İçeriğe geç
Sahadan
TeknikBaşlangıç9 dk okuma

MikroTik'te Kamera ve NVR İçin Port Açma (Güvenli Yöntemiyle)

MikroTik üzerinden kamera kayıt cihazına (NVR/DVR) uzaktan erişim: dst-nat ile port açma örnekleri, hangi portlar, IP Cloud ile DDNS, hairpin NAT ve kamerayı internete açmanın riskleri. Doğru çözüm olan VPN dahil.

Erdem Özyurt

Kısa cevap: NVR/DVR’a uzaktan erişimin üç yolu var ve en çok bilineni (port açma) en riskli olanı. Bu yazıda dst-nat ile port açmayı doğru ve kısıtlı biçimde kurmayı gösteriyorum; ama önce hangi durumda hangi yolun seçileceğini netleştirelim, çünkü kalıcı kurulumda benim önerim port açmak değil.

Senaryo: NVR iç ağda 192.168.10.200, MikroTik WAN’da dinamik IP.

Üç yol: hangisi ne zaman?

Yol Artı Eksi Kime uygun
Üretici P2P/bulut (Hik-Connect vb.) Kurulum yok, NAT derdi yok Erişim üçüncü taraf buluta emanet; servis kapanırsa/yavaşlarsa çaresizsiniz Tek kamera, hızlı çözüm isteyen ev kullanıcısı
Port açma (dst-nat) Doğrudan, hızlı İnternete açık yüzey; taranır, denenir Kaynak IP’si sabit ofisten bağlanan ve kısıt uygulayabilenler
VPN (WireGuard) Hiçbir port internete açılmaz; tüm ağa güvenli erişim Telefona/bilgisayara istemci kurulumu ister Kalıcı ve doğru kurulum isteyen herkes; benim önerim

Kameranızı internete açmanın riski teorik değil: internete açık NVR arayüzleri botlarca 7/24 taranıyor; zayıf şifreli ve firmware’i eski cihazlar dakikalar içinde deneniyor. Bu taramayı kendi gözlemlerimle honeypot yazımda anlatmıştım. VPN kurulumu 20 dakikanızı alır: MikroTik WireGuard rehberi hazır. Yine de port açmanız gerekiyorsa aşağıdaki gibi kısıtlı açın.

dst-nat ile port açma (kısıtlı ve doğru biçim)

Örnek: Dahua NVR (TCP 37777) ve RTSP (TCP 554). Önce bağlanacağınız yerlerin IP’lerini bir address-list’e koyun (sabit IP’li ofis, ev vb.):

/ip firewall address-list add list=kamera-izinli address=203.0.113.10 comment="ofis"
/ip firewall address-list add list=kamera-izinli address=198.51.100.0/24 comment="sube blogu"

Sonra dst-nat, yalnız bu listeden gelenlere:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=37777 \
  src-address-list=kamera-izinli in-interface-list=WAN \
  action=dst-nat to-addresses=192.168.10.200 comment="NVR erisim"
/ip firewall nat add chain=dstnat protocol=tcp dst-port=554 \
  src-address-list=kamera-izinli in-interface-list=WAN \
  action=dst-nat to-addresses=192.168.10.200 comment="NVR RTSP"

src-address-list satırı bu kurulumun sigortasıdır: dünya değil, yalnız sizin listelediğiniz adresler kapıyı görür. Her yerden bağlanmam gerekiyor diyorsanız bu zaten VPN’in tarifidir; listeyi silmek yerine WireGuard kurun.

İki tamamlayıcı ayrıntı:

  • Web arayüzünü (80/443) internete hiç açmayın. İzleme istemcileri 37777/8000 gibi SDK portlarıyla çalışır; en çok istismar edilen yüzey web arayüzüdür.
  • NVR’ın kendi şifresi güçlü ve firmware’i güncel olsun. dst-nat kuralı sizi cihazın kendi zafiyetinden korumaz.

