Привязываем статический IP адрес к роутеру MikroTik на RouterOS

Авторизация по протоколу L2TP

Обладатели камер, видеорегистратора или сервера в локальной сети, заинтересованы в качественном удаленном доступе к ним. А для этого лучше всего привязать статический IP адрес к роутеру и настроить проброс портов.

Услышали незнакомые термины и захотелось вызвать программиста на дом? В этом нет необходимости. Наша Инструкция написана «человеческим» языком такими же пользователями Сервиса как и Вы. Дочитав ее до конца, Вы убедитесь - процедура настройки удаленного доступа проста, и если немного разобраться, то все легко настроить самостоятельно.

Для Вашего удобства Инструкция интерактивная и поделена на шаги, а слева расположено меню для быстрой навигации. В первом шаге проверим оборудование, во втором привяжем IP, а в третьем настроим доступ. В заключении сделаем Контроль соединения, чтобы все работало стабильно. Инструкция покажет все необходимые сведения для настройки, после активации одного из тарифов в Личном кабинете и перехода по ссылке из данных Устройства.

Не будем терять времени, приступим!

Шаг 1. Готовимся к настройке

Зайдите с помощью Winbox в роутер, указав Логин и Пароль администратора. Как правило, локальный ip-адрес роутера MikroTik 192.168.1.1

New Terminal
New Terminal

Во избежание различных ошибок, обновите программное обеспечение роутера, который будете привязывать к статическому IP адресу. Перейдите по ссылке на сайт производителя, чтобы сравнить с версией прошивки установленной в роутере. Чтобы узнать текущую версию прошивки, в главном меню роутера запустите "New Terminal".

Убедитесь что видеокамера, видеорегистратор или сервер работают и открываются в локальной сети по ip-адресу с указанием порта. Адрес можно узнать через веб-интерфейс роутера в разделе «Список устройств».

Например, адрес в браузере может выглядеть так http://192.168.1.1:80/, где:

  • http:// - протокол,
  • 192.168.1.1 - локальный ip-адрес,
  • 80 - порт, указан через : двоеточие.

В приложениях для видеонаблюдения обычно есть отдельное поле для ввода порта и двоеточие не пишется.

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Шаг 2. Авторизуем ID (доступно-после-активации-тарифа)

Авторизация - это успешная привязка роутера MikroTik к статическому IP адресу 185.195.xxx.xxx после создания и включения в нем L2TP-клиента (один из протоколов передачи данных). Все необходимые сведения, включая Логин и Пароль, есть в табличке Настройки L2TP-клиента.

Add Interface
Add Interface

Обратите внимание: L2TP-клиент из раздела VPN и L2TP-подключение из раздела WAN в роутерах это не одно и то же. Не помешает ознакомиться здесь с нашими рекомендациями и минимальными требованиями к оборудованию.

По истечении 10 минут после того, как был создан L2TP-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства. Видите надпись «Подключено»? Отлично, теперь можно переходить к следующему «Шагу 3. Проброс портов».

Если же в течение 15 минут подключение не произошло, то стоит обратиться к списку Частых ошибок авторизации. Они находятся ниже блока Настройки L2TP-клиента в этом Шаге.

172.17.1.x и 172.17.1.xxx - это ip-адреса для настройки L2TP-клиента и они не используются для удаленного доступа.

Данные, написанные СИНИМ ЦВЕТОМ, полностью выделяются и копируются в буфер обмена по клику. Вам остается лишь вставить их в соответствующие поля :-)

Настройки L2TP-клиента

В левом меню роутера нажмите "PPP", откройте вкладку "Interface" и нажмите кнопку "Add" со знаком плюса, затем "L2TP Client".

ПараметрЗначение
Вкладка "General"
NameBiREVIA ID (доступно-после-активации-тарифа)
Вкладка "Dial Out"
Connect To185.195.xxx.xxx
User(доступно-после-активации-тарифа)
Password(доступно-после-активации-тарифа)
Profiledefault-encryption
Dial on DemandNo
Add Default RouteNo
Allowmschap2
Пример настройки L2TP-клиента

Частые ошибки авторизации

Что-то пошло не так? Не отчаивайтесь! Нажмите на ошибку и узнаете ее решение:

  1. После авторизации пропал доступ к интернету

    Это случилось, потому что через наш IP адрес заблокирован выход в интернет (подробнее). В настройках L2TP-клиента уберите галку с параметра Add Default Route. Выключите и включите подключение в роутере.

