Меню

Регистратор sarmatt настройка удаленного доступа

ТЕХНИЧЕСКИЕ СИСТЕМЫ БЕЗОПАСНОСТИ

БЛОГ ИНЖЕНЕРА s.sector.2011@gmail.com

01.6.2 Просмотр видеорегистратора через Интернет

Доброго времени суток всем.

Сегодня простым языком, «чиста на пальцах», — об организации удалённого доступа к видеорегистратору через Интернет. Вот в начале странички скриншот с экрана моего компа, просматривающего видеорегистратор, установленный на удалённом объекте и имеющий выход в Сеть. Изображение намеренно загрублено во избежание узнаваемости и считывания сетевых параметров. На самом деле оно по качеству совсем не отличается от реального сигнала, поступающего на видеорегистратор. Если вы конечно специально не загрубили разрешение для исключения «тормозов» при передаче по Сети.

Современный заказчик все чаще просит организовать просмотр его регистратора через Интернет — это удобно, можно контролировать ситуацию на объекте, находясь в любой точке мира, где есть Интернет. Можно просматривать с мобильника — это больше для престижа — вытащил айфон и похвастался изображением своего двора, гаража и огорода с бассейном. Ну это, ежели есть чего вытащить и чем похвастаться. Хотя, иногда может оказаться полезным — например та же GSM-сигнализация прислала вам сообщение о тревоге, вы открываете просмотр и различаете какое-то движение там, где его быть не должно. Тут уж не до размеров изображения — милицию вызывать надо.

Сначала немного о сетевой безопасности. Организовав доступ извне к видеорегистратору, вы резко повышаете уязвимость всей вашей локальной сети. Речь не идёт только о просмотре посторонними вашей видеоинформации. Видеорегистратор является компьютером, работающим под управлением Windows (в случае PC-видеорегистратора) или разной степени усечённого Linux-а (в случае т.н. non-PC платформы или проще — отдельной железяки). Поэтому злоумышленник, проникнув через открытые порты в видеорегистратор, может, помимо полного доступа к вашим видеоархивам, загрузить в него вредоносный код и причинить в ряде случаев очень серьёзные убытки:

Известны случаи, когда в видеорегистраторы запихивали программы накручивания биткоинов. Процессор регистратора совсем не приспособлен для таких вычислений, он захлёбывается, тормозит видеонаблюдение, греется. В общем — полное шапито.

Ладно, будем считать, что все напугались и прониклись. Поэтому о способах защиты. На самом деле их не так уж и много. В идеале видеорегистратор желательно бы не включать в состав ЛВС, хотя, конечно, это маловероятно. Можно задать ему статический адрес и заблокировать доступ с этого адреса ко всем прочим устройствам ЛВС. Но самое главное — измените пароли по умолчанию, по возможности и логины.

Стандартный заводской набор для видеорегистраторов — это логин admin и пароли: «admin», «12345», «4321», «123456», а то и вовсе с пустым паролем. Правда, после многих случаев взлома, зачесался наконец один из крупных производителей — Hikvision. Теперь, при первом включении, регистратор требует задать ему сложный пароль с большими и маленькими буквами и цифрами длиной не менее 8 символов. Простые пароли типа 1111111 не даёт вводить.

Локальная сеть ваша соединяется с интернетом через сетевой маршрутизатор, именуемый роутером (англ. router). Там тоже по умолчанию та ещё катавасия: сплошные пары «логин-пароль» типа «admin-admin» и «admin-пусто». Если вы хотите управлять роутером из Интернета, замените пароль админа. Только, пожалуйста, сохраните надёжно. И конфигурацию роутера сохраните на диске, да продублируйте, чтобы не сбрасывать настройки в случае чего.

Вот конкретный пример сетевого раздолбайства. Недавно занимался как раз организацией доступа к клиентскому видеорегистратору из Сети, ошибся на 1 цифру в наборе адреса и увидел вот такую менюху:

Ну ясно-понятно, вошел я туда под «admin-пусто». Пжалте любоваться — какой-то небольшой магаз, судя по «айпишнику», в г. Славгороде. Айпишник я здесь замазюкал, а картинка — вот она, может вдруг увидят хозяева, да прикроют калитку в свой огород всем, кому ни попадя.

