MikroTik'te Kamera ve NVR İçin Port Açma (Güvenli Yöntemiyle)
MikroTik üzerinden kamera kayıt cihazına (NVR/DVR) uzaktan erişim: dst-nat ile port açma örnekleri, hangi portlar, IP Cloud ile DDNS, hairpin NAT ve kamerayı internete açmanın riskleri. Doğru çözüm olan VPN dahil.
Erdem Özyurt
Kısa cevap: NVR/DVR’a uzaktan erişimin üç yolu var ve en çok bilineni (port açma) en riskli olanı. Bu yazıda dst-nat ile port açmayı doğru ve kısıtlı biçimde kurmayı gösteriyorum; ama önce hangi durumda hangi yolun seçileceğini netleştirelim, çünkü kalıcı kurulumda benim önerim port açmak değil.
Senaryo: NVR iç ağda 192.168.10.200, MikroTik WAN’da dinamik IP.
Üç yol: hangisi ne zaman?
| Yol | Artı | Eksi | Kime uygun |
|---|---|---|---|
| Üretici P2P/bulut (Hik-Connect vb.) | Kurulum yok, NAT derdi yok | Erişim üçüncü taraf buluta emanet; servis kapanırsa/yavaşlarsa çaresizsiniz | Tek kamera, hızlı çözüm isteyen ev kullanıcısı |
| Port açma (dst-nat) | Doğrudan, hızlı | İnternete açık yüzey; taranır, denenir | Kaynak IP’si sabit ofisten bağlanan ve kısıt uygulayabilenler |
| VPN (WireGuard) | Hiçbir port internete açılmaz; tüm ağa güvenli erişim | Telefona/bilgisayara istemci kurulumu ister | Kalıcı ve doğru kurulum isteyen herkes; benim önerim |
Kameranızı internete açmanın riski teorik değil: internete açık NVR arayüzleri botlarca 7/24 taranıyor; zayıf şifreli ve firmware’i eski cihazlar dakikalar içinde deneniyor. Bu taramayı kendi gözlemlerimle honeypot yazımda anlatmıştım. VPN kurulumu 20 dakikanızı alır: MikroTik WireGuard rehberi hazır. Yine de port açmanız gerekiyorsa aşağıdaki gibi kısıtlı açın.
dst-nat ile port açma (kısıtlı ve doğru biçim)
Örnek: Dahua NVR (TCP 37777) ve RTSP (TCP 554). Önce bağlanacağınız yerlerin IP’lerini bir address-list’e koyun (sabit IP’li ofis, ev vb.):
/ip firewall address-list add list=kamera-izinli address=203.0.113.10 comment="ofis"
/ip firewall address-list add list=kamera-izinli address=198.51.100.0/24 comment="sube blogu"
Sonra dst-nat, yalnız bu listeden gelenlere:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=37777 \
src-address-list=kamera-izinli in-interface-list=WAN \
action=dst-nat to-addresses=192.168.10.200 comment="NVR erisim"
/ip firewall nat add chain=dstnat protocol=tcp dst-port=554 \
src-address-list=kamera-izinli in-interface-list=WAN \
action=dst-nat to-addresses=192.168.10.200 comment="NVR RTSP"
src-address-list satırı bu kurulumun sigortasıdır: dünya değil, yalnız sizin listelediğiniz adresler kapıyı görür. Her yerden bağlanmam gerekiyor diyorsanız bu zaten VPN’in tarifidir; listeyi silmek yerine WireGuard kurun.
İki tamamlayıcı ayrıntı:
- Web arayüzünü (80/443) internete hiç açmayın. İzleme istemcileri 37777/8000 gibi SDK portlarıyla çalışır; en çok istismar edilen yüzey web arayüzüdür.
- NVR’ın kendi şifresi güçlü ve firmware’i güncel olsun. dst-nat kuralı sizi cihazın kendi zafiyetinden korumaz.