  2. Выбран неправильный протокол
    Проверьте на вкладке "Interface" значение в колонке Type у созданного подключения. Должно быть L2TP Client. Если это не так, удалите подключение и создайте L2TP-клиент заново. Все получится!
  3. В журнале ("Log" в левом меню роутера) мелькает строчка с буквами LCP или CCP
    Это значит, что существует какая-то проблема с пропуском L2TP-трафика со стороны оператора, через модем или вышестоящий роутер. Решить ее можно такими способами:
    • Несколько раз отключите и включите питание модема;
    • Включите Пропуск L2TP-трафика в настройках вышестоящего роутера или модема;
    • В левом меню перейдите в раздел "IP" - "Firewall" - закладка "Filter Rules" и очистите ее, затем перезагрузите роутер;
    • Удалите созданный L2TP-клиент. В Личном кабинете выберите другой Протокол, откройте заново или обновите Инструкцию по авторизации. Проделайте все шаги сначала.
    • Выключите L2TP-клиент. Выберите другую Локацию в Личном кабинете, откройте заново или обновите Инструкцию по авторизации. Замените в L2TP-клиенте все изменившиеся данные, включите его. Либо удалите его и проделайте все шаги сначала.
  4. Проверьте профиль default-encryption.
    Перейдите в левом меню роутера "PPP" - закладка "Profiles" и на закладке "General" удалите значение в поле Remote Address. Остальные поля также должны быть пустыми.
  5. Ошибка в User, Password или Connect To
    Внимательно копируйте все данные из таблички Настройки L2TP-клиента. В примере пароль виден в поле не полностью, но по нажатию выделяется и копируется целиком.
  6. Самая распространенная ошибка
    Вы не расставили все галочки как в примере или в раскрывающихся списках активны другие параметры.
  7. Не подключается
    Почти всегда решение такое же, как и у третьей ошибки. Дерзайте!
  8. Все работало и перестало
    Сделайте Контроль соединения, про который написано в самом низу страницы. Полный порядок диагностики ищите тут.

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Шаг 3. Настраиваем проброс портов (NAT)

А теперь плавно переходим к созданию правил проброса портов. Они необходимы для удаленного доступа к вашему оборудованию из внешней сети. И для того, чтобы роутер знал, с какого порта статического IP адреса на какой локальный ip-адрес и порт девайса ему перенаправлять запрос. К примеру:

Подключение к 185.195.xxx.xxx:10000 перенаправить на 192.168.1.10:80

Вместо статического IP адреса 185.195.xxx.xxx можно использовать домен (доступно-после-активации-тарифа) и номера портов от 10000 до 10099 из диапазона ID (доступно-после-активации-тарифа).

После списка Частых ошибок, связанных с пробросом портов, приведено три примера правил для удаленного доступа. Чтобы убедиться в верной настройке подключения, создайте Правило для роутера.

В левом меню роутера перейдите в раздел "IP" - "Firewall" - закладка "NAT" и нажмите кнопку "Add", чтобы добавить правило проброса порта.

Статический маршрут

Статический маршрут - это обратный путь для роутера или ПК, по которому надо вернуть данные пользователю. Перейдите в левом меню роутера "IP" - "Routes", нажмите кнопку "Add" и на закладке "General" укажите эти данные:

ПараметрЗначение
Dst.Address172.17.1.x
Gateway (Interface)L2TP (BiREVIA ID (доступно-после-активации-тарифа))

Проверка статуса порта

После добавления правила проброса порта в роутере, введите в поле ниже его номер. Проверка покажет, отвечает ли ваше оборудование (программное обеспечение) на указанном порту статического IP адреса.

