홈 비디오 감시. 홈 레코더 없이 비디오 아카이브를 유지하기 위한 계획

저는 오랫동안 DVRIP 프로토콜을 통해 카메라로 작업하기 위한 스크립트에 대한 기사를 쓰고 싶었지만 최근 뉴스와 관련된 논의는 다음과 같습니다. 샤오 미 테크 먼저 집에서 비디오 감시를 설정하는 방법에 대해 이야기한 다음 대본 및 기타 사항으로 넘어가도록 했습니다.

우리는 2개의 패키지를 가지고 있었습니다... 잠깐, 이것은 같은 이야기가 아닙니다.
우리는 TP-LINK 라우터 2대, NAT 공급자 뒤의 인터넷 액세스, Partizan 감시 카메라 어떤 모델(TCP 또는 DVRIP를 통한 RSTP를 지원하는 모든 IP 카메라가 지원하는지 기억하지 못함) 및 4유로에 대한 저렴한 VPS를 보유했습니다. 특성: 2코어 CPU 2.4GHz, 4GB RAM, 300GB HDD, 100Mbit/s 포트. 또한 이 외에도 패치 코드보다 비용이 많이 드는 제품을 구입하는 것을 꺼려합니다.

머리말

당연한 이유로 우리는 라우터의 카메라 포트를 전달하고 삶을 즐길 수 없으며, 설령 가능하더라도 그렇게 해서는 안 됩니다.

IPv6 터널링에 몇 가지 옵션이 있다는 소식을 갑자기 들었습니다. 네트워크의 모든 장치가 외부 IPv6 주소를 수신하도록 모든 작업을 수행할 수 있는 것 같습니다. 이렇게 하면 보안은 여전히 ​​유지되지만 작업이 조금 단순화될 것입니다. 문제의 이 이벤트에 대해 표준 TP-LINK 펌웨어에서 이 기적을 지원하는 것은 다소 이상합니다. 앞 문장에서 내가 완전히 말도 안 되는 말을 하고 있을 가능성이 있지만 전혀 주의를 기울이지 마세요.

그러나 다행스럽게도 모든 라우터의 거의 모든 펌웨어(사실 근거가 없는 진술)에는 PPTP/L2TP 클라이언트 또는 이를 사용하여 사용자 정의 펌웨어를 설치할 수 있는 기능이 포함되어 있습니다. 그리고 이를 통해 우리는 이미 일종의 행동 전략을 구축할 수 있습니다.

토폴로지

열이 나는 가운데 내 뇌는 다음과 같은 배선 다이어그램을 탄생시켰습니다.

그리고 또 다른 공격 중에 나는 그것을 Habr에 게시하기 위해 그렸습니다.

주소 169.178.59.82는 무작위로 생성되었으며 예시로만 사용됩니다.

글쎄, 아니면 말로 말하면 :

• 라우터 TP-링크 1 (192.168.1.1), 벽에서 튀어 나온 케이블이 삽입됩니다. 호기심 많은 독자라면 이것이 내가 인터넷에 접속하는 데 사용하는 공급자 케이블이라고 추측할 것입니다. 패치 코드나 Wi-Fi를 통해 다양한 가정용 장치가 이 라우터에 연결됩니다. 이것이 네트워크다 192.168.1.0
• 라우터 TP-링크 2 (192.168.0.1, 192.168.1.200), TP-LINK 1 라우터에서 튀어 나온 케이블이 삽입됩니다. 이 케이블 덕분에 TP-LINK 2 라우터와 연결된 장치도 인터넷에 액세스할 수 있습니다. 이 라우터는 서버 10.0.5.100에 대한 PPTP 연결(169.178.59.82)로 구성되어 있습니다. IP 카메라 192.168.0.200도 이 라우터에 연결되어 있으며 다음 포트가 전달됩니다.
  • 192.168.0.200:80 -> 49151 (웹모드)
  • 192.168.0.200:34567 -> 49152 (DVRIP)
  • 192.168.0.200:554 -> 49153(RTSP)
• 서버 (169.178.59.82, 10.0.5.1), TP-LINK 2 라우터가 연결되어 있습니다. 서버는 pptpd, Shadowsocks 및 3proxy를 실행하며 이를 통해 10.0.5.0 네트워크의 장치에 액세스할 수 있으므로 TP-LINK 2 라우터에 액세스할 수 있습니다.

따라서 192.168.1.0 네트워크의 모든 홈 장치는 2의 TP-LINK 192.168.1.200를 통해 카메라에 액세스할 수 있으며, 다른 모든 장치는 pptp, Shadowsocks 또는 양말5을 통해 연결하고 10.0.5.100에 액세스할 수 있습니다.

조정

첫 번째 단계는 위 그림의 다이어그램에 따라 모든 장치를 연결하는 것입니다.

• TP-LINK 1 라우터 설정은 TP-LINK 192.168.1.200용 주소 2을 예약하는 것으로 요약됩니다. 192.168.1.0 네트워크에서 액세스하기 위해 고정 주소가 필요한 경우 선택 사항입니다. 원하는 경우 10-20Mbit를 예약할 수 있습니다(10 비디오 스트림 하나에는 1080이면 충분합니다).
• 서버에 pptpd를 설치하고 구성해야 합니다. 나는 Ubuntu 18.04를 가지고 있으며 단계는 대략 다음과 같습니다. (기증자는 예였습니다. blog.xenot.ru/bystraya-nastrojka-vpn-servera-pptp-na-ubuntu-server-18-04-lts.fuck):
  • 필요한 패키지를 설치합니다.

    sudo apt install pptpd iptables-persistent

  • 우리는 그것을 다음과 같은 형태로 가져옵니다

    /etc/pptpd.conf

    option /etc/ppp/pptpd-options
    bcrelay eth0 # Интерфейс, через который ваш сервер ходит в интернеты
    logwtmp
    localip 10.0.5.1
    remoteip 10.0.5.100-200

  • 편집한다

    /etc/ppp/pptpd-옵션

    novj
    novjccomp
    nologfd
    
    name pptpd
    refuse-pap
    refuse-chap
    refuse-mschap
    require-mschap-v2
    #require-mppe-128 # Можно раскомментировать, но мой TP-LINK c ним не дружит
    
    ms-dns 8.8.8.8
    ms-dns 1.1.1.1
    ms-dns  77.88.8.8
    ms-dns 8.8.4.4
    ms-dns 1.0.0.1
    ms-dns  77.88.8.1
    
    proxyarp
    nodefaultroute
    lock
    nobsdcomp
    

  • 자격 증명 추가

    /etc/ppp/chap-secrets

    # Secrets for authentication using CHAP
    # client	server	secret			IP addresses
    username pptpd password *

  • 다음에 추가

    /etc/sysctl.conf

    net.ipv4.ip_forward=1

    그리고 sysctl을 다시 로드하세요

    sudo sysctl -p

  • pptpd를 재부팅하고 시작에 추가하세요.

    sudo service pptpd restart
    sudo systemctl enable pptpd

  • 편집한다

    iptables에

    sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    sudo iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    sudo iptables --table nat --append POSTROUTING --out-interface ppp+ -j MASQUERADE
    sudo iptables -I INPUT -s 10.0.5.0/24 -i ppp+ -j ACCEPT
    sudo iptables --append FORWARD --in-interface eth0 -j ACCEPT

    그리고 저장

    sudo netfilter-persistent save
    sudo netfilter-persistent reload
    

• TP-LINK 2 설정
  • 카메라의 주소는 192.168.0.200입니다.

    DHCP -> 주소 예약 — MAC 주소 — 카메라 MAC, DHCP에서 볼 수 있음 -> DHCP 클라이언트 목록
    — 예약된 IP 주소 — 192.168.0.200

  • 포워딩 포트:
    리디렉션 -> 가상 서버 — 서비스 포트: 49151, 내부 포트: 80, IP 주소: 192.168.0.200, 프로토콜: TCP
    — 서비스 포트: 49152, 내부 포트: 34567, IP 주소: 192.168.0.200, 프로토콜: TCP
    — 서비스 포트: 49153, 내부 포트: 554, IP 주소: 192.168.0.200, 프로토콜: TCP
  • VPN 연결 설정:

    네트워크 -> WAN — WAN 연결 유형: PPTP
    — 사용자 이름: 사용자 이름(/etc/ppp/chap-secrets 참조)
    — 비밀번호: 비밀번호(/etc/ppp/chap-secrets 참조)
    — 비밀번호 확인: 비밀번호(/etc/ppp/chap-secrets 참조)
    - 유동 IP
    — IP 주소/서버 이름: 169.178.59.82(당연히 서버의 외부 IP)
    — 연결 모드: 자동으로 연결

  • 선택적으로 라우터의 웹 페이스에 대한 원격 액세스를 허용합니다.
    보안 -> 원격 관리 - 웹 관리 포트: 80
    — 원격 관리 IP 주소: 255.255.255.255
  • TP-LINK 2 라우터 재부팅

PPTP 대신 L2TP를 사용할 수 있으며, 맞춤형 펌웨어가 있는 경우 원하는 대로 사용할 수 있습니다. 나는 보안상의 이유로 이 체계를 구축하지 않았기 때문에 PPTP를 선택했고, 내 경험으로는 pptpd가 가장 빠른 VPN 서버였습니다. 더욱이 저는 맞춤형 펌웨어를 설치하고 싶지 않았기 때문에 PPTP와 L2TP 중 하나를 선택해야 했습니다.

내가 매뉴얼의 어느 부분도 실수하지 않았고, 당신이 모든 것을 올바르게 했고 운이 좋았다면, 이 모든 조작이 끝난 후

• 첫째로

  ifconfig

  인터페이스를 보여드리겠습니다 ppp0 inet 10.0.5.1 netmask 255.255.255.255 destination 10.0.5.100,

• 둘째, 10.0.5.100은 핑을 해야 합니다.
• 그리고 세 번째로

  ffprobe -rtsp_transport tcp "rtsp://10.0.5.100:49153/user=admin&password=password&channel=1&stream=0.sdp"

  스트림을 감지해야 합니다.
  카메라 설명서에서 rtsp 포트, 로그인 및 비밀번호를 찾을 수 있습니다.

결론

원칙적으로 이것은 나쁘지 않으며 RTSP에 액세스할 수 있으며 독점 ​​소프트웨어가 DVRIP을 통해 작동하는 경우 사용할 수 있습니다. ffmpeg를 사용하여 스트림을 저장하고, 비디오 속도를 2-3-5배 높이고, 한 시간 단위로 나누고, 모두 Google 드라이브나 소셜 네트워크에 업로드하는 등 다양한 작업을 수행할 수 있습니다.

TCP를 통한 RTSP는 그다지 안정적으로 작동하지 않았기 때문에 마음에 들지 않았지만 UDP에서는 포트 범위를 전달할 수 없기 때문에(또는 할 수 있지만 하고 싶지는 않음) 마음에 들지 않았습니다. RTSP가 비디오 스트림을 푸시하지만 작동하지 않습니다. DVRIP을 통해 TCP를 통해 스트림을 드래그하는 스크립트를 작성했습니다. 더욱 안정적인 것으로 나타났습니다.

이 접근 방식의 장점 중 하나는 TP-LINK 2 라우터 대신 4G 휘슬을 지원하는 장치를 사용하여 UPS의 카메라로 전원을 공급할 수 있다는 것입니다(의심할 여지 없이 이전보다 훨씬 적은 용량이 필요함). 레코더를 사용) 또한 녹화 내용은 거의 즉시 서버로 전송되므로 침입자가 사이트에 침입하더라도 비디오를 탈취할 수 없습니다. 일반적으로 기동의 여지가 있으며 모든 것은 상상력에만 달려 있습니다.

추신: 많은 제조업체가 기성 클라우드 솔루션을 제공한다는 것을 알고 있지만 가격면에서 VPS(이미 3개가 있으므로 어딘가에 리소스를 할당해야 함)보다 거의 두 배나 비싸고 제어 기능이 훨씬 적습니다. 별로 만족스러운 품질은 아닙니다.

출처 : habr.com