ProHoster > Blog > Stjórnsýsla > Myndbandseftirlit heima. Áætlun um að viðhalda myndbandsskjalasafni án heimilisritara

Myndbandseftirlit heima. Áætlun um að viðhalda myndbandsskjalasafni án heimilisritara

Mig hefur lengi langað til að skrifa grein um handrit til að vinna með myndavél í gegnum DVRIP samskiptareglur, en umræðan tengdist nýlegum fréttum um Xiaomi varð til þess að ég talaði fyrst um hvernig ég setti upp myndbandseftirlit heima og fór svo yfir í handrit og annað.

Við vorum með 2 pakka... Svo bíddu, þetta er ekki sama sagan.
Við vorum með 2 beina frá TP-LINK, internetaðgang á bak við veituna NAT, Partizan eftirlitsmyndavél sem ég man ekki hvaða gerð (einhver IP myndavél sem styður RSTP yfir TCP eða DVRIP gerir) og ódýr VPS fyrir 4 evrur með eiginleikar: 2 kjarna örgjörvi 2.4GHz, 4GB vinnsluminni, 300GB HDD, 100 Mbit/s tengi. Og líka tregðan til að kaupa eitthvað í viðbót við þetta sem myndi kosta meira en plástursnúru.

Formáli

Af augljósum ástæðum getum við ekki bara framsent myndavélartengin á beininum og notið lífsins, að auki, jafnvel þó við gætum, ættum við ekki að gera það.

Ég heyrði út í bláinn að það eru nokkrir möguleikar með IPv6 göng, þar sem það virðist vera hægt að gera allt þannig að öll tæki á netinu fái utanaðkomandi IPv6 vistfang, og það myndi einfalda hlutina aðeins, þó það skilji enn eftir öryggið þessa atburðar sem um ræðir og stuðningurinn við þetta kraftaverk í venjulegu TP-LINK vélbúnaðinum er einhvern veginn undarlegur. Þó að það sé möguleiki að í fyrri setningunni sé ég að tala um algjöra vitleysu, svo ekki taka eftir því.

En, sem betur fer fyrir okkur, inniheldur næstum hvaða vélbúnaðar sem er fyrir hvaða leið sem er (fremur órökstudd staðhæfing reyndar) PPTP/L2TP biðlara eða getu til að setja upp sérsniðna fastbúnað með honum. Og út frá þessu getum við nú þegar byggt upp einhvers konar hegðunarstefnu.

Grunnfræði

Í hitaköstum fæddi heilinn á mér eitthvað eins og þessa raflögn:

og í annarri árás teiknaði ég það til að setja á HabrMyndbandseftirlit heima. Áætlun um að viðhalda myndbandsskjalasafni án heimilisritara

Heimilisfangið 169.178.59.82 var búið til af handahófi og þjónar aðeins sem dæmi

Jæja, eða ef í orðum, þá:

  • Leið TP-LINK 1 (192.168.1.1), þar sem kapall er settur sem stendur út úr veggnum. Forvitinn lesandi mun giska á að þetta sé netsnúran sem ég kemst á netið í gegnum. Ýmis heimilistæki eru tengd við þennan bein með plástrasnúru eða Wi-Fi. Þetta er netið 192.168.1.0
  • Leið TP-LINK 2 (192.168.0.1, 192.168.1.200), sem snúru er stungið í sem stingur út úr TP-LINK 1 beininum. Þökk sé þessari snúru hefur TP-LINK 2 beininn, sem og tæki sem honum eru tengd, einnig aðgang að internetinu. Þessi beini er stilltur með PPTP tengingu (10.0.5.100) við netþjón 169.178.59.82. IP myndavél 192.168.0.200 er einnig tengd við þennan bein og eftirfarandi tengi eru send áfram
    • 192.168.0.200:80 -> 49151 (vefur)
    • 192.168.0.200:34567 -> 49152 (DVRIP)
    • 192.168.0.200:554 -> 49153 (RTSP)
  • Server (169.178.59.82, 10.0.5.1), sem TP-LINK 2 beininn er tengdur í. Miðlarinn keyrir pptpd, shadowsocks og 3proxy, þar sem hægt er að nálgast tæki á 10.0.5.0 netinu og hafa þannig aðgang að TP-LINK 2 beininum.

