TL;DR — за 60 секунд
Что делать. В админке роутера: Port Forwarding / NAT / Virtual Server → создать правило: External 554 → Internal IP камеры : 554, протокол TCP+UDP. Перед этим зафиксируйте IP камеры через DHCP reservation по MAC-адресу.
Что ломается у 70% пользователей в KZ. Провайдер даёт серый IP через CGNAT (Казахтелеком Dala-Internet, Beeline Home, Tele2, Kcell). Ваш проброс на роутере бесполезен — провайдер не пробрасывает трафик дальше своего шлюза. Решение: либо платить за статический IP (2 500-5 000 ₸/мес), либо использовать VPN-туннель (RTSP.KZ — 0 ₸).
- Перед пробросом: 3 обязательные проверки
- Инструкции для 6 популярных роутеров (TP-Link, Keenetic, Mikrotik, Huawei, ZTE, Zyxel)
- Как проверить что проброс работает
- Если не работает: CGNAT и как обойти без статического IP
- Реальный кейс: магазин в Караганде, Keenetic + Beeline
- Безопасность: чего ждать после публикации порта
- FAQ: 6 частых вопросов
Перед пробросом — 3 обязательные проверки
Проверка 1. IP у вас белый или CGNAT?
Откройте на компьютере ifconfig.me и запомните IP. Зайдите в админку роутера (обычно 192.168.0.1 или 192.168.1.1), найдите раздел Status или WAN — там должен быть такой же IP.
100.64.0.0/10, иногда провайдеры выдают 10.x.x.x или 172.16-31.x.x.Проверка 2. IP камеры статичный?
Если роутер выдаёт камере IP по DHCP, через 3-7 дней (срок lease) камера может получить другой адрес. Правило проброса «на 192.168.1.64:554» сломается когда камера получит 192.168.1.87.
Решение: в админке роутера найдите раздел DHCP → Address Reservation / Статические аренды → привяжите MAC-адрес камеры к фиксированному IP. MAC можно узнать из наклейки на камере или в списке клиентов роутера.
Проверка 3. RTSP работает в локалке?
Бессмысленно пробрасывать порт, если RTSP не работает даже из соседнего компьютера. Проверьте в VLC:
rtsp://admin:password@192.168.1.64:554/Streaming/Channels/101 # Hikvision rtsp://admin:password@192.168.1.108:554/cam/realmonitor?channel=1&subtype=0 # Dahua
Если VLC не открывает — читайте «RTSP не открывается: 11 причин», сначала почините локальную работу.
Пошаговая настройка для 6 популярных роутеров
Для всех роутеров: внешний порт (WAN) — лучше нестандартный 8554 или 10554 (чтобы скрыть от автоматических сканеров), внутренний порт (LAN) — всегда 554. IP камеры — её локальный адрес (192.168.x.x).
🔵 TP-Link (Archer, TL-WR8xx, Deco)
- Войдите: admin/admin (или тот что на наклейке)
- Advanced → NAT Forwarding → Virtual Servers → Add
- Service Type: Custom → Service Name: RTSP-cam
- External Port:
8554(или 554) · Internal Port:554 - Internal IP:
192.168.1.64(ваш IP камеры) - Protocol:
ALL(TCP + UDP) - Status: Enabled → Save
🟢 Keenetic (Giga, Hopper, Viva, Carrier)
- Интернет → Переадресация (иногда скрыто за «Параметры») → + Добавить правило
- Описание: RTSP камера
- Источник: Другое → Интернет
- Открыть порт TCP/UDP:
8554· Куда перенаправить IP: камеры · Порт:554 - Сохранить. Keenetic автоматически создаёт правило для TCP и UDP.
- Бонус Keenetic: в разделе «Управление → KeenDNS» можно получить бесплатный DDNS-домен
имя.keenetic.link— не нужно запоминать WAN IP.
🔴 Mikrotik (RouterOS 6.x / 7.x)
- Откройте terminal (в Winbox: New Terminal)
- Добавьте правило NAT:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8554 action=dst-nat \ to-addresses=192.168.88.10 to-ports=554 \ comment="RTSP-camera TCP" add chain=dstnat protocol=udp dst-port=8554 action=dst-nat \ to-addresses=192.168.88.10 to-ports=554 \ comment="RTSP-camera UDP"
Проверить: /ip firewall nat print — увидите два созданных правила.
