Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 10592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access Camera DVR behind ASG220

FrankDi Pasquale
Greetings: Our company network is behind an ASG220  V7. I have been delving into the configuration panels and need a little help navigating to a solution:

We have a security camera dvr in place at with a fixed ip of (10.1.1.33). I currently access the DVR using VPN and all is fine. Now, I need to configure for a more public access allowing for some outside sales activities. 

Need to allow access from  multiple dynamic outside ips directly to the DVR  using ie6 browser that uses an active X  program to view the various cameras. I assume that means access through tcp port 80. Once the browser connects to the DVR a username/password window appears. Afterwards there appears to be traffic on port 34567. 

I would much appreciate any advice on a way to accomplish this (and some configuration guidance) while still maintaining  a decent firewall.  

Thanks in advance


This thread was automatically locked due to age.
  • 0
    Hi, you'd need a DNAT for port 80 on the EXT interface, changing the destination to the camera, and firewall rules to allow the http traffic to the camera.

    If you're worried the camera isn't secure enough, you can use a dynamic DNS service on the sales computers, and put the DNS name in a network definition, and use it in the firewall rule.

    Barry
  • 0
    Not versed in terminology yet so I am most likely in error below: a bit confused on source and destination. I tried creating definitions 
     first but they are not available when configuring so then I have to recreate which gets confusing. Thanks for your patience

    ok here is what I have so far:

    Dnat rule: 

    Source: Any
    Service: stg 3 dvr remote   (1:65535-80)
    Destination: stg 3 dvr dest  (10.1.1.33/32)
    NAT mode: DNAT
    Destination: Stg 3 dvr  (10.1.1.33)
    Destination Service:
    Automatic
    packet filter rule: x
     

    P/F:
     
    Group:
    Position: 8
    Source:   remote users  (60.60.48.82/32) 
    Service: any
    Destination: stg 3 dvr remote  (10.1.1.33/32)

    Action: allow
    Time Event: always
  • 0
    Hi, the first destination needs to be your External address.
    You could use the HTTP service definition, instead of creating a new definition, btw.

    Barry
  • 0 in reply to BarryG
    Thanks for the response - i'm almost there . . . I can now access the login screen on DVR but I get a message " can't find the device". I believe that there may be traffic to  port 34567 of the DVR being hindered. 

    Do I need another dnat / pf for the port access if so what are the correct source / service / destination parameters?
  • 0
    Hi, fdgmt, and welcome to the User BB!

    Since you selected 'Automatic packet filter rule', you don't need the additional PF rule.

    Like Barry said, your NAT rule should look like:

    Source: Internet {you could use "Any", but I like to make it clear that I'm dealing with external requests}
    Service: HTTP
    Destination: External (Address) {or an Additional Address especially for your DVR}

    NAT mode: DNAT

    Destination: Stg 3 dvr (10.1.1.33)
    Destination Service: {you are correct to leave this blank when not changing the item}
    Automatic
    packet filter rule: x



    Cheers - Bob
  • 0 in reply to BAlfson
    I have the dnat specified as suggested but it appears that port 34567 being denied in the default rule which is the dvr's assigned port .Can anyone decipher this log to determine the problem?


    10:08:34  Default DROP  TCP 
    68.125.32.84  :  2244
    → 
    64.60.48.82  :  34567

    [SYN]  len=52  ttl=51  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:08:37  Default DROP  TCP 
    68.125.32.84  :  2244
    → 
    64.60.48.82  :  34567

    [SYN]  len=52  ttl=51  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:08:44  Default DROP  TCP 
    68.125.32.84  :  2245
    → 
    64.60.48.82  :  34567

    [SYN]  len=52  ttl=51  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:08:47  Default DROP  TCP 
    68.125.32.84  :  2245
    → 
    64.60.48.82  :  34567

    [SYN]  len=52  ttl=51  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:09:17  Default DROP  TCP 
    68.125.32.84  :  2246
    → 
    64.60.48.82  :  34567

    [SYN]  len=52  ttl=51  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:09:20  Default DROP  TCP 
    66.82.28.74  :  3094
    → 
    64.60.48.82  :  445

    [SYN]  len=48  ttl=114  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed

    10:09:23  Default DROP  TCP 
    66.82.28.74  :  3094
    → 
    64.60.48.82  :  445

    [SYN]  len=48  ttl=114  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:10:f3:0f:f6:ed
  • 0
    Hi, if
    68.125.32.84 is the remote laptop
    and
    64.60.48.82 is the firewall

    then, yes, you should also create a service definition, dnat, and packetfilter rule for port 34567

    The cameras I have used all work over port 80 or 443 but I guess this one is different.

    Barry
  • 0 in reply to FrankDi Pasquale
    Thanks so much for the assistance - I am now up and running albeit not very pretty definitions folder. I must be missing something in V7.40. Is  by design that a definition is unable to be reused?  Everytime I made a change to the dnat or p/f I had to recreate the service with a new unique name? I could not use an existing service or network.
  • 0
    You can open the definitions list from the DNAT page, and drag definitions into the DNAT settings.
    Same for PacketFilter.

    Barry
  • 0
    Thanks,  now I need a little conceptual overview:
    If I have multiple DVR's with fixed ip's behind the ASG 220 v7 how can I configure my access to be able to choose the desired DVR/ip address ? At the moment all traffic is directed to one specific device at 10.1.1.33.