت زیر وصل کنید و در نرم افزاری که دارین روی سرور دسترسی بدین تا یوزرها هم از اون نرم افزار بتونن به دوربینها دسترسی داشته باشین و یوزرها و کلاینتها به دوربینها دسترسی مستقیم نداشته باشن
ضمنا لازم نیست چیزی رو در روتها drop کنید .چون وقتی در اون رول nat شما ، فقط ip سرور رو وارد کنید ، دیگه کلاینتها به ip دیگه ای دسترسی نخواهند داشت
اول DHCP SERVER راه اندازی کرد
بعد یه فیلتر رول نوشت