ProHoster > Blog > Administrazioa > Etxeko bideozaintza. Bideo-artxiboa etxeko erregistratzailerik gabe mantentzeko eskema

Etxeko bideozaintza. Bideo-artxiboa etxeko erregistratzailerik gabe mantentzeko eskema

Denbora dezente nuen DVRIP protokoloaren bidez kamera batekin lan egiteko gidoi bati buruzko artikulu bat idatzi nahi izan, baina eztabaida azken berriei buruzko Xiaomi Lehenik eta behin, etxean bideo-zaintza nola konfiguratu nuen hitz egitera bultzatu ninduen, eta gero gidoietara eta beste gauza batzuetara pasatzera.

2 pakete genituen... Beraz, itxaron, hau ez da istorio bera.
TP-LINK-ko 2 bideratzaile genituen, NAT hornitzailearen atzean Interneterako sarbidea, Partizan zaintza-kamera bat Ez dut gogoratzen zein modelo (RSTP edo DVRIP bidez RSTP onartzen duen edozein IP kamera) eta 4 euroren truke VPS merke bat. Ezaugarriak: 2 core CPU 2.4GHz, 4GB RAM, 300 GB HDD, 100 Mbit/s ataka. Eta horretaz gain edozer erosteko errezeloa, kordoia baino gehiago kostatuko litzatekeena.

hitzaurrea

Arrazoi bistakoengatik, ezin ditugu bideratzailearen kamera atakak birbidali eta bizitzaz gozatu, gainera, ahal izango bagenu ere, ez genuke hori egin beharko.

Bereziki entzun nuen IPv6 tunelarekin aukera batzuk daudela, non badirudi dena egin daitekeela sareko gailu guztiek kanpoko IPv6 helbide bat jaso dezaten, eta horrek gauzak apur bat erraztuko lituzke, nahiz eta oraindik segurtasuna uzten duen. gertaera honen galdera , eta miraria honen euskarria TP-LINK firmware estandarrean nolabait arraroa da. Aurreko esaldian erabateko zentzugabekeria esateko aukera dagoen arren, ez jarri kasurik.

Baina, zorionez guretzat, edozein bideratzailerako ia edozein firmwarek (baina funtsik gabeko adierazpena, hain zuzen ere) PPTP/L2TP bezero bat edo horrekin firmware pertsonalizatua instalatzeko aukera dauka. Eta honetatik dagoeneko eraiki dezakegu nolabaiteko jokabide-estrategia.

Topologia

Sukarraldi batean, nire garunak kable-diagrama hau bezalako zerbait sortu zuen:

eta beste eraso batean Habr-en argitaratzeko marraztu nuenEtxeko bideozaintza. Bideo-artxiboa etxeko erregistratzailerik gabe mantentzeko eskema

169.178.59.82 helbidea ausaz sortu da eta adibide gisa soilik balio du

Tira, edo hitzez bada, orduan:

  • Router TP-LINK 1 (192.168.1.1), bertan hormatik irteten den kable bat sartzen da. Irakurle jakintsu batek asmatuko du hau dela Internetera sartzeko kable hornitzailea. Etxeko hainbat gailu bideratzaile honetara konektatuta daude adabaki kablearen edo Wi-Fi bidez. Hau da sarea 192.168.1.0
  • Router TP-LINK 2 (192.168.0.1, 192.168.1.200), zeinetan TP-LINK 1 bideratzailetik irteten den kable bat sartzen da. Kable honi esker, TP-LINK 2 bideratzaileak, baita hari konektatutako gailuek ere, Interneterako sarbidea dute. Bideratzaile hau PPTP konexio batekin (10.0.5.100) konfiguratuta dago 169.178.59.82 zerbitzariarekin. IP kamera 192.168.0.200 ere bideratzaile honetara konektatuta dago eta ondoko atakak birbidaltzen dira
    • 192.168.0.200:80 -> 49151 (webmord)
    • 192.168.0.200:34567 -> 49152 (DVRIP)
    • 192.168.0.200:554 -> 49153 (RTSP)
  • Zerbitzaria (169.178.59.82, 10.0.5.1), zeinari TP-LINK 2 bideratzailea konektatua dagoen. Zerbitzariak pptpd, shadowsocks eta 3proxy exekutatzen ditu, eta horien bidez 10.0.5.0 sareko gailuetara sar zaitezke eta, horrela, TP-LINK 2 bideratzailerako sarbidea izan dezakezu.