Читайте также:  Настройка правой кнопки мыши в chrome

Ладно, теперь к основной теме. Для начала вам надо получить у вашего интернет-провайдера «белый адрес» или, на официальном языке, — «статический IP-адрес». Ничего особенного делать не надо, просто вам сообщат ваш адрес и вы его где-нибудь запишете. Теперь любой пользователь сети, набрав в окне браузера этот адрес, попадёт на роутер, соединяющий вашу локальную сетку с внешним миром. Дальше он пока не пролезет, роутер его не пустит.

Дополнение от 07.06.2017

Теперь рассмотрим настройки на примере регистратора Hikvision и роутера DSL-2650u, работающих в небольшом магазинчике в селе в 120 км от Барнаула — у роутера совсем простая менюха, всё очень понятно. Итак, мы имеем:

Вот меню сетевых настроек видеорегистратора (подпункт «TCP/IP»):

Галочка DHCP у регистратора отключена, т.е. он не будет устанавливать у себя адрес, предлагаемый роутером. IPv4 Address — это наш статический адрес, маска подсети нас в данном случае устраивает — не меняем, Default Gatevay — это интернет-шлюз (в нашем случае адрес роутера со стороны регистратора), Preferred DNS — тоже адрес роутера (в ряде случаев ДНС-ы раздаёт провайдер, это надо уточнять). Остальное мы не трогаем. Теперь там же лезем в подпункт Ports (Порты):

Здесь нам интересен в первую очередь порт сервера (server port): значение по умолчанию 8000, я его не стал менять, там других устройств в ЛВС нет, ни с кем не пересечётся. Можно изменить на любое значение от 2000 до 8000.

Всё, теперь пошли настраивать роутер.

Подключаемся с ноута или компа к роутеру, набрав его локальный адрес 192.168.1.1 Набираем пароль по умолчанию (админ-пусто). Ну вот что-то такое:

Роутер уже подключен к интернету, мы не лезем в сетевую часть его настроек. Сразу в межсетевой экран. Подпункт «IP-фильтры». Наша задача — научить роутер пропускать данные между локальной сеткой, где находится видеорегистратор, и сетью Интернет.

Добавляем фильтры со значениями:

порты: 8000 и в источниках и в назначении,

Т.е. мы разрешили гонять через роутер туда-сюда данные по протоколам TCP и UDP. Я тут ещё и 80 порт затолкал, это для работы через веб-интерфейс по HTTP.

Далее, тут же: подпункт «Виртуальные серверы»:

Здесь мы представили наш видеорегистратор как 2 виртуальных сервера у каждого из которых адрес 192.168.1.169, но разные порты: 80 и 8000. Сервера добавляются кнопкой «добавить».

Теперь, при обращении из сети к порту 8000 нашего роутера, он переадресует вас к видеорегистратору (виртуальному серверу) с открытым портом 8000 и адресом 192.168.1.169. А тот уже будет просить вас ввести пароль. Именно поэтому пароль видеорегистратора должен быть надёжным.

Теперь дополнительные сетевые настройки роутера:

Айпишник вверху — по умолчанию. Далее — настройки DHCP. Режим «разрешить», т.е. адреса всем раздавать будет, DNS relay — включено, поскольку в роутере адрес DNS прописан здешний. Зона IP-адресов, которые DHCP раздаёт соседям по ЛВС: 192.168.1.2 — 192.168.1.254. Остальные настройки не трогаем.

Ещё интересный момент — мы же регистратору статический IP оставили — вот внизу есть статический IP. Мы нажимаем «выберите IP/MAC адрес», выбираем нужные нам устройства и прописываем их ниже кнопкой «добавить». Вон он по 169 адресу регистратор, а по 250-му мой ноут: лень было переводить его со статического адреса, я так прописал. Теперь роутер не будет по этим адресам навязывать свои DHCP-услуги, а будет принимать эти устройства с заданными адресами. Причём, если мы подменим устройства на другие с таким же IP, роутер не будет с ними играть — MAC-адрес другой, а он на заводе-изготовителе присваивается. Вот так вот.

Читайте также:  Как сбросить настройки на престижио мультифон

В общем, с точки зрения роутера, мы разрешили двум виртуальному серверам с адресом 192.168.1.169 передавать и принимать информацию в/из сети Интернет через разрешённые порты 80 и 8000 по протоколам TCP и UDP.

