Когда видеорегистратор подключен к динамическому ip адресу (серый/за NATом), а очень хочется иметь удаленный доступ
Определение PPTP протокола из википедии:
И описание безопасности протокола PPTP из википедии:
Безопасность протокола PPTP
PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:
Пример настройки с помощью двух роутеров Mikrotik RB951 и модема Yota. Опишу конкретную ситуацию с указанием ip адресов двух локальных сетей и к одному из роутеров подключение проводной провайдер с публичным динамическим ip адресом, тоесь к данному роутеру возможно подключаться, но у него переодически меняется ip адрес.
На первом роутере у нас локальная сеть 192.168.44.0/24
Первый роутер, к которому подключен проводной провайдер и настраиваем с помощью программы Winbox:
И так у нас уже настроен интернет и он работает. При необходимости напишу отдельную статью по настройки интернета на роутерах Mikrotik, но в любом случае в интернете инструкций масса. Первым делом заходим в настройки PPP. В Winbox слева нажимаем на PPP, в открывшемся окне нажимаем на кнопку PPTP Server и его включаем(ставим галку на Enabled).
Далее идём в закладку Profiles и открываем профиль default, ничего не трогаем, оставляем всё по умолчанию.
Т.к. у нас публичный динамический ip адрес, то нам нужен сервис DDNS, Mikrotik начиная с версии прошивки 6.XX(точно уже не помню номер) позаботился об этом и предоставил свой сервис. Поэтому выбираем IP-Cloud и галочками включаем и получаем dns имя нашему устройству.
Переходим во вкладку Action, и ставим masquerade
Данное правило должно быть приоритетнее, тоесть выше чем nat(маскарадинг) для выхода в инет
Теперь в разделе Firewall переходим во вкладку Filter Rules и делаем разрешающие правила для подключение pptp клиента, тоесть нашего второго Mikrotik-a. Делаем три правила, нажимаем плюс и открываем протоколы gre, tcp порт 1723, udp 1701, 500,4500. В Chain выбираем input. Смотрим скриншот.
Должно получится так:
Для безопасности можно разрешить подключаться к PPTP серверу только определенных ip адресов. Используя любого провайдера в интернете можно найти пул их ip адресов, у yota например очень быстро нашёл возможно даже у них на сайте, но точно уже не помню. И в Mikrotik можно сделать список адресов и разрешить только с них подключаться. Для этого заходим во вкладку Address Lists и создаём список адресов. Нажимаем плюс список к примеру называем по имени провайдера и копируем ip адрес с указанием маски.
В итоге получится так:
С первым роутером закончили и теперь приступаем к настройке второго роутера. На нём уже настроен интернет, подключен USB модем Yota и прописана локальная сеть 192.168.89.0/24
В Winbox-e нажимаем на PPP, чтобы настроить pptp клиент. Нажимаем плюс и выбираем PPTP Client, в Name пишем Vasya и переходим во вкладку Dial Out
Переходим во вкладку Profiles и используем профиль безопасности default-encryption по дефолту. Параметры его такие:
С PPTP клиентом закончили теперь переходим в раздел Ip-Routes и делаем маршрутизацию во внутреннюю сеть первого роутера.
На этом настройка заканчивается. Теперь получается, что при подключении к видеорегистратору вы подключаетесь по dns имени к первому роутеру, а он уже маршрутизирует на второй роутер во внутреннюю сеть. Или проще говоря две внутренние сети между собой соединены виртуально, так как будто всё это оборудование находится в одном месте.
20 Апреля 2017
Интересно почитать
Как настроить компьютер/ноутбук для подключения к новой ip камере?
По многочисленным запросам о том, как подключиться к ip камере после её покупки.
Как подключить видеорегистратор к роутеру и настроить приложение на телефоне?
Шаг за шагом подключаем видеорегистратор к роутеру и после удаленно смотрим на телефоне.