Частые ошибки проброса портов

Добавили правила, но доступа нет? Ничего страшного - выберите ошибку и узнаете ее решение:

  1. Правило выключено
    Включите правило, выделив его и нажав кнопку с синей галочкой.
  2. Блокировка трафика в "Firewall"
    В левом меню роутера перейдите в раздел "IP" - "Firewall" - закладка "Filter Rules" и очистите ее, затем перезагрузите роутер.
  3. Проверили в правиле In. Interface и остальные параметры?
    В параметре In. Interface должно быть выбрано название созданного ранее L2TP-клиента. В остальных параметрах (кроме ip и порта) выберите значения как в примерах ниже.
  4. В правиле указан ошибочный ip-адрес назначения (девайса)
    Как бы очевидно это ни звучало - исправьте на корректный в параметре To Addresses.
  5. Неправильный Шлюз (GATEWAY)
    В настройках Сети (Network) оборудования в поле Шлюз (GATEWAY) должен быть указан локальный ip-адрес роутера, который вы авторизовали в Шаге 2. После исправления перезагрузите оборудование.
  6. Не добавили статический маршрут
    Создайте статический маршрут, как написано в примере. Выключите L2TP-клиента в роутере перед внесением изменений.
  7. Порт назначения заблокирован сетевым экраном
    Отключите Фаервол и Брандмауэр. Перезагрузите компьютер (роутер) и убедитесь, что они действительно не работают. Иногда потребуется отключить еще и Службу Брандмауэра.
  8. Порт открыт, но видео в приложении или браузере не загружается

Правило для веб-интерфейса видеорегистратора или камеры

Создадим правило проброса порта, чтобы веб-интерфейс камеры или видеорегистратора (доступный в локальной сети, к примеру, по адресу http://192.168.1.10), можно было открыть удаленно по адресу http://(доступно-после-активации-тарифа):10000.

ПараметрЗначение
Вкладка "General"
Chaindstnat
Protocol6 (tcp)
Dst. Port10000
In. InterfaceBiREVIA ID (доступно-после-активации-тарифа)
Вкладка "Action"
Actionnetmap
To Addresses192.168.1.10
To Ports80
Пример правила проброса порта для веб-интерфейса видеорегистратора или камеры

В большинстве случаев видеопоток берется с другого порта, поэтому веб-интерфейс показывается без видео. Регистратор может даже выдавать ошибки, не позволяя войти в интерфейс. В таком случае создайте дополнительное правило для видеопотока – проброс с ЗАМЕНОЙ порта.

Правило для удаленного просмотра видеопотока

Как следует из названия, правило необходимо, чтобы просматривать видео в приложении или окне браузера. В зависимости от способа просмотра видеопотока, нужно создать одно из двух правил: ПРОСТОЙ проброс или проброс с ЗАМЕНОЙ порта. Последний используется когда в приложении не предусмотрена возможность ручного ввода порта. Это несложная процедура, убедитесь сами:

Покажем, как сделать проброс порта 10001 на Медиа порт камеры или видеорегистратора для просмотра видео в программах вроде CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.д. Такой порт может называться по-разному: Порт сервера, TCP, UDP, Data порт, RTP, RTSP и т.п., но точно не HTTP (80). Ведь это порт веб-интерфейса. Иногда потребуется делать правило проброса на каждый отдельный порт из раздела Сеть/Порты девайса. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.

В примере использован локальный порт 34567 видеорегистратора, а у вас он может быть другим: 554, 5000, 9000 и т.д.

ПараметрЗначение
Вкладка "General"
Chaindstnat
Protocol6 (tcp)
Dst. Port10001
In. InterfaceBiREVIA ID (доступно-после-активации-тарифа)
Вкладка "Action"
Actionnetmap
To Addresses192.168.1.10
To Ports34567
Пример правила проброса порта для удаленного просмотра видеопотока видеорегистратора или камеры

Сохранив правило в роутере, после успешной Проверки статуса порта создайте в приложении для видеонаблюдения новое устройство, используя данные:

  • Domain: (доступно-после-активации-тарифа)
  • IP: 185.195.xxx.xxx
  • Port: 10001
  • User Name: Имя пользователя видеорегистратора
  • Password: Пароль пользователя видеорегистратора

Некоторым девайсам ПРОСТОГО проброса порта будет недостаточно. Приложения, подключающиеся через HTTP порт (SuperLivePro и др.), а также ряд моделей Dahua, RVI потребуют обязательно заменить в видеорегистраторе порт видеопотока (как при просмотре через браузер). Вкладка «проброс с ЗАМЕНОЙ порта» поможет.