Всё сразу завелось. Ранее мы условнлись, что провайдер выдал нам статический адрес 22.33.144.155 (проверял — никаких магазинов на этом адресе не наблюдается). Если зайти через Internet Explorer (IE), то в адресной строке надо набрать: http://22.33.144.155:80/ Это выбор устройства с открытым портом 80, находящимся в локальной сети, отгороженной от интернета роутером c IP-адресом 22.33.144.155.

Если подключаетесь с помощью программы iVMS-4200 или iVMS-4500 (версия для мобильных устройств), то порт надо выбирать 8000. Вот, собственно, и вся премудрость.

Там такой Интернет в деревне — я уж не дождался, когда одна из камер прорежется, так отскриншотил. Ну а что взять с него, если по телефонной линии через ADSL-модем, да при сельских-то линиях. Ну ладно, это уже не ко мне. А я наверное всё на сегодня.

Ладно пишите, комментируйте, форма подписки внизу листа.

Да, кстати, я там ещё организовал удалённый доступ к самому роутеру по другим портам. И все вот эти скрины сделаны удалённо из дома. Поэтому ещё раз — очень серьёзно отнеситесь к сетевой безопасности. Пора привыкать к мысли, что Сеть — это единое киберпространство, и злоумышленнику совершенно фиолетово, откуда вас подломить — из соседнего дома, из Москвы или республики Зимбабве. А результат один и тот же: минимум — головняк с работоспособностью системы, максимум — финансовый ущерб, пропорциональный вашей беспечности.

Источник

Блог / Новости

Настройка удаленного доступа на роутере и видеорегистраторе

Настройка удаленного доступа на роутере и видеорегистраторе

Принцип подключения очень простой для тех, кто сталкивался с настройкой маршрутизаторов (роутеров) ну или хотя бы какое-то представление имеет, что такое локальная сеть. Для тех впервые с этим сталкивается, постараемся объяснить наиболее подробно, начиная с самого начала.

В двух словах, Вам необходимо настроить сначала видеорегистратор на локальный статический ip-адрес, а затем перенаправить с локальных ip-адресов на один выделенный (прямой) ip-адрес и выбрать для каждого локального ip-адреса свой порт в настройках роутера. Если выделенный ip-адрес подключить нету возможности, то при определенных условиях можно воспользоваться DDNS-сервисом, заменяющий необходимость в покупке «выделенного ip-адреса».

Первое. Настраиваем видеорегистратор.

Заходим в «меню» видеорегистратора, находим раздел «Сеть», меняем получение ip-адреса автоматически (DHCP) на статический ip-адрес (STATIC). Вбиваем вручную:

192.168.0.111 – ip-адрес регистратора

192.168.0.1 – шлюз роутера

Жмем подтверждение настроек, перезагружаем регистратор, чтобы настройки точно вступили в силу.

Второе. Настройка роутера.

Чтобы зайти на роутер смотрим на него/коробку/инструкцию и ищем локальный ip адрес по умолчанию. Зачастую они такие: 192.168.0.1 / 192.168.100.1 / 192.168.1.1 / 192.168.2.1 и т.д., пароли и логины используются с именами: root / admin / default / марки роутеров и прочие.

В нашем случаи роутер имеет по умолчанию локальный ip 192.168.0.1, а у видеорегистратора 192.168.0.111 и порт в обоих случаях при использовании web-браузера будет 80 порт (http://192.168.0.111:80/).

*На картинке ниже красным выделено место куда вписываются ip-адреса.

Локальных адресов у одного роутера может быть от 1 до 255, но внешний ip-адрес или доменное имя будет одно, поэтому чтобы, заходить под одним ip-адресом или доменом понадобиться указать каждому устройству свой порт. Порт указывается от 0 до 65550 и в нашем случаи для роутера мы будем использовать 9001 порт, а для web-интерфейса видеорегистратора 9011. Остальные порты, к примеру, для просмотра с мобильного устройства или видеопотока тоже перенаправим с ip-адреса видеорегистратора под аналогичным портом, например, внутренний ip:порт получаем 192.168.0.111:37777 переадресовывает на domen.ru:37777.

