01.6.2 Просмотр видеорегистратора через Интернет

IMG_2

28.05.2016

Доброго времени суток всем.

Сегодня простым языком, «чиста на пальцах», — об организации удалённого доступа к видеорегистратору через Интернет. Вот в начале странички скриншот с экрана моего компа, просматривающего видеорегистратор, установленный на удалённом объекте и имеющий выход в  Сеть. Изображение намеренно загрублено во избежание узнаваемости и считывания сетевых параметров. На самом деле оно по качеству совсем не отличается от реального сигнала, поступающего на видеорегистратор. Если вы конечно специально не загрубили разрешение для исключения «тормозов» при передаче по Сети.

Современный заказчик все чаще просит организовать просмотр его регистратора через Интернет — это удобно, можно контролировать ситуацию на объекте, находясь в любой точке мира, где есть Интернет. Можно просматривать с мобильника — это больше для престижа — вытащил айфон и похвастался изображением своего двора, гаража и огорода с бассейном. Ну это, ежели есть чего вытащить и чем похвастаться. Хотя, иногда может оказаться полезным — например та же GSM-сигнализация прислала вам сообщение о тревоге, вы открываете просмотр и различаете какое-то движение там, где его быть не должно. Тут уж не до размеров изображения — милицию вызывать надо.

Сначала немного о сетевой безопасности. Организовав доступ извне к видеорегистратору, вы резко повышаете уязвимость всей вашей локальной сети. Речь не идёт только о просмотре посторонними вашей видеоинформации. Видеорегистратор является компьютером, работающим под управлением Windows (в случае PC-видеорегистратора) или разной степени усечённого Linux-а (в случае т.н. non-PC платформы или проще — отдельной железяки). Поэтому злоумышленник, проникнув через открытые порты в видеорегистратор, может, помимо полного доступа к вашим видеоархивам, загрузить в него вредоносный код и причинить в ряде случаев очень серьёзные убытки:

  • если видеорегистратор находится в составе локальной сети (ЛВС) предприятия, с него может начаться атака на другие компьютеры сети, похищение кодов банковских карт, паролей, организация доступа к бухгалтерии и т.д.;
  • видеорегистратор и другие взломанные устройства локальной сети могут использоваться злоумышленниками в качестве ботов, рассылающих спам или участвующих в DOS-атаках;
  • на видеорегистраторе могут запускаться совсем другие вычислительные задачи за счет понижения его производительности в части исполнения своих основных функций.

Известны случаи, когда в видеорегистраторы запихивали программы накручивания биткоинов. Процессор регистратора совсем не приспособлен для таких вычислений, он захлёбывается, тормозит видеонаблюдение, греется. В общем — полное шапито.

Ладно, будем считать, что все напугались и прониклись. Поэтому о способах защиты. На самом деле их не так уж и много. В идеале видеорегистратор желательно бы не включать в состав ЛВС, хотя, конечно, это маловероятно. Можно задать ему статический адрес и заблокировать доступ с этого адреса ко всем прочим устройствам ЛВС. Но самое главное — измените пароли по умолчанию, по возможности и логины.

Стандартный заводской набор для видеорегистраторов — это логин admin и пароли: «admin», «12345», «4321», «123456», а то и вовсе с пустым паролем. Правда, после многих случаев взлома, зачесался наконец один из крупных производителей — Hikvision. Теперь, при первом включении, регистратор требует задать ему сложный пароль с большими и маленькими буквами и цифрами длиной не менее 8 символов. Простые пароли типа 1111111 не даёт вводить.

Локальная сеть ваша соединяется с интернетом через сетевой маршрутизатор, именуемый роутером  (англ. router). Там тоже по умолчанию та ещё катавасия: сплошные пары «логин-пароль» типа «admin-admin» и «admin-пусто». Если вы хотите управлять роутером из Интернета, замените пароль админа. Только, пожалуйста, сохраните надёжно. И конфигурацию роутера сохраните на диске, да продублируйте, чтобы не сбрасывать настройки в случае чего.

