70

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ.

Всем добра!


Это мой шестой пост, являюсь специалистом по видеонаблюдению и веду портал vcctv.ru

Бывают случаи, когда необходимо обеспечить доступ к видеорегистратору, но провайдер не может дать статический публичный ip адрес или же интернет возможно подключить только через беспроводные сети сотовых операторов и по другому нинкак. Есть конечно вариант включить функцию на видеорегистраторе P2P, но это не совсем безопасно, т.к. вы уже даёте доступ к своему видеорегистратору третьему лицу. Поэтому можно воспользоваться одним из видов VPN соединения - PPTP. Я рассмотрю вариант настройки PPTP сервера и PPTP клиента, но также по аналогии возможно настроить протоколы L2TP или OpenVPN с SSL сертификатом. L2TP или OpenVPN безопаснее, т.к. шифрование трафика более стойкое, чем у PPTP. В других статьях я обязательно приведу примеры их настройки, т.к. бывают случае, когда требуется максимально безопасным создавать тунельное соединение.


Определение PPTP протокола из википедии:


PPTP (англ. Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.


И описание безопасности протокола PPTP из википедии:


Безопасность протокола PPTP


PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:


MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.
MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс.
В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа.
При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR’а потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ.
MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим к атаке, делающей подмену битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.


Пример настройки с помощью двух роутеров Mikrotik RB951 и модема Yota. Опишу конкретную ситуацию с указанием ip адресов двух локальных сетей и к одному из роутеров подключение проводной провайдер с публичным динамическим ip адресом, тоесь к данному роутеру возможно подключаться, но у него переодически меняется ip адрес.


На первом роутере у нас локальная сеть 192.168.44.0/24

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Первый роутер, к которому подключен проводной провайдер и настраиваем с помощью программы Winbox:


И так у нас уже настроен интернет и он работает. При необходимости напишу отдельную статью по настройки интернета на роутерах Mikrotik, но в любом случае в интернете инструкций масса. Первым делом заходим в настройки PPP. В Winbox слева нажимаем на PPP, в открывшемся окне нажимаем на кнопку PPTP Server и его включаем(ставим галку на Enabled).

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Далее открываем вкладку Profiles и выбираем профиль default-encryption - это профиль безопасности PPTP сервера. При желании можете почитать описания, если желаете тонко его настроить, если же это будете делать, то аналогично нужно будет настроить на стороне PPTP клиента! В данном случае я ничего не менял, оставил всё по умолчанию.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Потом нам нужно создать интерфейс PPTP сервера для pptp клиента, который будет подключаться, чтобы в дальнейшем возможно было сделать маршрутизацию, увы без неё никак. Идём в закладку Interface, нажимаем на плюс и выбираем PPTP Server Binding. В поле Name пишем к примеру имя юзера pptp клиента, например Vasya, в поле User - Vasya и нажимаем ОК.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Далее заходим в вкладку Secret для создание профиля пользователя(pptp клиента), который будет подключаться для создания тунеля. Нажимаем на плюс, в поле Name пишем Vasya, Password - задаем мегасложный пароль!!!!, Service - выбираем pptp, Profile - default - это профиль безопасности, Local Address - задаём 192.168.5.1 - это адрес нашего роутера в pptp тунеле, Remote Address пишем - 192.168.5.2 - это адрес, который получит наш второй роутер(pptp клиент), подключившись по протоколу pptp.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Далее идём в закладку Profiles и открываем профиль default, ничего не трогаем, оставляем всё по умолчанию.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Т.к. у нас публичный динамический ip адрес, то нам нужен сервис DDNS, Mikrotik начиная с версии прошивки 6.XX(точно уже не помню номер) позаботился об этом и предоставил свой сервис. Поэтому выбираем IP-Cloud и галочками включаем и получаем dns имя нашему устройству.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

И так теперь настроим фаервол. Заходим в ip - firewall и выбираем вкладку NAT. Для того, чтобы можно было попадать снаружи(из инета) во внутреннюю сеть второго роутера надо сделать маскарадинг, подключающихся адресов из инета. Хм... надеюсь понятно написал. Нажимаем плюс, в Chain выбираем srcnat, в Out. Interface находим наш pptp интерфейс Vasya.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Переходим во вкладку Action, и ставим masquerade

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Данное правило должно быть приоритетнее, тоесть выше чем nat(маскарадинг) для выхода в инет

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

В моём случае нужно было пробросить порты к видеорегистратору RVi, а у них стандартно порты для подключения TCP 37777 и UDP 37778. Для пробраса портов нажимаем плюс выбираем в Chain - dstnat, protocol - tcp, Dst. port - 37777