Dinamik IP: IP Cloud ile DDNS
Sabit IP’niz yoksa MikroTik’in yerleşik DDNS’i işi çözer:
/ip cloud set ddns-enabled=yes
/ip cloud print
Çıktıdaki dns-name (örn. 1234567890ab.sn.mynetname.net) her IP değişiminde güncel kalır; izleme istemcisine IP yerine bu adı yazın.
İç ağdan dış adresle erişim: hairpin
Telefondaki izleme uygulaması dışarıdayken çalışıp ofis WiFi’ına gelince bağlanmıyorsa hairpin NAT eksiktir: LAN’dan kendi WAN adresinize dönen trafik ek bir masquerade ister. Mekanizmanın tamamını (ve genel dst-nat mantığını) port yönlendirme rehberimde adım adım anlattım; kamera senaryosuna aynen uygulanır.
Doğrulama
- Listedeki bir adresten bağlantı testi: izleme istemcisi +
/log printeşliğinde. - Liste dışından test (telefonun mobil verisi): bağlantı kurulamamalı; kurallar
print statsile sayaç artışı göstermeli. - RTSP kontrolü: VLC ile
rtsp://kullanici:sifre@ddns-adresi:554/...akışı.
Çok kameralı, çok lokasyonlu bir kurulumda (fabrika, şube ağı) kamera VLAN’ı, kayıt bant genişliği ve erişim mimarisini birlikte tasarlamak gerekir; bunun için MikroTik destek hizmetime ulaşabilirsiniz.
Sıkça Sorulan Sorular
Kamera sistemi için hangi portlar açılır?
Markaya göre değişir: yaygın örnekler Hikvision 8000 (SDK) + 554 (RTSP), Dahua 37777, çoğu NVR'ın web arayüzü 80/443. Cihazınızın dokümantasyonundaki gerçek port listesine bakın ve yalnız gerçekten gerekeni açın; web arayüzünü internete açmaktan özellikle kaçının.
NVR'a uzaktan erişim için port açmak şart mı?
Hayır ve çoğu durumda en iyi seçenek de değil. Üç yol var: üreticinin P2P/bulut servisi (kolay ama üçüncü tarafa emanet), port açma (riskli, en azından kaynak IP kısıtıyla) ve VPN (en güvenlisi). Kalıcı kurulumda önerim WireGuard üzerinden erişimdir; hiçbir kamera portu internete açılmaz.
Sabit IP'm yok, port açsam bile adresi nasıl bulacağım?
MikroTik'in ücretsiz IP Cloud servisi cihaza sn.mynetname.net biçiminde bir DDNS adı verir: /ip cloud set ddns-enabled=yes ile açılır. Dinamik IP her değiştiğinde bu ad güncel kalır; NVR istemcisine IP yerine bu adı yazarsınız.
İç ağdayken dış adresle bağlanınca neden çalışmıyor?
Hairpin NAT eksiktir: LAN'dan kendi WAN adresinize dönen trafik için ek bir masquerade kuralı gerekir. dst-nat kuralınıza ek olarak, kaynağı LAN olan ve hedefi NVR'a çevrilen trafiği masquerade eden bir srcnat kuralı ekleyin; ayrıntısı port yönlendirme rehberimde var.
Kamera portunu internete açmak gerçekten riskli mi?
Evet, teorik değil pratik bir risk: internete açık kamera/NVR arayüzleri botlar tarafından sürekli taranır, zayıf şifre ve eski firmware'li cihazlar botnet'lere katılır. Honeypot verilerimde bu taramaları her gün görüyorum. Açacaksanız kaynak IP kısıtı ve güçlü şifre asgari şart; doğrusu VPN'dir.
Yazan: Erdem Özyurt
Bilişim Danışmanı · ISP Altyapı · Siber Güvenlik
Kablo döşemekten kod yazmaya, ağ tasarımından web geliştirmeye; Layer 1'den Layer 7'ye bütünlük içinde çalışıyorum.
Hakkımda daha fazla →