Вот конкретный пример сетевого раздолбайства. Недавно занимался как раз организацией доступа к клиентскому видеорегистратору из Сети, ошибся на 1 цифру в наборе адреса и увидел вот такую менюху:

ie1

Ну ясно-понятно, вошел я туда под «admin-пусто». Пжалте любоваться — какой-то небольшой магаз, судя по «айпишнику», в г. Славгороде. Айпишник я здесь замазюкал, а картинка — вот она, может вдруг увидят хозяева, да прикроют калитку в свой огород всем, кому ни попадя.

ie2

Ладно, теперь к основной теме. Для начала вам надо получить у вашего интернет-провайдера «белый адрес» или, на официальном языке, — «статический IP-адрес». Ничего особенного делать не надо, просто вам сообщат ваш адрес и вы его где-нибудь запишете. Теперь любой пользователь сети, набрав в окне браузера этот адрес, попадёт на роутер, соединяющий вашу локальную сетку с внешним миром. Дальше он пока не пролезет, роутер его не пустит.

 Дополнение от 07.06.2017 

Существуют способы просмотра удалённого видеорегистратора или видеокамеры через интернет без использования статического белого адреса. О некоторых из них — в главах про Ivideon и EZVIZ.

Теперь рассмотрим настройки на примере регистратора Hikvision и роутера DSL-2650u, работающих в небольшом магазинчике в селе в 120 км от Барнаула — у роутера совсем простая менюха, всё очень понятно. Итак, мы имеем:

  1. Подключенный к Интернету роутер с внешним IP-адресом, допустим, 22.33.144.155, к которому по локальной сети прицеплен наш регистратор. Внутренний (локальный) айпишник роутера: 192.168.1.1, пароль по умолчанию admin, логин admin. В роутере задействован режим DHCP, т.е. он раздаёт адреса устройствам в локальной сети (динамические IP-адреса).
  2. Видеорегистратор, подключенный к роутеру, имеет статический адрес 192.168.1.169, мы хотим сохранить его статическим, а не получать его от роутера.

Вот меню сетевых настроек видеорегистратора (подпункт «TCP/IP»):

7

Галочка DHCP у регистратора отключена, т.е. он не будет устанавливать у себя адрес, предлагаемый роутером. IPv4 Address — это наш статический адрес, маска подсети нас в данном случае устраивает — не меняем, Default Gatevay — это интернет-шлюз (в нашем случае адрес роутера со стороны регистратора), Preferred DNS — тоже адрес роутера (в ряде случаев ДНС-ы раздаёт провайдер, это надо уточнять). Остальное мы не трогаем. Теперь там же лезем в подпункт Ports (Порты):

6

 

Здесь нам интересен в первую очередь порт сервера (server port): значение по умолчанию 8000, я его не стал менять, там других устройств в ЛВС нет, ни с кем не пересечётся. Можно изменить на любое значение от 2000 до 8000.

Всё, теперь пошли настраивать роутер.

Подключаемся с ноута или компа к роутеру, набрав его локальный адрес 192.168.1.1 Набираем пароль по умолчанию (админ-пусто). Ну вот что-то такое:

1

Роутер уже подключен к интернету, мы не лезем в сетевую часть его настроек. Сразу в межсетевой экран. Подпункт «IP-фильтры». Наша задача — научить роутер пропускать данные между локальной сеткой, где находится видеорегистратор, и сетью Интернет.

Добавляем фильтры со значениями:

Протокол: TCP/UDP,

порты: 8000 и в источниках и в назначении,

действие: «разрешить»,

статус «вкл».

Т.е. мы разрешили гонять через роутер туда-сюда данные по протоколам TCP и UDP. Я тут ещё и 80 порт затолкал, это для работы через веб-интерфейс по HTTP.

Далее, тут же: подпункт «Виртуальные серверы»:

2

Здесь мы представили наш видеорегистратор как 2 виртуальных сервера у каждого из которых адрес 192.168.1.169, но разные порты: 80 и 8000. Сервера добавляются кнопкой «добавить».

Теперь, при обращении из сети к порту 8000 нашего роутера, он переадресует вас к видеорегистратору (виртуальному серверу) с открытым портом 8000 и адресом 192.168.1.169. А тот уже будет просить вас ввести пароль. Именно поэтому пароль видеорегистратора должен быть надёжным.

Теперь дополнительные сетевые настройки роутера:

3

Айпишник вверху — по умолчанию. Далее — настройки DHCP. Режим «разрешить», т.е. адреса всем раздавать будет, DNS relay — включено, поскольку в роутере адрес DNS прописан здешний. Зона IP-адресов, которые DHCP раздаёт соседям по ЛВС: 192.168.1.2 — 192.168.1.254. Остальные настройки не трогаем.