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Переходим в закладку Action и в action выбираем netmap(зеркалирование портов ну или по простому проброс) и указываем ip адрес видеорегистратора, который подключен ко второму роутеру тоесть 192.168.89.250 и порт 37777. Нажимаем Ок. И для проброса порта UDP 37778 делаем аналогично, protocol - UPD, Dst. port - 37778.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Теперь в разделе Firewall переходим во вкладку Filter Rules и делаем разрешающие правила для подключение pptp клиента, тоесть нашего второго Mikrotik-a. Делаем три правила, нажимаем плюс и открываем протоколы gre, tcp порт 1723, udp 1701, 500,4500. В Chain выбираем input. Смотрим скриншот.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Должно получится так:

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Для безопасности можно разрешить подключаться к PPTP серверу только определенных ip адресов. Используя любого провайдера в интернете можно найти пул их ip адресов, у yota например очень быстро нашёл возможно даже у них на сайте, но точно уже не помню. И в Mikrotik можно сделать список адресов и разрешить только с них подключаться. Для этого заходим во вкладку Address Lists и создаём список адресов. Нажимаем плюс список к примеру называем по имени провайдера и копируем ip адрес с указанием маски.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

В итоге получится так:

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

И последнее, что нам осталось сделать на первом роутере это сделать маршрутизацию в локальную сеть второго роутера. Локальная сеть второго роутера - 192.168.89.0/24. Для этого заходим в IP-Routes, во вкладке Route нажимаеv плюс и в Dst. Address пишем локальную сеть второго роутера - 192.168.89.0/24. Шлюз, через который идти указываем Vasya, Gateway - Vasya и нажимаем ок.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

С первым роутером закончили и теперь приступаем к настройке второго роутера. На нём уже настроен интернет, подключен USB модем Yota и прописана локальная сеть 192.168.89.0/24

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

В Winbox-e нажимаем на PPP, чтобы настроить pptp клиент. Нажимаем плюс и выбираем PPTP Client, в Name пишем Vasya и переходим во вкладку Dial Out

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Тут в Dial out указываем, полученное dns имя первым роутером(там где включали в IP-Cloud). Имя пользователя и пароль пишем тот, который создавали на первом роутере, тоесть логин Vasya и мегасложный пароль. Profile - default-encryption, в разделе Allow везде ставим галки. И нажимаем ок.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

Переходим во вкладку Profiles и используем профиль безопасности default-encryption по дефолту. Параметры его такие:

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

С PPTP клиентом закончили теперь переходим в раздел Ip-Routes и делаем маршрутизацию во внутреннюю сеть первого роутера.

Когда видеорегистратор подключен к динамическому ip адресу, а очень хочется иметь удаленный доступ. Видеорегистратор, Динамический ip адрес, Mikrotik, Настройки, Длиннопост

На этом настройка заканчивается. Теперь получается, что при подключении к видеорегистратору вы подключаетесь по dns имени к первому роутеру, а он уже маршрутизирует на второй роутер во внутреннюю сеть. Или проще говоря две внутренние сети между собой соединены виртуально, так как будто всё это оборудование находится в одном месте.


Удачной настройки!

Найдены возможные дубликаты

+3

Обычно регистратор да и камеры уже подключены к своему китайскому серверу )) и можно по серийному номеру смотреть видео даже за  NAT

раскрыть ветку 17
+2

это p2p, я как раз вот против p2p, из-за безопасности

раскрыть ветку 16
+2

О какой безопасности может идти речь, когда у вас тоннель насквозь дырявый?

раскрыть ветку 10
+1

попробуй чтонить на ддврт, там опенвпн можно прикрутить, в качестве центра конечно не очень а для уделенных точек самое то. дешево и сердито

раскрыть ветку 4
+2

Щас провы клиентов мало того что за нат, так и за пат умудряются засунуть.

0

Есть конечно вариант включить функцию на видеорегистраторе P2P, но это не совсем безопасно, т.к. вы уже даёте доступ к своему видеорегистратору третьему лицу.


Как раз таки пробрасывать и открывать порт во внешний мир - вот что не безопасно. Таким образом открываете доступ к дырам прошивки регистратора.

А вот через р2р (при хороших паролях) никакого доступа китайцы не получают.

0

P2P от производителей региков и камер не только небезопасно, но и ощутимо медленнее и иногда бывают недоступны (привет РКН-у).


Я тоже использую подобную схему, но Mikrotik только один - с белым адресом, широким проводным каналом, подняты серверы PPTP, SSTP и OVPN. Есть скрипт для периодического теста и перезапуска "зависшего" РРР-соединения.

Клиенты (видеонаблюдение на дачах и тому подобном) , это 3G/LTE USB-модемы в роутерах с серыми адресами. Большинство роутеров перешиты прошивками OpenWRT или от Padavan-а. Через ВПН работает только доступ к регистратору (dst-nat к 2-м портам в MT), ибо нех.

Роутеры у клиентов с белой динамикой прекрасно обходятся без ВПН, используя DDNS (в основном h***s,ru).