Читайте также:  Yota ручные настройки модема

Как правило, на маршрутизаторах указывается web-порт в разделах «Безопасность», «Security», «Инструментарий», «Tools», «Настройки системы» «System Settings» и прочие. Категория «Удаленное управление», «Remote Management».

*необходимо включить удаленное управление роутером.

Порты перенаправляются в таких разделах как «Переадресация», «Forwarding», «Advanced». Категория «Виртуальные серверы», «Virtual servers».

*В категории виртуальные серверы указать переадресацию портов.

Указывается порт прямого ip-адреса, порт локального ip-адреса, сам ip-адрес.

*Выделенный ip-адрес один, поэтому указывается только внешний порт, локальный ip-адрес и внутренний порт.

Для того, чтобы роутер выдавал один и тот же локальный ip-адрес регистратору, необходимо его зарезервировать. Если этого не сделать, то при отключении регистратора прописанный локальный адрес займет другое оборудование получающее настройки автоматически, а регистратор вовсе не подключится если в роутере нету перенаправления на такой случай. Забронировать ip адреса можно по МАС-адресу в разделе «управлением DHCP» категория «Резервирование адресов»/ «Address Reservation». Если такой функции нету, то укажите на роутере ip не раздающий по DHCP или укажите какой-нибудь из последних (например: если роутер выдает 192.168.0.100-199, то на регистраторе укажите 192.168.0.99).

*Резервируйте локальные ip-адреса оборудования, для того чтобы их автоматически не выдал роутер другому оборудованию.

При использовании DDNS сервиса ip-адрес роутера может меняться, но он обязательно должен быть внешним. То есть, если у вас интернет провайдер выдает айпи адреса в зоне на 10.0.0.0; 192.168.0.0; 172.16.0.0 то работать данный сервис не будет даже при условии переадресации на их оборудовании и выдачи прямого (выделенного) IP!

*Сервис DDNS работает исключительно с внешними ip-адресами. Подключение DDNS сервиса не обязательно!

Также будьте внимательны, покупая услугу прямого ip-адреса у операторов сотовой связи, к примеру, мегафон или мтс, прямой ip адрес оформляется только на юридическое лицо, а выделенные адреса для физических лиц будут менять (как они говорят НЕЗНАЧИТЕЛЬНО =). А при незначительной смене ip-адреса попасть на роутер или видеорегистратор не получиться, если не использовать DDNS сервисы, что тоже в некоторых случаях не получиться сделать!

Перезагружаем оборудование, ждем несколько минут и пробуем зайти в браузер на видеорегистратор по ip-адресу 192.168.0.111/ с компьютера подключенного в единую сеть с регистратором, а именно, к настраиваемому порту. Если Вы заходите через интернет (во всех случаях кроме первого), то указываете выделенный IP и порт – 93.83.11.111:9011/

Если у Вас подключен DDNS сервис, то вместо внутреннего или локального ip-адреса можете использовать доменное имя. На нашем примере мы видим, что это: q900001.no-ip.biz:9011/

*Если загрузился белый лист, то это означает, что плагин не установлен или ваш браузер не поддерживает программное обеспечение видеорегистратора. Практические все видеорегистраторы открываются через web-браузер Internet Explorer (IE).

*Пользователь должен иметь доступ к web-просмотру, поэтому если не получается войти проверьте в меню регистратора в разделе «управление пользователями» или создайте нового с полными правами.

— Как установить и настроить программу для просмотра с мобильного телефона или планшета онлайн видео с вашего регистратора, читайте статью >> видеонаблюдение через мобильный телефон

— Если вы не попали на видеорегистратор, попробуйте подключить компьютер напрямую. Таким образом Вы поймете где искать проблему, если не знаете как это делается читайте статью >> подключение видеорегистратора к компьютеру

— Данная статья написана используя проверенный годами и в тоже время не дорогой Wi-Fi роутер TP-Link TL-WR841N. С заявленным беспроводным соединением в 300 Мбит/сек и 100 Мбит/сек. по витой паре. Хотим отметить, что все модели исправно выдавали более 90 Мбит/сек при тестировании. В нашем магазине вы можете приобрести перейдя по ссылке данный маршрутизатор TP-Link «TL-WR841N» 300Мбит/сек.

Источник