🟠 Huawei HG8245 / HG8546 (от Казахтелеком)
- Forward Rules → Port Mapping Configuration → New
- Type:
User-defined - WAN Name: INTERNET_R_VID_xxx (обычно один)
- Protocol:
TCP/UDP - External Start Port / End Port:
8554/8554 - Internal Host:
192.168.100.5(IP камеры) - Internal Port:
554 - Enable: ✓ → Apply
telecomadmin (админ), а не user. Если login не подходит — звоните 1411, просите «полный пароль от роутера».🟣 ZTE (F660, F670L — обычно от Beeline/Tele2)
- Application → Port Forwarding
- Name: RTSP · WAN Connection:
omci_ipv4_pppoe_1(обычно один доступный) - Protocol:
TCP/UDP(если только TCP — добавьте второе правило для UDP) - WAN Start Port / End Port:
8554/8554 - LAN IP:
192.168.1.64· LAN Start Port:554 - Enable → Add
🟡 Zyxel (Keenetic Classic, NBG и модели для Beeline)
- Network → NAT → Port Forwarding → Add
- Service Name: RTSP-cam
- External Port:
8554· Server IP:192.168.1.64· Server Port:554 - Protocol:
TCP/UDP→ OK - Применить изменения, перезагрузка не требуется.
Как проверить что проброс работает
Первое правило. Проверять проброс с мобильного интернета, не через Wi-Fi. Ваш роутер не видит сам себя снаружи — это hairpin NAT, и даже если правильно настроено, телефон на том же Wi-Fi получит «connection refused» из-за этого. Отключите Wi-Fi на телефоне, подключитесь через 4G.
- Узнайте свой внешний IP. На компьютере:
curl https://ifconfig.me→ например,185.22.44.77. - Проверьте порт снаружи. Откройте portchecker.co → введите IP и порт 8554 → нажмите Check. Результат:
- Open — всё работает.
- Closed — порт закрыт, проверьте правило на роутере и Windows Firewall на камере / ПК.
- Timeout — провайдер блокирует порт или CGNAT.
- Откройте RTSP в VLC через внешний IP:
rtsp://admin:password@185.22.44.77:8554/Streaming/Channels/101. Если видео появилось — победа.
Если проброс не работает — 95% это CGNAT
CGNAT (Carrier-Grade NAT) — технология, при которой сотни или тысячи абонентов делят один публичный IP. Провайдеру это выгодно — экономит IPv4-адреса. Вам — нет: проброс порта на вашем роутере не виден из интернета, потому что между вашим роутером и миром стоит NAT провайдера.
Проверка: откройте ifconfig.me, сравните с WAN IP в роутере. Разные — CGNAT.
Кто в Казахстане даёт CGNAT:
| Провайдер | Физ. лица | Бизнес | Статический IP |
|---|---|---|---|
| Казахтелеком Dala-Internet | CGNAT | Белый IP | 2 500-4 000 ₸/мес |
| Казахтелеком iDNet | CGNAT | Белый IP | 2 500-4 000 ₸/мес |
| Beeline Home | CGNAT | Белый IP | 3 500 ₸/мес (отдельный тариф) |
| Beeline Бизнес | — | Белый IP по умолчанию | Включено |
| Tele2 мобильный | CGNAT | — | Не предоставляется |
| Kcell мобильный | CGNAT | — | Не предоставляется |
| iCON, iKS (Караганда) | Зависит от тарифа | Белый IP | 1 500-3 000 ₸/мес |
Обход CGNAT — 3 варианта
- Вариант 1. Статический IP у провайдера. 2 500-5 000 ₸/мес. Плюс — прямой проброс работает. Минус — платить каждый месяц.
- Вариант 2. VPN-туннель своими руками. Арендуйте VPS (Hetzner 4 EUR/мес, Timeweb 400 ₸/мес), поднимите WireGuard, камера подключается исходящим к VPS. Плюс — полный контроль. Минус — нужна Linux-экспертиза.
- Вариант 3. RTSP.KZ VPN-туннель. Готовый ретранслятор: камера через WireGuard к нашему серверу, HTTPS-ссылка наружу. Работает у всех провайдеров KZ. Стоимость — включено в базовый тариф. Подробнее: VPN для видеонаблюдения в KZ.
Магазин в Караганде: Keenetic + Beeline Home
Ситуация. Магазин детских товаров «Kids Land», Караганда, пр. Бухар-Жырау. 6 камер Hikvision DS-2CD2143G2-I в торговом зале, на кассе, на входе и складе. Цель: владелец хочет смотреть камеры с телефона, когда в отпуске. Интернет — Beeline Home тариф «Start 100». Роутер — Keenetic Giga (собственный, не от провайдера).
Что сделали сначала (неправильно). Проброс порта 554 на Keenetic, получили IP через ifconfig.me — 10.72.x.x. Это приватный диапазон, значит CGNAT. Извне ничего не работает.