Есть задумка компилировать прошивки сразу с конкретными настройками ВПН, а то некоторые пользователи и их "тыжкомпьтерщики" достали с кнопкой reset, однако файл с сохраненным готовым конфигом загрузить ниасиливают.

0
Я конечно все понимаю, но при создании тоннеля всякие пробросы и роутинг должен автоматически прописываться. И правки надо вносить когда у вас не стандарт. А стандарт это вкл vn сервер - логин/пароль и все. А вот если вам надо левой задней ногой через правое ухо куда то лезть - тогда ковыряйте. Насоздают говна а потом кричат что это п%#дато когда ты сам ручками можешь все писать. А оно тебе надо? Для того чтоб сделать стандартное подклбчение надо в такие ебеня лезть.
В конце ответа хотел бы написать: чувак для простого vp такие танцы с бубнами не нужны. Или используй оьорудование попроще.
раскрыть ветку 1
0

Прочитайте до конца и вы увидите для чего это все делается

0
А кто может помочь настроить проброс портов на роутере? Суть в том, что нужен доступ к файлам на домашнем серваке из интернета
раскрыть ветку 2
+1

что за роутер у вас? всмысле производитель

-1

Если у тебя есть нормальный сервер - нахрена тебе какой-то говнороутер?

0
Если нарисовать схему, то стало бы намного информативнее
раскрыть ветку 2
+1

Согласен, спасибо. Схему добавлю

+1

Согласен, спасибо. Схему добавлю

0

Долгие танцы с бубном.

Проще получить стат. IP с лимитом траффика на десяток фильмов формата 4к рублей за 300...

Никаких дырок, никаких левых подключений...

раскрыть ветку 5
-2

любой снифер раскатает твое видео по файлам

раскрыть ветку 4
+2

Ептыть, при нужде целые страны взламывают...

раскрыть ветку 3
0

подключаете белый ip - есть у всех провайдеров, даже мобильных, рублей за 150 в месяц, настраиваете dyndns и забываете про этот цирк.

раскрыть ветку 19
+1

и гонять трафик в открытую?

раскрыть ветку 3
+2

Уж если ваш трафик кому-то понадобится, перехватить pptp дырявый и косо настроенный труда не составит.

раскрыть ветку 2
0

вы уверены, что 150р? у йоты например такое возможно только для юр. лиц и стоит примерно 600р или больше

раскрыть ветку 14
0

У йоты твой адрес будет за NAT провайдера, и твоя писанина - бесполезна.

раскрыть ветку 1
0

интересно, и то верно, чегой-то они физикам-то зажали.... У большой тройки цена у билайна 150 рублей, у мегафона 300, но там статический,а не динамический, а у мтса самый дешёвый, всего 100 рублей в месяц. У теле2, кстати, услуги тоже не оказалось

раскрыть ветку 4
0

уже как 10 лет статIP 1200 в год плачу, и это в нашем "на Урале" (физик, но не ёта)

раскрыть ветку 5
-1

Любезнейший, таки уже откройте для себя дешевые VDS (именно VDS, а не VPS) и забудьте про все эти ужасы.

А если мозгов хватает - вообще переходите на IPv6, здесь таких проблем в принципе нет.

0
У меня что-то похожее настроено. Дача с hikvision регистратором (клауд сервис для просмотра настроен), там роутер xiaomi с прошивкой asuswrt от падавана, и 4g модем. Белого ip нет, двойной nat. Дома асус с белым динамическим в качестве pptp сервера.
раскрыть ветку 1
0
О, тоже мироутер прошил, юзаю noip
-1

ГАЙЗ объясните для новичка как раскрыть айпишник камер, суть в чём, дали две камеры, сказали -вот тебе две камеры, нужно раскрыть их айпишник для такого-то цеха. (куда камеры будут вешаться)
там мы просто пока что протянули кабель и всё
хелп

раскрыть ветку 3
0

в вашем случае лучше посмотреть модель камеры, найти в инете документацию и посмотреть какой установлен по умолчанию ip адрес. На камере должна быть кнопка сброса. Сбросите по умолчанию и получите ip адрес, который указан в документации. Далее думаю вам стоит поговорить с сисадминами на предприятии, они подскажут на какие адреса сменить или включить dhcp клиент. Другими инструментами вам будет сложно воспользоваться.

-1

Что значит раскрыть?

Узнать? Дык tcpdump в помощь.

Сделать доступным кому-то снаружи? Для этого есть тот же OpenVPN.

раскрыть ветку 1
-1

уже всё сделал, поменял айпишник, добавил на линию, вроде всё работает всё видит)) но всё равно спасибо )

-1
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 2
+1

вы видимо до конца не прочитали...

раскрыть ветку 1
0
Комментарий удален. Причина: данный аккаунт был удалён
-2
Имхо сборка mikrotik+freemyip+l2tp+ipsec выглядит намного серьезней
раскрыть ветку 1
-2

Предпочитаю всё же SSTP или OVPN - из-за МТУ стандартного.

Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: