מעקב וידאו ביתי. תכנית לשמירה על ארכיון וידאו ללא מקליט ביתי

רציתי לכתוב מאמר על תסריט לעבודה עם מצלמה באמצעות פרוטוקול DVRIP כבר די הרבה זמן, אבל הדיון היה קשור לחדשות האחרונות על Xiaomi הניע אותי לדבר תחילה על איך אני מגדיר מעקב וידאו בבית, ואז לעבור לתסריטים ודברים אחרים.

היו לנו 2 חבילות... אז רגע, זה לא אותו סיפור.
היו לנו 2 נתבים מ-TP-LINK, גישה לאינטרנט מאחורי הספק NAT, מצלמת מעקב של פרטיזן אני לא זוכר איזה דגם (כל מצלמת IP שתומכת ב-RSTP על TCP או DVRIP תעשה) ו-VPS זול ב-4 יורו עם ה- מאפיינים: מעבד 2 ליבות 2.4GHz, 4GB RAM, 300GB HDD, יציאת 100 Mbit/s. וגם חוסר הרצון לקנות משהו נוסף על זה שיעלה יותר מכבל תיקון.

פְּתִיחַ

מסיבות ברורות, אנחנו לא יכולים פשוט להעביר את יציאות המצלמה בנתב וליהנות מהחיים, חוץ מזה, גם אם היינו יכולים, לא כדאי לנו לעשות את זה.

שמעתי ישר שיש כמה אפשרויות עם מנהור IPv6, שבהן נראה שאפשר לעשות הכל כדי שכל המכשירים ברשת יקבלו כתובת IPv6 חיצונית, וזה יפשט קצת את העניינים, למרות שזה עדיין משאיר את האבטחה של האירוע המדובר, והתמיכה בנס הזה בקושחה הסטנדרטית של TP-LINK מוזרה איכשהו. למרות שיש אפשרות שבמשפט הקודם אני מדבר שטויות גמורות, אז אל תשים לב לזה בכלל.

אבל, למזלנו, כמעט כל קושחה לכל נתב (אמירה די מופרכת למעשה) מכילה לקוח PPTP/L2TP או את היכולת להתקין איתו קושחה מותאמת אישית. ומכאן אנחנו כבר יכולים לבנות איזושהי אסטרטגיית התנהגות.

טופולוגיה

בהתקף חום, המוח שלי הוליד משהו כמו תרשים החיווט הזה:

ובמהלך מתקפה נוספת ציירתי אותו לפוסט על Habr

הכתובת 169.178.59.82 נוצרה באופן אקראי ומשמשת כדוגמה בלבד

ובכן, או אם במילים, אז:

• נתב TP-LINK 1 (192.168.1.1), שלתוכו מוחדר כבל הבולט מהקיר. קורא סקרן ינחש שזהו כבל הספק שדרכו אני ניגש לאינטרנט. מכשירים ביתיים שונים מחוברים לנתב זה באמצעות כבל תיקון או Wi-Fi. זו הרשת 192.168.1.0
• נתב TP-LINK 2 (192.168.0.1, 192.168.1.200), שאליו מוחדר כבל שמבצבץ מתוך הנתב TP-LINK 1. בזכות כבל זה, גם לנתב TP-LINK 2, כמו גם למכשירים המחוברים אליו, יש גישה לאינטרנט. נתב זה מוגדר עם חיבור PPTP (10.0.5.100) לשרת 169.178.59.82. מצלמת IP 192.168.0.200 מחוברת גם לנתב זה והיציאות הבאות מועברות
  • 192.168.0.200:80 -> 49151 (webmord)
  • 192.168.0.200:34567 -> 49152 (DVRIP)
  • 192.168.0.200:554 -> 49153 (RTSP)
• שרת (169.178.59.82, 10.0.5.1), אליו מחובר הנתב TP-LINK 2. השרת מריץ pptpd, shadowsocks ו-3proxy, דרכם ניתן לגשת למכשירים ברשת 10.0.5.0 ובכך לקבל גישה לנתב TP-LINK 2.

לפיכך, לכל המכשירים הביתיים ברשת 192.168.1.0 יש גישה למצלמה דרך TP-LINK 2 בכתובת 192.168.1.200, וכל השאר יכולים להתחבר באמצעות pptp, shadowsocks או socks5 ולגשת ל-10.0.5.100.

התאמה

השלב הראשון הוא לחבר את כל המכשירים לפי התרשים באיור למעלה.

• הגדרת הנתב TP-LINK 1 מסתכמת בשמירת הכתובת 192.168.1.200 עבור TP-LINK 2. אופציונלי אם אתה צריך כתובת קבועה לגישה מרשת 192.168.1.0. ואם תרצה, אתה יכול להזמין עבורו 10-20 Mbit (10 מספיקים לזרם וידאו אחד של 1080).
• עליך להתקין ולהגדיר pptpd בשרת. יש לי אובונטו 18.04 והשלבים היו בערך הבאים (התורם היה דוגמה blog.xenot.ru/bystraya-nastrojka-vpn-servera-pptp-na-ubuntu-server-18-04-lts.fuck):
  • התקן את החבילות הדרושות:

    sudo apt install pptpd iptables-persistent

  • אנו מביאים אותו לטופס הבא

    /etc/pptpd.conf

    option /etc/ppp/pptpd-options
    bcrelay eth0 # Интерфейс, через который ваш сервер ходит в интернеты
    logwtmp
    localip 10.0.5.1
    remoteip 10.0.5.100-200

  • אנחנו עורכים

    /etc/ppp/pptpd-options

    novj
    novjccomp
    nologfd
    
    name pptpd
    refuse-pap
    refuse-chap
    refuse-mschap
    require-mschap-v2
    #require-mppe-128 # Можно раскомментировать, но мой TP-LINK c ним не дружит
    
    ms-dns 8.8.8.8
    ms-dns 1.1.1.1
    ms-dns  77.88.8.8
    ms-dns 8.8.4.4
    ms-dns 1.0.0.1
    ms-dns  77.88.8.1
    
    proxyarp
    nodefaultroute
    lock
    nobsdcomp
    

  • הוספת אישורים ל

    /etc/ppp/chap-secrets

    # Secrets for authentication using CHAP
    # client	server	secret			IP addresses
    username pptpd password *

  • להוסיף ל

    /etc/sysctl.conf

    net.ipv4.ip_forward=1

    וטען מחדש את sysctl

    sudo sysctl -p

  • הפעל מחדש את pptpd והוסף אותו להפעלה

    sudo service pptpd restart
    sudo systemctl enable pptpd

  • אנחנו עורכים

    iptables

    sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    sudo iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    sudo iptables --table nat --append POSTROUTING --out-interface ppp+ -j MASQUERADE
    sudo iptables -I INPUT -s 10.0.5.0/24 -i ppp+ -j ACCEPT
    sudo iptables --append FORWARD --in-interface eth0 -j ACCEPT

    ולשמור

    sudo netfilter-persistent save
    sudo netfilter-persistent reload
    

• הגדרת TP-LINK 2
  • אנו שומרים את הכתובת 192.168.0.200 עבור המצלמה שלנו:

    DHCP -> שמירת כתובת — כתובת MAC — מצלמה MAC, ניתן לצפות ב-DHCP -> רשימת לקוחות DHCP
    — כתובת IP שמורה — 192.168.0.200

  • יציאות שילוח:
    ניתוב מחדש -> שרתים וירטואליים — יציאת שירות: 49151, יציאה פנימית: 80, כתובת IP: 192.168.0.200, פרוטוקול: TCP
    — יציאת שירות: 49152, יציאה פנימית: 34567, כתובת IP: 192.168.0.200, פרוטוקול: TCP
    — יציאת שירות: 49153, יציאה פנימית: 554, כתובת IP: 192.168.0.200, פרוטוקול: TCP
  • הגדרת חיבור VPN:

    רשת -> WAN — סוג חיבור WAN: PPTP
    - שם משתמש: שם משתמש (ראה /etc/ppp/chap-secrets)
    — סיסמה: סיסמה (ראה /etc/ppp/chap-secrets)
    - אשר סיסמה: סיסמה (ראה /etc/ppp/chap-secrets)
    - IP דינמי
    — כתובת IP/שם שרת: 169.178.59.82 (כמובן, ה-IP החיצוני של השרת שלך)
    — מצב חיבור: התחבר אוטומטית

  • לחלופין, אנו מאפשרים גישה מרחוק לפנים האינטרנט של הנתב
    אבטחה -> ניהול מרחוק - יציאת ניהול אינטרנט: 80
    — כתובת IP לניהול מרחוק: 255.255.255.255
  • הפעל מחדש את הנתב TP-LINK 2

במקום PPTP, אתה יכול להשתמש ב-L2TP או, אם יש לך קושחה מותאמת אישית, אז בכל מה שלבך חפץ. בחרתי ב-PPTP, מכיוון שהסכמה הזו לא נבנתה מסיבות אבטחה, ו-pptpd, מניסיוני, הוא שרת ה-VPN המהיר ביותר. יתר על כן, ממש לא רציתי להתקין קושחה מותאמת אישית, מה שאומר שהייתי צריך לבחור בין PPTP ל-L2TP.

אם לא עשיתי טעות בשום מקום במדריך, ואתה עשית הכל נכון והיה לך מזל, אז אחרי כל המניפולציות האלה

• קודם כל

  ifconfig

  יציג את הממשק ppp0 inet 10.0.5.1 netmask 255.255.255.255 destination 10.0.5.100,

• שנית, 10.0.5.100 חייב לעשות פינג,
• ושלישית

  ffprobe -rtsp_transport tcp "rtsp://10.0.5.100:49153/user=admin&password=password&channel=1&stream=0.sdp"

  אמור לזהות את הזרם.
  אתה יכול למצוא את יציאת ה-rtsp, הכניסה והסיסמה בתיעוד של המצלמה שלך

מסקנה

באופן עקרוני זה לא רע, יש גישה ל-RTSP, אם תוכנה קניינית עובדת דרך DVRIP אז אתה יכול להשתמש בה. אתה יכול לשמור את הזרם באמצעות ffmpeg, להאיץ את הסרטון 2-3-5 פעמים, לפרק אותו לחתיכות של שעה, להעלות הכל לגוגל דרייב או לרשתות חברתיות ועוד הרבה הרבה יותר.

לא אהבתי RTSP על TCP, כי זה לא עבד מאוד יציב, אלא על UDP, מהסיבות שאנחנו לא יכולים (או שאנחנו יכולים, אבל אני לא רוצה לעשות את זה) להעביר את טווח היציאות שדרכו RTSP ידחוף את זרם הווידאו, זה לא יעבוד, כתבתי סקריפט שגורר זרם על TCP דרך DVRIP. התברר שהוא יציב יותר.

אחד היתרונות של הגישה הוא שאנחנו יכולים לקחת משהו שתומך במשרוקית 2G במקום הנתב TP-LINK 4, להפעיל את הכל יחד עם המצלמה מ-UPS (שללא ספק תצטרך אחד הרבה פחות מרווח מאשר כאשר באמצעות מקליט), בנוסף, ההקלטה מועברת כמעט מיידית לשרת, כך שגם אם פולשים חודרים לאתר שלכם, הם לא יוכלו לתפוס את הסרטון. באופן כללי, יש מרחב תמרון והכל תלוי רק בדמיון שלך.

נ.ב.: אני יודע שיצרנים רבים מציעים פתרונות ענן מוכנים, אבל במחיר הם יקרים כמעט פי שניים מה-VPS שלי (שיש לי כבר 3, אז אני צריך להקצות משאבים לאנשהו), מספקים הרבה פחות שליטה, וגם לא מאוד משביע רצון.

מקור: www.habr.com