Ещё интересный момент — мы же регистратору статический IP оставили — вот внизу есть статический IP. Мы нажимаем «выберите IP/MAC адрес», выбираем нужные нам устройства и прописываем их ниже кнопкой «добавить». Вон он по 169 адресу регистратор, а по 250-му мой ноут: лень было переводить его со статического адреса, я так прописал. Теперь роутер не будет по этим адресам навязывать свои DHCP-услуги, а будет принимать эти устройства с заданными адресами. Причём, если мы подменим устройства на другие с таким же IP, роутер не будет с ними играть — MAC-адрес другой, а он на заводе-изготовителе присваивается. Вот так вот.

В общем, с точки зрения роутера, мы разрешили двум виртуальному серверам с адресом 192.168.1.169 передавать и принимать информацию в/из сети Интернет через разрешённые порты 80 и 8000 по протоколам TCP и UDP.

Всё сразу завелось. Ранее мы условнлись, что провайдер выдал нам статический адрес 22.33.144.155 (проверял — никаких магазинов на этом адресе не наблюдается). Если зайти через Internet Explorer (IE), то в адресной строке надо набрать: http://22.33.144.155:80/ Это выбор устройства с открытым портом 80, находящимся в локальной сети, отгороженной от интернета роутером c IP-адресом 22.33.144.155.

Если подключаетесь с помощью программы iVMS-4200 или iVMS-4500 (версия для мобильных устройств), то порт надо выбирать 8000. Вот, собственно, и вся премудрость.

Вот он, наш магаз:

IMG1

Там такой Интернет в деревне — я уж не дождался, когда одна из камер прорежется, так отскриншотил. Ну а что взять с него, если  по телефонной линии через ADSL-модем, да при сельских-то линиях. Ну ладно, это уже не ко мне. А я наверное всё на сегодня.

Ладно пишите, комментируйте, форма подписки внизу листа.

Да, кстати, я там ещё организовал удалённый доступ к самому роутеру по другим портам. И все вот эти скрины сделаны удалённо из дома. Поэтому ещё раз — очень серьёзно отнеситесь к сетевой безопасности. Пора привыкать к мысли, что Сеть — это единое киберпространство, и злоумышленнику совершенно фиолетово, откуда вас подломить — из соседнего дома, из Москвы или республики Зимбабве. А результат один и тот же: минимум — головняк с работоспособностью системы, максимум — финансовый ущерб, пропорциональный вашей беспечности.

Удачи.



16 Responses to 01.6.2 Просмотр видеорегистратора через Интернет

  1. Avatar Николай
    Николай says:

    Столкнулся с такой проблемкой.
    Не везде проведен кабель, тем более с белым АЙ ПИ.
    Пробую вариант с 4G роутером от Yota/ И опять возникла проблемка, какое лучше выбрать облако, или не через облако, выбор ПО…

    Было ди что-то подобное в вашей работе? Сталкивались?

    • Avatar egor
      egor says:

      Давно как-то был неприятный опыт с 3G-свистулькой: она зависала эпизодически, регистратор стоял в шкафу в магазе, хозяин ехал перезапускал, короче — гемор сплошной. Потом всё-таки удалось к проводам прийти. Больше не довелось пока.
      Буду благодарен, если отспишете, как у вас получилось. Без белого адреса можно попробовать на хиковский DDNS залезть, в руководствах к регам обычно расписана процедура.

  2. Avatar Николай
    Николай says:

    Как можно с вами связаться?

  3. Avatar Игорь
    Игорь says:

    Доброго времени суток! Помогите справиться с красным драконом)))).
    Айтишник из меня слабенький)) поэтому обращаюсь к вам за советами.
    Суть такова! У меня дома стоит два регистратора, один LTV 1662, для которого в роутере прописан свой порт и который по статическому адресу просматриваю удаленно через iVMS-4500 . В виду новых технологий и переход на высокое разрешение видеокамер АХД приобрел китайский гибрит, который ну не как не хочет показывать через прописанный для него порт в роутере. Измучился напрочь.. Помогите какую нужно ему хлопушку в одно место вставить!!! За ранее спасибо.

  4. Avatar Игорь
    Игорь says:

    Добрый день! Помогите, подскажите,посоветуйте!!!
    Дома два регистратора видеонаблюдения; LTV-DVR-1662-HV, который проброшен портом через роутер ZyXEL Keenetic Lite 2 по статическому адресу и через iVMS-4500 отлично работает!!!!
    В связи с новыми технологиями, приобрел китайского дракона гибрит с камерами высокого разрешения АХД и тут началась свистопляска. Этот красный дракон не хочет работать по статическому адресу и второму порту прописанному в роутере, все мозги вынес. Подскажите что можно сделать?