Настраиваем Smart PSS для просмотра видеокамер на компьютере
Программное обеспечение SmartPSS для просмотра в режиме реального времени, архива и настроек для видеорегистраторов RVi и DAHUA Technology. В данном описании рассмотрим установку и настройку подключения.
Источник
Настройка доступа к видеорегистратору из интернета
Для уяснения вопроса разберемся, что такое «серый IP», статический IP и динамический «белый IP»
Подытоживая вышесказанное можно сформулировать следующее:
Статический IP адрес для видеонаблюдения – это постоянный адрес в сети Интернет, по которому можно обратиться к вашей системе видеонаблюдения. Иными словами, посмотреть видеопоток, поменять параметры, увидеть или скачать архив и т.д. Он нужен потому, что если вы используете динамический IP адрес, то каждый раз при смене сессии у вас будет новый адрес, на который вам нужно будет заходить, а это не очень удобно, тем более, если вы используете удаленное видеонаблюдение.
Динамический IP адрес для видеонаблюдения – это непостоянный адрес в сети Интернет, каждый раз меняющийся. Провайдер обычно выдает каждый раз разный адрес на каждую сессию Интернет. Динамический адрес бывает реальным или белым и нереальным или серым.
Реальный динамический IP адрес – разный на каждую сессию адрес, на который можно зайти или пинговать удаленно.
Серый динамический IP адрес – разный на каждую сессию адрес, на который, даже зная его, нельзя зайти удаленно.
Пространство приватных IP-адресов состоит из трех блоков:
10.0.0.0/8 (одна сеть класса A);
172.16.0.0/12 (диапазон адресов, состоящий из 16 сетей класса B — от 172.16.0.0/16 до 172.31.0.0/16);
192.168.0.0/16(диапазон адресов, состоящий из 256 сетей класса C — от 192.168.0.0/24 до 192.168.255.0/16)
Сейчас многие провайдеры кабельного интернета предоставляют абонентам реальный IP. Только он не статический, а динамический. Это означает, что при каждом новом подключении к интернету (перезагрузка маршрутизатора, компьютера и т.) вы получаете новый IP адрес, хотя он и реальный (белый). Зная его, вы можете получить доступ из интернета к своему сетевому ресурсу. Но, находясь на удалении от места установки регистратора (в отпуске, в командировке и т.п.) вы не сможете узнать новый IP адрес вашего регистратора, который он получил при очередной сессии. Соответственно вы не сможете получить возможность просмотра камер и управления ими. То есть, этот способ напрямую не подходит. Но ниже мы расскажем, как можно в этом случае настроить удаленный доступ к регистратору.
Мобильные операторы тоже предоставляют услуги выделенного IP. Но здесь все не так просто.
Мегафон и Билайн предоставляют внешний IP по заявлению, и только корпоративным клиентам, что во многих случаях очень неудобно. МТС позволяет подключить без заморочек ко многим тарифам услугу «реальный IP». Подключение стоит недорого, и выполняется моментально. Но следует обратить внимание, что если у вас безлимитный тарифный план, то при подключении реального IP он работать не будет, а трафик будет тарифицироваться помегабайтно, согласно вашему основному тарифу. Подробнее с условиями тарификации можно ознакомиться здесь.
Skylink предоставляет своим клиентам при подключении реальный IP, но к сожалению, протестировать их сервис не удалось, в связи с большой трудностью приобретения модема и рим карты оператора в Новосибирске. Такое ощущение, что эта компания сворачивает свой сервис, хотя еще лет 5 назад он был очень популярен. Жаль.
Поскольку, как уже выше было написано, при каждом новом подключении к интернет, ваш реальный IP меняется, то не зная вашего нового IP вы, находясь на удалении, не сможете подключиться через интернет к вашему регистратору, чтобы получить к нему доступ.
Регистраторы имеют возможность подключаться к нескольким популярным сервисам Dynamic Network Services по вашему выбору. К сожалению, реально работающих и бесплатных из них не так много.
