Dziś chwilę będę się tym bawił tymi portami.

Co do sprzętu który mam jak chodzi o hikvision to już to próbował zrobić specjalista ze sklepu który się w sprzęcie hikvision trudni i nawet poprosił mnie żebym włączył na wyświetlaczu na którym jest uruchomiony hikconnect żeby zrobił log z takiego zdarzenia które nie działa i następnie mu przekazał a on miał do jakiegoś znajomego programisty z supportu Hikvision wysłać ten log żeby to rozgryźli. Efekt jest taki że wszystko działa włącznie z podglądem z wideodomofonu zarówno na wyświetlaczu jak i na telefonie ale jak ktoś zadzwoni domofonem to mam dzwonek że ktoś dzwoni ale podglądu ani dźwięku nie mam i po chwili się rozłącza. Gość ze sklepu dipol z Krakowa widać że się na tym zna w sumie to z hikvision prowadzi nawet szkolenia więc wiedze musi mieć.

W ogóle nie podawaj portu

I "and (src 192.168.3.17 or dst 192.168.3.17)

I teraz uruchom sobie tcpdumpa z opcją -r i ew odpowiednim filtrem żeby to wczytać i zobaczysz zawartość. Albo lepiej - na komputerze zainstaluj sobie wiresharka i wczytaj ten plik -  będziesz miał możliwości pooglądania całości.

Musi ci wczytać o ile plik nie jest zerowy. Jaką wielkość ma ten pcap?

Zrób sobie łapanie całego ruchu (czyli bez żadnych filtrów) i zobacz czy ci go wczyta.

co jak co, ale taka komenda musi działać na routerze przy odczycie pliku:

tcpdump -r /tmp/dump.txt

np takie coś

# tcpdump -r dump.txt 
reading from file dump.txt, link-type EN10MB (Ethernet), snapshot length 262144
18:23:54.895178 IP 10.0.3.15.50343 > host-168-148.prnet.pl.123: NTPv4, Client, length 48
18:23:54.955733 IP host-168-148.prnet.pl.123 > 10.0.3.15.50343: NTPv4, Server, length 48
18:23:55.388921 IP 10.0.3.15.33337 > 10.0.3.3.53: 50984+ AAAA? dl.eko.one.pl. (31)
18:23:55.392363 IP 10.0.3.3.53 > 10.0.3.15.33337: 50984 0/0/0 (31)
18:23:55.392459 IP 10.0.3.15.44146 > 095160102195.warszawa.vectranet.pl.443: Flags [S], seq 391117436, win 64240, options [mss 1460,sackOK,TS val 1522457646 ecr 0,nop,wscale 5], length 0
18:23:55.430439 IP 095160102195.warszawa.vectranet.pl.443 > 10.0.3.15.44146: Flags [S.], seq 153664001, ack 391117437, win 65535, options [mss 1460], length 0
18:23:55.430467 IP 10.0.3.15.44146 > 095160102195.warszawa.vectranet.pl.443: Flags [.], ack 1, win 64240, length 0
18:23:55.430590 IP 10.0.3.15.44146 > 095160102195.warszawa.vectranet.pl.443: Flags [P.], seq 1:151, ack 1, win 64240, length 150
18:23:55.430768 IP 095160102195.warszawa.vectranet.pl.443 > 10.0.3.15.44146: Flags [.], ack 151, win 65535, length 0
...

@mar_w po wykonaniu tej komendy dostaje

reading from file /tmp/dump.txt, link-type EN10MB (Ethernet), snapshot length 262144

Ogólnie przeglądam nieprzefiltrowany plik i nie widzę w nim nigdzie adresu lan mojego urządzenia czyli 192.168.3.17 więc coś jest nie tak bo coś się chyba powinno pojawić z tego adresu? Chociażby puszczam w trakcie logowanie podgląd z aplikacji w telefonie żeby był ruch jakiś a w pliku nic niema z tym adresem ip.

chwileczkę....
wcześniej napisałeś że z Internetu kolegi videodomofon ruszył od kopa (https://eko.one.pl/forum/viewtopic.php? … 69#p319069)

to czemu teraz twierdzisz że:

to co w końcu nie działa?

to zrób ten sam test tylko wybierz interfejs  br-lan i sprawdź
na br-Fryta masz maskaradę i te adresy z lan 3.17 były od razu zamieniane na 1.213

weź tcpdump-a bez -X żebyś tylko zobaczył nagłówki bo po co ci szyfrowana treść skoro na razie nie chcesz hackować transmisji

domofon łączy się do chmury i jednocześnie musi coś odbierać na jakimś randomowym porcie.
Jak przeglądasz internet to masz masę połączeń z wysokimi portami u Siebie a przecież ich nie otwierałeś.
Raz może być taki, a raz inny port u Ciebie. to nie znaczy, że port jest otwarty na nowe połączenia.
Przykład: Ja nie otwierałem portów powyżej 30000 a w połączeniach mam:

tcp        0      0 10.0.0.3:58508          34.160.144.191:443      ESTABLISHED 4990/firefox        
tcp        0      0 10.0.0.3:34746          34.107.243.93:443       ESTABLISHED 4990/firefox        
tcp        0      0 10.0.0.3:41136          34.120.208.123:443      ESTABLISHED 4990/firefox        
tcp        0      0 10.0.0.3:44308          2.57.137.5:443          ESTABLISHED 4990/firefox        
tcp        0      0 10.0.0.3:33068          34.149.100.209:443      ESTABLISHED 4990/firefox

Tak z ciekawości. Rozłącz domofon i zrób kolejne połączenie. Zobacz czy będziesz miał ten sam adres zdalny 52.49.98.137 i port 8820

Tak z ciekawości. Rozłącz domofon i zrób kolejne połączenie. Zobacz czy będziesz miał ten sam adres zdalny 52.49.98.137 i port 8820

ustaw na chwilę domofon w sieci 2.X i wyjdź swoim WANem  i sprawdż co powie tcpdump