В локальной сети по адресу 192.168.100.ххх стоит видео регистратор trassir. Необходимо просматривать видео с него через интернет.
Так же в сети есть роутер Cisco 887
Просматривать видео планируется через мобильного клиента.
А для этого на роутере надо пробросить порты 8080 и 555
Вроде бы нашел, как это сделать
Вот как выглядит команда
ip nat inside source static tcp 192.168.100.ххх 18х.1х.хх.1хх 8080 extendable
и то же самое для 555. Только порт меняется.
^{(первый адрес - адрес регистратора в локалке, а второй адрес - наш белый ip адрес)}
К сожалению, команда не проходит.
Вот какое сообщение выходит

Увеличить
В чем дело?
Вот если не указывать порт - тогда ошибка не выскакивает. Но по информации - тогда открываются вообще все порты. А мне это не надо.

??? Ничего не понимаю.

Там же вам помечено где ошибка! Смотрите, что вводится вместо точки.

Понял в чем ошибка. Подсказали.
В статьях после первого адреса нигде не было порта. И я так же поступил А порт нужен.
Ну да ладно.
Пробросил порты.
А потом оказалось что у регистратора надо поменять адрес.
Решил удалить пробросы
no ip nat inside source static tcp 192.168.100.157 8080 185.1х.хх.ххх 8080 extendable
и
no ip nat inside source static tcp 192.168.100.157 555 185.1х.хх.ххх 555 extendable
вроде удалились.

Делаю новый проброс с исправленым адресом
ip nat inside source static tcp 192.168.100.85 8080 185.1х.хх.ххх 8080 extendable
и
ip nat inside source static tcp 192.168.100.85 555 185.1х.хх.ххх 555 extendable
А мне в ответ... Ошибка.

Увеличить
Причем обратите внимание.
Адрес старый и порты не указаны

Поискал в интернете по поводу удаления и ошибки similar static entry
Как бы удаление было правильным И вроде бы нашел решение.
использовал команду: clear ip nat translation tcp inside 185.1х.хх.ххх 8080 192.168.100.157 8080
А мне в ответ - Translation not dinamyc
В общем - не знаю что делать.
Как чистить? Как удалить память о старом пробросе, чтобы новый проброс выполнить.?

В общем, продолжаем разговор. Всплыла еще одна проблема.
В свое время на роутере Cisco 887 пробросил порт 5678 и все работало.
(для доступа извне к апачу на сервере в локальной сети)
Доступ извне к серверу был, онлайн сканеры видели открытый порт 5678
Потом произошел крах сервера и он был восстановлен из бэкапа.
Серый адрес сервера в локалке и статический белый адрес не менялись.
После восстановления, некоторое время портом не пользовались. А когда понадобилось - порт пропал.
Доступа извне нет.
Никто его не видит.
Онлайн сканеры портов говорят, что порт недоступен. И только https://hidemy.name/ru/port-scanner/
говорит, что "The 1 scanned port on new.mega.nn.ru (185.ххх.ххх.ххх) is filtered
В браузере если ввести 185.ххх.ххх.ххх:5678 тоже пусто (не удаетя получить доступ к сайту.
На локал хосте и в локальной сети апач виден. Т.е. сервер его не блокирует.
Проблема именно в роутере.

Пошел в роутери и дал команду: sh run | inc ip nat
см скрин: https://yadi.sk/i/6g0FrgLhXOATIg
Как бы никуда не делся проброшенный порт 5678 (который для адреса 192.168.ххх.71
Куда копать?
Что может быть?
Как диагностировать проблему?

Брандмауэр не блокирует? Если роутер не трогали, может быть после восстановления конфиг апача в системе изменился. Такое бывает.
Backup конечно должен быть актуальный, хотя-бы на "вчера". И роутеров и сервака. Если возможности позволяют по объёмам, и конечно на другом компе.

Брандмауэр не блокирует. Ведь в локальной сети апач виден.
В браузере на компьютере в той же локальной сети набираю 192.168.ххх.71:8080 и появляется "It works!"
Если бы брандмауэр блокировал - было бы сообщение, что ресурс не обнаружен.

Значит в роутере что-то делали.. Если записи в журнале делали (когда всё работало) - сбросить к заводским и настроить заново. С пробросом и адресами - очень внимательно. А графического интерфейса нет у этого роутера? В ком. строках легко ошибиться..
ЗЫ
У некоторых зикселей например, часто встречается глюк - когда брандмауэр выключен - порты не пробрасываются. Хотя всё прописано.. Чудеса встречаются, но главное - не паниковать :)

В общем - разобрался.
Надо было настроить апач на ранее проброшенный порт.
Что я изначально и говорил "специалисту", который ставил апач.
А тот с апломбом - 8080 или 80.
Т.е. по его словам получалось что порт 8080 или 80 как бы оказывается завернут в порт 5678
Я поверил. В итоге занимался сексом с не пойми чем, то ли с роутером, то ли с брандмауэром.
Когда "специалист" настроил апач на порт 5678 - лыжи поехали.

Вот и славно! config Apache иногда полезно глянуть, особенно после "спецов" :)
Роутерам тоже не плохо-бы другие порты назначать, не по умолчанию 80. Отобъёт желание некоторых залезть снаружи и "порулить"..

можно осторожно попробовать deb ip pack и посмотреть, как ходят пакеты.
Затем u all (отмена).
Потом ip nat translation.
не забудьте u all (отмена)