Horrela, 192.168.1.0 sareko etxeko gailu guztiek kamerarako sarbidea dute TP-LINK 2 bidez 192.168.1.200 zenbakian, eta gainerako guztiak pptp, shadowsocks edo socks5 bidez konektatu eta 10.0.5.100-en atzitu.

doikuntza

Lehen urratsa gailu guztiak goiko irudiko diagramaren arabera konektatzea da.

  • TP-LINK 1 bideratzailea konfiguratzea TP-LINK 192.168.1.200rako 2 helbidea erreserbatzean datza. Aukerakoa 192.168.1.0 saretik sartzeko helbide finko bat behar baduzu. Eta, nahi izanez gero, 10-20 Mbit erreserbatu ditzakezu horretarako (10 nahikoa da 1080 bideo-korronte baterako).
  • pptpd zerbitzarian instalatu eta konfiguratu behar duzu. Ubuntu 18.04 daukat eta urratsak gutxi gorabehera hauek izan ziren (emailea adibide bat zen blog.xenot.ru/bystraya-nastrojka-vpn-servera-pptp-na-ubuntu-server-18-04-lts.fuck):
    • Instalatu beharrezko paketeak: 
      sudo apt install pptpd iptables-persistent
    • Hurrengo formulariora eramaten dugu

      /etc/pptpd.conf

      option /etc/ppp/pptpd-options
bcrelay eth0 # Π˜Π½Ρ‚Π΅Ρ€Ρ„Π΅ΠΉΡ, Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ваш сСрвСр Ρ…ΠΎΠ΄ΠΈΡ‚ Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Ρ‹
logwtmp
localip 10.0.5.1
remoteip 10.0.5.100-200

    • Guk editatzen dugu

      /etc/ppp/pptpd-options

      novj
novjccomp
nologfd

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
#require-mppe-128 # МоТно Ρ€Π°ΡΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, Π½ΠΎ ΠΌΠΎΠΉ TP-LINK c Π½ΠΈΠΌ Π½Π΅ Π΄Ρ€ΡƒΠΆΠΈΡ‚

ms-dns 8.8.8.8
ms-dns 1.1.1.1
ms-dns  77.88.8.8
ms-dns 8.8.4.4
ms-dns 1.0.0.1
ms-dns  77.88.8.1

proxyarp
nodefaultroute
lock
nobsdcomp
    • Kredentzialak gehitzea

      /etc/ppp/chap-secrets

      # Secrets for authentication using CHAP
# client	server	secret			IP addresses
username pptpd password *
    • Gehitu

      /etc/sysctl.conf

      net.ipv4.ip_forward=1

      eta birkargatu sysctl

      sudo sysctl -p
    • Berrabiarazi pptpd eta gehitu abiarazteko 
      sudo service pptpd restart
sudo systemctl enable pptpd
    • Guk editatzen dugu

      iptables

      sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables --table nat --append POSTROUTING --out-interface ppp+ -j MASQUERADE
sudo iptables -I INPUT -s 10.0.5.0/24 -i ppp+ -j ACCEPT
sudo iptables --append FORWARD --in-interface eth0 -j ACCEPT

      Eta gorde

      sudo netfilter-persistent save
sudo netfilter-persistent reload
  • TP-LINK 2 konfiguratzea
    • 192.168.0.200 helbidea erreserbatzen dugu gure kamerarentzat:

      DHCP -> Helbideen erreserba β€” MAC helbidea β€” kamera MAC, DHCP -> DHCP bezeroen zerrendan ikus daiteke
      β€” Erreserbatutako IP helbidea β€” 192.168.0.200

    • Bidalketa-portuak:
      Birbideratzea -> Zerbitzari birtualak β€” Zerbitzu-ataka: 49151, Barne-ataka: 80, IP helbidea: 192.168.0.200, Protokoloa: TCP
      β€” Zerbitzu-ataka: 49152, Barne-ataka: 34567, IP helbidea: 192.168.0.200, Protokoloa: TCP
      β€” Zerbitzu-ataka: 49153, Barne-ataka: 554, IP helbidea: 192.168.0.200, Protokoloa: TCP
    • VPN konexioa konfiguratzea:

      Sarea -> WAN β€” WAN konexio mota: PPTP
      β€” Erabiltzaile izena: erabiltzaile izena (ikus /etc/ppp/chap-secrets)
      β€” Pasahitza: pasahitza (ikus /etc/ppp/chap-secrets)
      β€” Berretsi pasahitza: pasahitza (ikus /etc/ppp/chap-secrets)
      - IP dinamikoa
      β€” IP helbidea/Zerbitzariaren izena: 169.178.59.82 (jakina, zure zerbitzariaren kanpoko IPa)
      β€” Konexio modua: konektatu automatikoki

    • Aukeran, bideratzailearen web aurpegira urruneko sarbidea onartzen dugu
      Segurtasuna -> Urruneko kudeaketa - Web kudeaketa ataka: 80
      β€” Urruneko kudeaketa IP helbidea: 255.255.255.255
    • Berrabiarazi TP-LINK 2 bideratzailea

PPTPren ordez, L2TP erabil dezakezu edo, firmware pertsonalizatua baduzu, zure bihotzak nahi duena. PPTP aukeratu nuen, eskema hau segurtasun arrazoiengatik eraiki ez zenez, eta pptpd, nire esperientziaren arabera, VPN zerbitzaririk azkarrena da. Gainera, benetan ez nuen firmware pertsonalizatua instalatu nahi, hau da, PPTP eta L2TP artean aukeratu behar nuen.

Eskuliburuan akatsik egin ez badut, eta dena ondo egin eta zortea izan bazenu, manipulazio horien guztien ondoren

  • lehenik eta behin, 
    ifconfig

    interfazea erakutsiko du ppp0 inet 10.0.5.1 netmask 255.255.255.255 destination 10.0.5.100,

  • bigarrenik, 10.0.5.100-k ping egin behar du,
  • eta hirugarrenik 
    ffprobe -rtsp_transport tcp "rtsp://10.0.5.100:49153/user=admin&password=password&channel=1&stream=0.sdp"

    Korrontea detektatu beharko luke.
    rtsp ataka, saioa hasteko eta pasahitza zure kameraren dokumentazioan aurki ditzakezu

Ondorioa

Printzipioz, hau ez da txarra, RTSPrako sarbidea dago, jabedun softwareak DVRIP bidez funtzionatzen badu, orduan erabil dezakezu. Korrontea gorde dezakezu ffmpeg erabiliz, bideoa 2-3-5 aldiz bizkortu, ordubeteko zatitan zatitu, dena Google Drive-ra edo sare sozialetara kargatu eta askoz, askoz gehiago.

Ez zait gustatu RTSP TCP bidez, ez baitzuen oso egonkor funtzionatzen, UDPren bidez baizik, ezin dugulako (edo ahal dugun, baina ez dut egin nahi) portu sorta birbidaltzeko. horren bidez, RTSP-k bideo-korrontea bultzatuko du, ez du funtzionatuko, DVRIP bidez korronte bat TCP-tik arrastatzen duen script bat idatzi nuen. Egonkorragoa izan zen.

Planteamenduaren abantailetako bat da TP-LINK 2 bideratzailearen ordez 4G txistua onartzen duen zerbait har dezakegula, kamerarekin batera UPS batetik elikatu (dudarik gabe, noiz baino askoz ere ahalmen txikiagoa beharko du). grabagailua erabiliz), gainera, grabazioa ia berehala zerbitzarira transmititzen da, beraz, intrusoak zure gunean sartzen badira ere, ezin izango dute bideoa atzeman. Oro har, maniobrarako tartea dago eta dena zure irudimenaren araberakoa da.

PS: Badakit fabrikatzaile askok prest egindako hodeiko soluzioak eskaintzen dituztela, baina prezioan nire VPSak baino ia bi aldiz garestiagoak dira (horietatik 3 ditut dagoeneko, beraz, baliabideak nonbait esleitu behar ditut), askoz kontrol gutxiago ematen dute eta gainera. ez dute oso kalitate onekoa.

Iturria: www.habr.com

Gehitu iruzkin berria