嘿，我来帮你搞定这个问题！你遇到的情况很典型——手动开了部分端口但NVR连不上跨网RTSP摄像头，一开DMZ就正常，说明确实有漏开的关键端口。咱们分两部分来解决：

一、排查缺失的端口（精准定位不用瞎试） #

1. 先查官方文档，拿权威端口列表 #

TP-Link VIGI系列的NVR有明确的端口要求，别瞎猜，直接找VIGI NVR1008H的用户手册，里面会列出所有用于设备通信、RTSP流、ONVIF协议的端口。一般来说，必开的核心端口包括：

• 554：RTSP控制端口（摄像头和NVR之间的命令交互，比如播放、暂停、配置）
• 8080：ONVIF协议端口（设备搜索、参数同步的关键通道）
• 媒体流端口范围：如果摄像头用RTSP被动模式（UDP/TCP），NVR会需要一段固定端口来接收摄像头主动推送的数据流，比如官方建议的50000-60000，你需要在NVR设置里先固定这个范围，再在路由器上映射整个范围到NVR的IP。

2. 抓包找漏，精准定位未开放端口 #

如果找不到官方文档，用抓包工具来实锤：

• 在NVR所在的局域网内，用Wireshark这类工具，过滤NVR的IP地址
• 尝试让NVR连接远程摄像头，观察抓包结果：
  • 看NVR主动发起的 outbound 请求里，哪些端口被路由器拦截了
  • 或者看摄像头那边有没有尝试向NVR的某个端口发送数据流，但被本地路由器拒绝了
• 把这些被拦截的端口在路由器上开放，问题大概率就解决了。

3. 检查RTSP传输模式 #

进入NVR的摄像头配置界面，看RTSP是用主动模式还是被动模式：

• 主动模式：NVR主动拉取摄像头的流，只需要摄像头那边开放40000/40001端口，本地路由器一般不用额外开inbound端口（除非路由器限制了outbound）
• 被动模式：摄像头主动把流推送给NVR，这时候NVR需要开放接收端口，而且最好固定端口范围，避免随机端口导致漏开。

二、关于DMZ模式的安全性建议 #

强烈不建议长期把NVR放在DMZ！
DMZ相当于把NVR直接暴露在公网上，没有路由器防火墙的保护，黑客很容易扫描到设备，尝试暴力破解密码、注入恶意代码，一旦成功就能控制你的NVR甚至摄像头。

如果实在暂时找不到端口，临时用DMZ可以，但必须做好这些安全措施：

• 设置强密码：混合大小写字母、数字、特殊字符，别用简单的123456或者admin
• 关闭不必要的服务：比如远程Web管理如果不用就关掉，或者限制只有指定IP能访问
• 定期更新固件：TP-Link会发布安全补丁，及时更新能堵住漏洞
• 开启NVR自带的防火墙功能：如果NVR有这个选项，一定要打开，增强自身防护

备注：内容来源于stack exchange，提问作者Grg