Þannig hafa öll heimilistæki á 192.168.1.0 netinu aðgang að myndavélinni í gegnum TP-LINK 2 á 192.168.1.200 og öll önnur geta tengst í gegnum pptp, shadowsocks eða socks5 og fengið aðgang að 10.0.5.100.

aðlögun

Fyrsta skrefið er að tengja öll tæki í samræmi við skýringarmyndina á myndinni hér að ofan.

  • Að setja upp TP-LINK 1 beininn kemur niður á því að panta heimilisfangið 192.168.1.200 fyrir TP-LINK 2. Valfrjálst ef þú þarft fast heimilisfang fyrir aðgang frá 192.168.1.0 netinu. Og ef þess er óskað geturðu pantað 10-20 Mbit fyrir það (10 er nóg fyrir einn 1080 myndstraum).
  • Þú þarft að setja upp og stilla pptpd á þjóninum. Ég er með Ubuntu 18.04 og skrefin voru um það bil eftirfarandi (gjafinn var dæmi blog.xenot.ru/bystraya-nastrojka-vpn-servera-pptp-na-ubuntu-server-18-04-lts.fuck):
    • Settu upp nauðsynlega pakka: 
      sudo apt install pptpd iptables-persistent
    • Við færum það í eftirfarandi form

      /etc/pptpd.conf

      option /etc/ppp/pptpd-options
bcrelay eth0 # Интерфейс, через который ваш сервер ходит в интернеты
logwtmp
localip 10.0.5.1
remoteip 10.0.5.100-200

    • Við ritstýrum

      /etc/ppp/pptpd-options

      novj
novjccomp
nologfd

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
#require-mppe-128 # Можно раскомментировать, но мой TP-LINK c ним не дружит

ms-dns 8.8.8.8
ms-dns 1.1.1.1
ms-dns  77.88.8.8
ms-dns 8.8.4.4
ms-dns 1.0.0.1
ms-dns  77.88.8.1

proxyarp
nodefaultroute
lock
nobsdcomp
    • Bætir skilríkjum við

      /etc/ppp/chap-secrets

      # Secrets for authentication using CHAP
# client	server	secret			IP addresses
username pptpd password *
    • Bæta við

      /etc/sysctl.conf

      net.ipv4.ip_forward=1

      og endurhlaða sysctl

      sudo sysctl -p
    • Endurræstu pptpd og bættu því við ræsingu 
      sudo service pptpd restart
sudo systemctl enable pptpd
    • Við ritstýrum

      iptables

      sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables --table nat --append POSTROUTING --out-interface ppp+ -j MASQUERADE
sudo iptables -I INPUT -s 10.0.5.0/24 -i ppp+ -j ACCEPT
sudo iptables --append FORWARD --in-interface eth0 -j ACCEPT

      Og spara

      sudo netfilter-persistent save
sudo netfilter-persistent reload
  • Uppsetning TP-LINK 2
    • Við áskiljum heimilisfangið 192.168.0.200 fyrir myndavélina okkar:

      DHCP -> Heimilisfangspöntun — MAC vistfang — myndavél MAC, hægt að skoða í DHCP -> Listi yfir DHCP viðskiptavini
      — Frátekið IP-tala — 192.168.0.200

    • Framsendingarhöfn:
      Tilvísun -> Sýndarþjónar — Þjónustugátt: 49151, Innra tengi: 80, IP-tala: 192.168.0.200, Samskiptareglur: TCP
      — Þjónustugátt: 49152, Innra tengi: 34567, IP-tala: 192.168.0.200, Samskiptareglur: TCP
      — Þjónustugátt: 49153, Innra tengi: 554, IP-tala: 192.168.0.200, Samskiptareglur: TCP
    • Uppsetning VPN tengingar:

      Net -> WAN — WAN tengingartegund: PPTP
      - Notandanafn: notendanafn (sjá /etc/ppp/chap-secrets)
      - Lykilorð: lykilorð (sjá /etc/ppp/chap-secrets)
      — Staðfestu lykilorð: lykilorð (sjá /etc/ppp/chap-secrets)
      - Dynamic IP
      — IP-tala/netþjónsnafn: 169.178.59.82 (augljóslega ytri IP-tölu netþjónsins þíns)
      — Tengistilling: Tengist sjálfkrafa

    • Valfrjálst leyfum við fjaraðgangi að vefandliti beinisins
      Öryggi -> Fjarstjórnun - Vefstjórnunargátt: 80
      — IP-tala fjarstýringar: 255.255.255.255
    • Endurræstu TP-LINK 2 beininn

Í stað PPTP geturðu notað L2TP eða, ef þú ert með sérsniðna vélbúnað, þá hvað sem hjartað þráir. Ég valdi PPTP, þar sem þetta kerfi var ekki byggt af öryggisástæðum, og pptpd, samkvæmt minni reynslu, er fljótasti VPN netþjónninn. Þar að auki vildi ég virkilega ekki setja upp sérsniðna vélbúnað, sem þýddi að ég þurfti að velja á milli PPTP og L2TP.

Ef ég gerði ekki mistök neins staðar í handbókinni, og þú gerðir allt rétt og varst heppinn, þá eftir allar þessar meðhöndlun

  • í fyrsta lagi 
    ifconfig

    mun sýna viðmótið ppp0 inet 10.0.5.1 netmask 255.255.255.255 destination 10.0.5.100,

  • í öðru lagi, 10.0.5.100 verður að smella,
  • og í þriðja lagi 
    ffprobe -rtsp_transport tcp "rtsp://10.0.5.100:49153/user=admin&password=password&channel=1&stream=0.sdp"

    Ætti að greina strauminn.
    Þú getur fundið rtsp tengið, innskráningu og lykilorð í skjölunum fyrir myndavélina þína

Ályktun

Í grundvallaratriðum er þetta ekki slæmt, það er aðgangur að RTSP, ef sérhugbúnaður virkar í gegnum DVRIP, þá geturðu notað hann. Þú getur vistað strauminn með því að nota ffmpeg, flýta myndbandinu 2-3-5 sinnum, brjóta það í klukkutíma langa bita, hlaða því öllu upp á Google Drive eða samfélagsnet og margt, margt fleira.

Mér líkaði ekki við RTSP yfir TCP, vegna þess að það virkaði ekki mjög stöðugt, heldur yfir UDP, af þeim ástæðum að við getum ekki (eða við getum, en ég vil ekki gera það) áframsend svið portanna þar sem RTSP mun ýta myndbandsstraumnum í gegnum, það mun ekki virka, ég skrifaði handrit sem dregur straum yfir TCP í gegnum DVRIP. Það reyndist stöðugra.

Einn af kostunum við nálgunina er að við getum tekið eitthvað sem styður 2G flautu í stað TP-LINK 4 beinarinnar, knúið það allt saman með myndavélinni frá UPS (sem mun án efa þurfa mun rýmri en þegar með því að nota upptökutæki), auk þess er upptakan send nánast samstundis á netþjóninn, þannig að jafnvel þótt boðflennar komist inn á síðuna þína, munu þeir ekki geta gripið myndbandið. Almennt séð er svigrúm til aðgerða og allt veltur aðeins á ímyndunaraflið.

PS: Ég veit að margir framleiðendur bjóða upp á tilbúnar skýjalausnir, en í verði eru þær næstum tvöfalt dýrari en VPS-inn minn (sem ég á nú þegar 3, svo ég þarf að úthluta fjármagni einhvers staðar), veita mun minni stjórn og líka ekki mjög viðunandi gæði.

Heimild: www.habr.com

Bæta við athugasemd