Решение. Два варианта сравнили:
- Beeline статический IP: 3 500 ₸/мес × 12 = 42 000 ₸/год.
- RTSP.KZ STANDARD: 6 000 ₸/мес (до 5 камер включено, 6-я за доплату 300 ₸). × 12 = 73 200 ₸/год, но включает HLS-ретранслятор для браузера, автоматическое восстановление после разрывов, мониторинг uptime.
Результат. Работает. Владелец смотрит с iPhone через приложение Hik-Connect по DDNS kidsland.keenetic.link:8554. Для демонстрации клиентам на сайте магазина — HLS-ссылка от собственного MediaMTX, задержка 5 сек.
Безопасность после публикации RTSP-порта в интернет
Открыли порт 554/8554 → ваша камера видна миру. Через 10-60 минут её найдут боты-сканеры Shodan, Censys. Дальше — попытки перебрать пароль по словарю. Если у вас admin/12345 — через несколько часов камера в публичной базе insecam.org. Я не шучу — десятки тысяч камер из Казахстана там есть.
Минимальный чек-лист безопасности (делать до проброса):
- Смените пароль на сильный: 16+ символов, буквы, цифры, спецсимволы. Не используйте дату, имя, город.
- Обновите прошивку камеры (в 2025-2026 вышли патчи CVE для Hikvision/Dahua/Tiandy).
- Отключите неиспользуемые протоколы: HTTP (оставить HTTPS), SNMP, UPnP, Telnet, SSH. В Hikvision это Configuration → Network → Advanced → Integration Protocol.
- Используйте нестандартный внешний порт (8554, 10554, 33554) вместо дефолтного 554 — отсеивает 90% автоматических сканеров.
- Установите в веб-интерфейсе камеры Lock account after N failed logins — защита от brute-force.
- Настройте allow-list по IP если у вас статический IP на смартфоне или работе. В Keenetic это тот же Forward Rule + Источник → Конкретный IP.
Не хочется возиться с пробросом и безопасностью?
RTSP.KZ делает всё за вас. Камера подключается через WireGuard исходящим соединением — проброс и белый IP не нужны. HTTPS-ссылка наружу с защитой от DDoS. 1 час бесплатно.
Попробовать →FAQ — 6 частых вопросов
Откройте ifconfig.me на компьютере за роутером. Зайдите в админку роутера, посмотрите WAN IP. Если совпадают — белый. Если WAN IP из диапазонов 100.64.0.0/10, 10.0.0.0/8, 172.16-31.0.0/12 — это CGNAT. В Казахстане CGNAT почти всегда у Казахтелеком Dala-Internet, Beeline Home, Tele2, Kcell для физ. лиц.
Оба. RTSP-команды (DESCRIBE, SETUP, PLAY) идут по TCP на порт 554. Видеопоток через RTP идёт через UDP. Если RTSP в режиме interleaved (RTP over TCP), достаточно только TCP 554. Универсальный ответ — TCP+UDP.
Нет. Боты Shodan и Censys индексируют открытые камеры за минуты. С дефолтным паролем admin/12345 камера попадает в публичный каталог insecam.org за часы. Минимум: сменить пароль (16+ символов), обновить прошивку, использовать нестандартный внешний порт. Ещё лучше — VPN-туннель или готовый ретранслятор.
5 причин: (1) CGNAT у провайдера — проброс на вашем роутере не виден из интернета; (2) провайдер блокирует порт 554 (Казахтелеком часто); (3) Double NAT — роутер за роутером, нужны 2 проброса; (4) Windows Firewall на компьютере блокирует; (5) неправильный IP камеры (DHCP сменил адрес). Проверяйте с мобильного интернета (4G), не через Wi-Fi — тот же роутер не видит себя снаружи через hairpin NAT.
Казахтелеком Dala-Internet: 2 500-4 000 ₸/мес. Казахтелеком Бизнес: 5 000-8 000 ₸/мес. Beeline Home «Статический IP»: 3 500 ₸/мес. Beeline Бизнес: 5 000-10 000 ₸/мес (включено). Tele2 и Kcell для физ. лиц статический IP не дают — только бизнес. Альтернатива: VPN-туннель WireGuard (через RTSP.KZ — 0 ₸).
DDNS (No-IP, DynDNS, KeenDNS от Keenetic) — это домен, автоматически обновляющийся при смене IP. Но он не решает CGNAT: если провайдер даёт серый IP, никакой DDNS не поможет. DDNS нужен когда у вас белый, но динамический IP (меняется раз в сутки). Тогда вместо 185.x.x.x:554 используете camera.ddns.net:554.