Dinamik IP: IP Cloud ile DDNS

Sabit IP’niz yoksa MikroTik’in yerleşik DDNS’i işi çözer:

/ip cloud set ddns-enabled=yes
/ip cloud print

Çıktıdaki dns-name (örn. 1234567890ab.sn.mynetname.net) her IP değişiminde güncel kalır; izleme istemcisine IP yerine bu adı yazın.

İç ağdan dış adresle erişim: hairpin

Telefondaki izleme uygulaması dışarıdayken çalışıp ofis WiFi’ına gelince bağlanmıyorsa hairpin NAT eksiktir: LAN’dan kendi WAN adresinize dönen trafik ek bir masquerade ister. Mekanizmanın tamamını (ve genel dst-nat mantığını) port yönlendirme rehberimde adım adım anlattım; kamera senaryosuna aynen uygulanır.

Doğrulama

  1. Listedeki bir adresten bağlantı testi: izleme istemcisi + /log print eşliğinde.
  2. Liste dışından test (telefonun mobil verisi): bağlantı kurulamamalı; kurallar print stats ile sayaç artışı göstermeli.
  3. RTSP kontrolü: VLC ile rtsp://kullanici:sifre@ddns-adresi:554/... akışı.

Çok kameralı, çok lokasyonlu bir kurulumda (fabrika, şube ağı) kamera VLAN’ı, kayıt bant genişliği ve erişim mimarisini birlikte tasarlamak gerekir; bunun için MikroTik destek hizmetime ulaşabilirsiniz.

#mikrotik#routeros#port-acma#kamera#nvr#dvr#dst-nat#guvenlik
Paylaş:𝕏 TwitterLinkedIn

Sıkça Sorulan Sorular

Kamera sistemi için hangi portlar açılır?

Markaya göre değişir: yaygın örnekler Hikvision 8000 (SDK) + 554 (RTSP), Dahua 37777, çoğu NVR'ın web arayüzü 80/443. Cihazınızın dokümantasyonundaki gerçek port listesine bakın ve yalnız gerçekten gerekeni açın; web arayüzünü internete açmaktan özellikle kaçının.

NVR'a uzaktan erişim için port açmak şart mı?

Hayır ve çoğu durumda en iyi seçenek de değil. Üç yol var: üreticinin P2P/bulut servisi (kolay ama üçüncü tarafa emanet), port açma (riskli, en azından kaynak IP kısıtıyla) ve VPN (en güvenlisi). Kalıcı kurulumda önerim WireGuard üzerinden erişimdir; hiçbir kamera portu internete açılmaz.

Sabit IP'm yok, port açsam bile adresi nasıl bulacağım?

MikroTik'in ücretsiz IP Cloud servisi cihaza sn.mynetname.net biçiminde bir DDNS adı verir: /ip cloud set ddns-enabled=yes ile açılır. Dinamik IP her değiştiğinde bu ad güncel kalır; NVR istemcisine IP yerine bu adı yazarsınız.

İç ağdayken dış adresle bağlanınca neden çalışmıyor?

Hairpin NAT eksiktir: LAN'dan kendi WAN adresinize dönen trafik için ek bir masquerade kuralı gerekir. dst-nat kuralınıza ek olarak, kaynağı LAN olan ve hedefi NVR'a çevrilen trafiği masquerade eden bir srcnat kuralı ekleyin; ayrıntısı port yönlendirme rehberimde var.

Kamera portunu internete açmak gerçekten riskli mi?

Evet, teorik değil pratik bir risk: internete açık kamera/NVR arayüzleri botlar tarafından sürekli taranır, zayıf şifre ve eski firmware'li cihazlar botnet'lere katılır. Honeypot verilerimde bu taramaları her gün görüyorum. Açacaksanız kaynak IP kısıtı ve güçlü şifre asgari şart; doğrusu VPN'dir.

Yazan: Erdem Özyurt

Bilişim Danışmanı · ISP Altyapı · Siber Güvenlik

Kablo döşemekten kod yazmaya, ağ tasarımından web geliştirmeye; Layer 1'den Layer 7'ye bütünlük içinde çalışıyorum.

Hakkımda daha fazla →