Регистрация на сайте noip.com для подключения к сервису DynDNS
Рассмотрим настройку подключения к популярному сервису noip.com. На сайте есть возможность подключить бесплатный сервис DynDNS
После того, как мы настроили сервис DynDNS, необходимо настроить подключение к DynDNS в нашем регистраторе. Но предварительно, поскольку регистратор находится в сети, в которой, как правило, есть еще компьютеры, выходящие в интернет вместе с регистратором через один маршрутизатор (роутер), следует дать возможность доступа к регистратору из интернета. На самом деле реальный динамический IP имеет только маршрутизатор, поскольку он непосредственно подключен к внешней сети, а клиенты сети (компьютеры, регистраторы, и т.п.) имеют локальные адреса. Если представить домашнюю сеть, как дом, который имеет конкретный номер, а компьютеры и регистраторы в сети, как номера квартир, то можно понять, что не зная номер квартиры, мы не можем отослать письмо конкретному жильцу. То есть на письме надо указать не только номер дома, но и номер квартиры. Это функцию в локальной сети выполняет операция перенаправления портов в маршрутизаторе. То есть, в маршутризаторе мы определяем конкретный внутрисетевой IP адрес ( в данном случае, адрес нашего регистратора) и указываем маршрутизатору, что для определенных (прописанных нами) портов, он должен перенаправлять запрос из интернета на этот IP адрес.
Настройка маршрутизатора
Ниже показано как перенаправление, в нашем, конкретном случае, прописывается для маршрутизатора Dlink DIR-300
Моделей маршурутизаторов много, и невозможно описать настройку каждого конкретного маршрутизатора. В интернете без труда можно найти инструкции по настройке перенаправления портов для любого маршрутизатора.
Настройка DynDNS в видеорегистраторе
Далее необходимо настроить службу DynDNS в регистраторе. На ролике показано, как можно это сделать.
После того, как вы зарегистрировались на сервере DynDNS, создали домен для связи с регистратором, настроили проброс портов в маршрутизаторе и настроили службу DynDNS в регистраторе, можно уже заходить из броузера с удаленного компьютера на регистратор, используя доменное имя, предоставленное службой DynDNS.
Настройка программы удаленного видеонаблюдения на компьютере
Для удаленного доступа к видеорегистратору с компьютера существует очень удобная программа CMS, которая предоставляет существенно большие возможности, чем просто доступ к регистратору из броузера. Как правило это программа присутствует в комплекте программного обеспечения поставляемого с регистраторами. Установка ее не представляет сложности.
Удаленный доступ к видеорегистратору с устройств на Андроиде
Но гораздо интереснее и удобнее иметь доступ к удаленному регистратору с коммуникатора. Не всегда, находясь на пляже, в командировке, или просто на улице, у вас есть возможность иметь с собой компьютер, тем более, что через коммуникатор практически всегда и везде можно подключиться к интернету, как через WI FI, так и через сеть мобильного оператора.
Источник
Настройка доступа к IP видеокамерам и сетевым регистраторам (NVR) из сети Интернет.
Настройка доступа к IP видеокамерам и сетевым регистраторам (NVR) из сети Интернет.
К особенностям IP камер и сетевых регистраторов относят передачу видеопотока в цифровом формате по сети Ethernet (Wi-Fi), которая использует протокол TCP/IP. Ethernet. Это пакетная технология для передачи
данных локальных сетей.
Устройство получает IP адрес в сети через который можно попасть на веб интерфейс, через который происходит настройка камеры и куда выводится изображение с камеры. При этом существует возможность организовать доступ к IP камере или сетевому регистратору через Интернет, т.е. с любого места на Земле, имеющего доступ в Интернет, что позволит видеть, что происходит дома или в офисе.
Для того что бы получить доступ к вашей IP видеокамеры с внешки (из глобальной сети Интернет) необходимо иметь уникальное имя (уникальный IP адрес) в глобальной сети. Для начала проясню какие IP адреса бывают :
Белый IP— уникальный адрес в глобальной сети. Публичные «белые» адреса используются в сети Интернет. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Доступ к устройству с публичным IP-адресом можно получить из любой точки глобальной сети, т.к. публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных (серых) IP-адресов.