  5. Так с разгону не глядя чего-то умного сказать сложно. Скиньте скрины сетевых настроек роутера и рега на почту (я сейчас вам на вашу почту адрес скину).

  6. Avatar Владимир
    Владимир says:

    не могу настроить регистратор Gryzzli 16 st для просмотра архива и т.д. дома на компе. в настройках и терминах особо не разбираюсь. сможешь чем-нибудь помочь? за ранее спасибо

    • Ну я вроде всё написал, что мог. Конкретно с гризли не работал, судя по описанию ничем он не отличается от других регистраторов. Адрес-то белый есть?

  7. Avatar Антон
    Антон says:

    Здравствуйте,
    Использую для доступа к камере на даче из Интернета вот такой способ — https://vpnki.ru
    У меня это единственный вариант, потому что белого IP нет, а соединение снаружи закрыто провайдером, хотя ddns и работает, но толку никакого
    Насчет скорости не проверял, но мою камеру нормально показывает на смартфоне.

    • Доступ без статического внешнего адреса — тема интересная. Вариантов довольно много. Какую камеру используете? Или вы к роутеру цепляетесь?

  8. Avatar Антон
    Антон says:

    У меня foscam какой-то в наружном исполнении, роутер стоит Zyxel Keenetic

  9. Avatar Виктор
    Виктор says:

    Есть аналоговый видеорегистратор green dvr 08 Делал по статье ничего не выходит . Белого ip адреса нет

    • Здесь вариант как раз для белого адреса. Попробуйте через Ivideon-server, вот здесь:
      http://systemdefend.ru/blog/category/ivideon/
      Там все 4 статьи посмотрите по порядку. Принцип простой — заводите аккаунт на облачном сервисе, ставите себе на комп программу и смотрите удалённо без статического адреса. При этом комп постоянно включен должен быть.
      Ну или получите белый адрес у провайдера и делайте как здесь написано. Кстати непонятно, как вы пытались подключиться, не имея статического адреса.

  10. Avatar Иван
    Иван says:

    Добрый день! Требуется совет специалиста. Есть регистратор Trassir Lanser IP-4 ( http://www.dssl.ru/products/trassir-lanser-ip-4p/ ). Конфиг ( http://s019.radikal.ru/i623/1708/1f/b329c35e38b0.jpg ). Юридическое лицо, 2 камеры » IP HIKVISION DS-2CD2022-I «. Задачи: просмотр камер со смартфона \ планшета \ online. Запись в облако. Поддержка DSSL говорит что данный регистратор не поддерживает облако. Есть прошивки для регистратора например: NVR_EXX_BL_ML_STD_V3.3.4_150616.zip с потерей логотипов. Что посоветуете в данном случае? Как лучше реализовать? Заранее благодарю =)

    • Чё-то радикально как-то. Давайте по порядку.
      Лансер — это не совсем независимое устройство. Он со своими камерами интегрируется в состав видеосервера Трассир (при этом надо заплатить за интеграцию что-то порядка 8 тыр.) и после этого может пользоваться всеми трассировскими благами, в т.ч. и облаком. Но для этого должен быть отдельностоящий сервер Трассир.

      Вариант: узнайте для начала в техсаппорте, можно ли прилепить ваши камеры в облако напрямую, в списке облачных камер есть DS-2CD2022WD-I, может и ваши можно перепрошить до облачного функционала.

      Если нет, то нужен сервер Трассир (компьютер, ключ, лицензия на интеграцию лансера).

      Насчёт указанной вами прошивы: если вы хотите перешить лансер в хиквижновский NVR (не знаюю возможно ли это — нужна полная аппаратная совместимость), то он перестанет быть Лансером. Хиквжн вы сможете подключить только к облаку EZVIZ, но там нет облачного хранения, только отображение. И вообще, подключится или нет — не знаю, там серийник нужен 9-значный и код подтверждения уникальный Хиковский. Короче, авантюра какая-то.

      Есть ещё вариант: бесплатный сервер Ivideon и подключение к сервису Ivideon, там есть платное хранение в архиве. Просмотр бесплатный. Залезьте вот сюда: http://systemdefend.ru/blog/ivideon/ Там все 4 поста посмотрите, работает, проверено. Но опять же комп нужен постоянно работающий.

      Ну и опять же камеры напрямую к EZVIZу прилепить можете, ссылка: http://systemdefend.ru/blog/6-3-6-brands/6-3-6-1-hikvision/ezviz/ Но записи в облако там нет.
      Больше с разгона ничего не придумаю.

      Напишите как получилось. Удачи.