Программное обеспечение камер и видеорегистраторов обычно использует надстройку ActiveX для просмотра видео в браузере. Она поддерживается только в Internet Explorer. В EDGE и других браузерах ActiveX нет!

Чтобы ActiveX начал воспроизводить видео в браузере или запустилось приложение, которому мало ПРОСТОГО проброса порта, откройте настройки Сети/Портов девайса. Замените Медиа порт на 10001 и создайте правило как внизу. Такой порт может называться иначе: Порт сервера, TCP, Data порт, RTP, RTSP, UDP и т.п., но только не HTTP (80). Это порт веб-интерфейса.

Смысл проброса с ЗАМЕНОЙ порта состоит в том, что порт 10001 внешнего адреса 185.195.xxx.xxx будет ссылаться на порт с таким же номером локального адреса видеорегистратора. С остальными портами, кроме HTTP (80), нужно проделать то же самое. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.

После замены портов перезагрузите видеорегистратор!

ПараметрЗначение
Вкладка "General"
Chaindstnat
Protocol6 (tcp)
Dst. Port10001
In. InterfaceBiREVIA ID (доступно-после-активации-тарифа)
Вкладка "Action"
Actionnetmap
To Addresses192.168.1.10
To Ports10001
Пример правила проброса порта для удаленного просмотра видеопотока видеорегистратора или камеры

Сохранив правила в роутере и проведя успешную Проверку статуса порта, можно смотреть видео в приложениях для видеонаблюдения: CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.п. Создайте новое устройство в приложении, используя учетные данные:

  • Domain: (доступно-после-активации-тарифа)
  • IP: 185.195.xxx.xxx
  • Port: 10001
  • User Name: Имя пользователя видеорегистратора
  • Password: Пароль пользователя видеорегистратора

Правило для удаленного доступа к роутеру

Рассмотрим пример правила проброса порта на любое локальное оборудование, в т.ч. сам роутер с адресом 192.168.1.1. После того, как веб-интерфейс роутера стал доступен по адресу http://(доступно-после-активации-тарифа):10002/, настройте Контроль соединения.

ПараметрЗначение
Вкладка "General"
Chaindstnat
Protocol6 (tcp)
Dst. Port10002
In. InterfaceBiREVIA ID (доступно-после-активации-тарифа)
Вкладка "Action"
Actionnetmap
To Addresses192.168.1.1
To Ports80
Пример правила проброса порта для удаленного доступа к роутеру MikroTik

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Контроль соединения

После настройки удаленного доступа к веб-интерфейсу роутера и успешной Проверки статуса порта, сделайте контроль соединения по локальному ip-адресу L2TP-клиента. Так роутер будет сам проверять свою авторизацию на статическом IP адресе.

В мобильных сетях такой контроль необходим, чтобы модем автоматически перезагружался по питанию в том случае, когда роутер станет недоступен на статическом IP адресе. Подробнее.

В левом меню роутера зайдите в раздел "Tools" - "Netwatch", нажмите кнопку "Add" и введите эти данные:

ПараметрЗначение
Вкладка "Host"
Host172.17.1.xxx
Interval00:05:00
Timeout1000
Вкладка "Down"
On down/system routerboard usb power-reset duration=15s

Если указать другой ip-адрес или задать периодичность проверки чаще чем раз в 5 минут, то модем будет перезагружаться постоянно.

Как видите, в привязке статического IP адреса к роутеру или ПК действительно нет ничего сложного. Эта процедура не требует специальных познаний, а с нашей универсальной Инструкцией выполнить ее сможет каждый. Более того, рассмотренные принципы настройки, хоть и с небольшими вариациями, применимы и к другому оборудованию :-)