Серый IP— это внутренний IP локальной сети, напрямую доступный только внутри этой сети.
К частным «серым» адресам относятся IP-адреса из следующих подсетей:
От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0.0 (сеть класса А)
От 172.16.0.0 до 172.31.0.0 с маской 255.255.0.0 (сеть класса B)
От 192.168.0.0 до 192.168.255.255 с маской 255.255.255.0 (сеть класса С)
Статический IP— это фиксированный адрес в Интернете;
Динамический IP— адрес, меняющийся с течением времени.
Провайдеры в основном предоставляют либо динамический серый IP адрес, либо динамический белый IP (намного реже). Определить адрес можно, если подключить кабель провайдера напрямую в компьютер/ ноутбук с помощью онлайн сервисов:
http://2ip.ru
http://smart-ip.net
http://speed-tester.info/ip_location.php
http://hideme.ru/ip
Или можно зайти на веб интерфейс роутера и посмотреть, какой IP адрес вы получили от провайдера. Если у вас используется динамический серый IP адрес вам необходимо обратиться к провайдеру и заказать у него услугу «белого» IP адреса.
Если используется динамический белый IP, необходимо зайти в настройки IP камеры и посмотреть, какие сервисы DDNS (cлужба DynamicDNS позволяет сопоставить доменное имя с динамическим IP-адресом сетевого устройства.) поддерживает ваша видеокамера (если вообще поддерживает).
После этого необходимо зайти на сайт сервиса, чтобы зарегистрировать учетную запись DDNS задав при этом уникальное доменное имя. Затем прописать это имя в настройках IP камеры или сетевого регистратора в настройках DDNS.
Видеокамера через определенное время будет проверять Ваш IP адрес и обновлять запись ddns (следует учесть, что обновление происходит не в тот же момент, может быть задержка из-за кеширования адреса у Вашего провайдера или у Вас).
Настройка Интернет-соединения в самой IP-камере.
Для начала разберем самый простой способ доступа к камере через Интренет. Современные IP видеокамеры способны обойтись без роутера, т.е. можно напрямую подключить сетевой кабель провайдера к камере, настроить интернет через веб интерфейс и вуаля. После этого вы вводите в адресной строке адрес http://<ваш белый IP адрес>, например http://95.110.64.7 и подключитесь на свою IP камеру.
У этого способа есть существенный недостаток- использование только одной IP камеры или регистратора.
Настройка подключений через Интернет нескольких IP камер.
Если вы хотите использовать несколько IP камер вам, помимо «белого» IP адреса или настроенное функции DDNS и нескольких IP видеокамер понадобятся еще роутер.
Принцип заключается в следующем- настроив Интернет на роутере, подключаете все IP видеокамеры к роутеру, не важно каким способом с помощью кабеля Ethernet или беспроводной сети Wi-Fi. После этого зайдите на веб Интерфейс камер и измените порт подключения, вместо 80 поменяйте на любое значение от 1000 до 65000.
При этом порты должны отличаться на разных камерах, например для камеры1- порт 1000, камера2- порт 1001, камера3- порт 1003. Далее сохраните настройки на всех IP камерах. Следующим шагом необходимо пробросить порты на роутере, для этого зайдите на веб интерфейс роутера, найдите пункт «Проброс портов» или аналогичный этому и указав порт камеры и ее IP адрес сохраните настройки.
Если вы все сделали правильно введите в адресной строке браузер адрес http://<ваш белый IP адрес>:<порт видеокамеры>, например http://95.110.64.7:1000. Таким образом, вы подключитесь к вашей IP камере1 с любого места имеющего доступ в Интернет.
Более подробно о подключении и настройке IP видеокамер и сетевых регистратором (NVR) из сети Интернет вы можете узнать из представленного ниже PDF руководства.
Источник