Већ дуже време сам желео да напишем чланак о скрипти за рад са камером преко ДВРИП протокола, али дискусија се односила на недавне вести о подстакао ме да прво причам о томе како сам поставио видео надзор код куће, а затим да пређем на скрипте и друге ствари.
Имали смо 2 пакета... Дакле, чекајте, ово није иста прича.
Имали смо 2 рутера од ТП-ЛИНК, приступ Интернету иза провајдера НАТ, Партизанову надзорну камеру не сећам се који модел (било која ИП камера која подржава РСТП преко ТЦП или ДВРИП) и јефтин ВПС за 4 евра са карактеристике: 2 језгра ЦПУ 2.4ГХз, 4ГБ РАМ, 300ГБ ХДД, 100Мбит/с порт. А такође и невољност да се купи било шта осим овога што би коштало више од патцх кабла.
Предговор
Из очигледних разлога, не можемо само да проследимо портове камере на рутеру и уживамо у животу, осим тога, чак и да можемо, не бисмо то требали да радимо.
Чуо сам из ведра неба да постоје неке опције са ИПв6 тунелирањем, где се чини да се све може учинити да сви уређаји на мрежи добију екстерну ИПв6 адресу, а то би мало поједноставило ствари, мада и даље оставља сигурност овог догађаја у питању, а подршка за ово чудо у стандардном ТП-ЛИНК фирмверу је некако чудна. Иако постоји могућност да у претходној реченици говорим потпуне глупости, па немојте уопште обраћати пажњу на то.
Али, на нашу срећу, скоро сваки фирмвер за било који рутер (у ствари прилично неоснована изјава) садржи ППТП/Л2ТП клијент или могућност инсталирања прилагођеног фирмвера са њим. И из овога већ можемо изградити неку врсту стратегије понашања.
Топологија
У нападу грознице, мој мозак је родио нешто попут овог дијаграма ожичења:
и током другог напада нацртао сам га да објавим на Хабру
Адреса 169.178.59.82 је генерисана насумично и служи само као пример
Па, или ако речима, онда:
- Рутер ТП-ЛИНК 1 (192.168.1.1), у који се убацује кабл који вири из зида. Радознали читалац ће погодити да је ово кабл провајдера преко којег приступам Интернету. Различити кућни уређаји су повезани на овај рутер преко патцх кабла или Ви-Фи. Ово је мрежа 192.168.1.0
- Рутер ТП-ЛИНК 2 (192.168.0.1, 192.168.1.200), у који се убацује кабл који вири из рутера ТП-ЛИНК 1. Захваљујући овом каблу рутер ТП-ЛИНК 2, као и уређаји који су на њега повезани, такође имају приступ Интернету. Овај рутер је конфигурисан са ППТП везом (10.0.5.100) са сервером 169.178.59.82. ИП камера 192.168.0.200 је такође повезана на овај рутер и следећи портови се прослеђују
- 192.168.0.200:80 -> 49151 (вебморд)
- 192.168.0.200:34567 -> 49152 (ДВРИП)
- 192.168.0.200:554 -> 49153 (РТСП)
- Сервер (169.178.59.82, 10.0.5.1), на који је повезан рутер ТП-ЛИНК 2. Сервер покреће пптпд, схадовсоцкс и 3проки преко којих можете приступити уређајима на мрежи 10.0.5.0 и на тај начин имати приступ ТП-ЛИНК 2 рутеру.
Тако сви кућни уређаји на мрежи 192.168.1.0 имају приступ камери преко ТП-ЛИНК 2 на 192.168.1.200, а сви остали могу да се повежу преко пптп, схадовсоцкс или соцкс5 и приступе 10.0.5.100.
подешавање
Први корак је повезивање свих уређаја према дијаграму на горњој слици.
- Подешавање рутера ТП-ЛИНК 1 своди се на резервисање адресе 192.168.1.200 за ТП-ЛИНК 2. Опционо ако вам је потребна фиксна адреса за приступ са мреже 192.168.1.0. И, по жељи, можете резервисати 10-20 Мбита за њега (10 је довољно за један 1080 видео стреам).
- Морате да инсталирате и конфигуришете пптпд на серверу. Имам Убунту 18.04 и кораци су били отприлике следећи (донатор је био пример ):
- Инсталирајте потребне пакете:
sudo apt install pptpd iptables-persistent - Доводимо га у следећи облик
/етц/пптпд.цонф
option /etc/ppp/pptpd-options bcrelay eth0 # Интерфейс, через который ваш сервер ходит в интернеты logwtmp localip 10.0.5.1 remoteip 10.0.5.100-200 - Ми уређујемо
/етц/ппп/пптпд-оптионс
novj novjccomp nologfd name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 #require-mppe-128 # Можно раскомментировать, но мой TP-LINK c ним не дружит ms-dns 8.8.8.8 ms-dns 1.1.1.1 ms-dns 77.88.8.8 ms-dns 8.8.4.4 ms-dns 1.0.0.1 ms-dns 77.88.8.1 proxyarp nodefaultroute lock nobsdcomp - Додавање акредитива у
/етц/ппп/цхап-сецретс
# Secrets for authentication using CHAP # client server secret IP addresses username pptpd password * - Додати
/етц/сисцтл.цонф
net.ipv4.ip_forward=1и поново учитај сисцтл
sudo sysctl -p - Поново покрените пптпд и додајте га у стартуп
sudo service pptpd restart sudo systemctl enable pptpd - Ми уређујемо
iptables
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables --table nat --append POSTROUTING --out-interface ppp+ -j MASQUERADE sudo iptables -I INPUT -s 10.0.5.0/24 -i ppp+ -j ACCEPT sudo iptables --append FORWARD --in-interface eth0 -j ACCEPTИ сачувај
sudo netfilter-persistent save sudo netfilter-persistent reload
- Инсталирајте потребне пакете:
- Подешавање ТП-ЛИНК 2
- Резервисали смо адресу 192.168.0.200 за нашу камеру:
ДХЦП -> Резервација адресе — МАЦ адреса — МАЦ камере, може се видети у ДХЦП -> Листа ДХЦП клијената
— Резервисана ИП адреса — 192.168.0.200 - Портови за прослеђивање:
Преусмеравање -> Виртуелни сервери — Сервисни порт: 49151, Интерни порт: 80, ИП адреса: 192.168.0.200, Протокол: ТЦП
— Сервисни порт: 49152, Интерни порт: 34567, ИП адреса: 192.168.0.200, Протокол: ТЦП
— Сервисни порт: 49153, Интерни порт: 554, ИП адреса: 192.168.0.200, Протокол: ТЦП - Подешавање ВПН везе:
Мрежа -> ВАН — Тип ВАН везе: ППТП
— Корисничко име: корисничко име (погледајте /етц/ппп/цхап-сецретс)
— Лозинка: лозинка (погледајте /етц/ппп/цхап-сецретс)
— Потврдите лозинку: лозинку (погледајте /етц/ппп/цхап-сецретс)
- Динамичка ИП адреса
— ИП адреса/име сервера: 169.178.59.82 (очигледно, спољна ИП адреса вашег сервера)
— Режим везе: Повежите се аутоматски - Опционо, дозвољавамо даљински приступ веб лицу рутера
Безбедност -> Даљинско управљање - Порт за управљање вебом: 80
— ИП адреса за даљинско управљање: 255.255.255.255 - Поново покрените ТП-ЛИНК 2 рутер
- Резервисали смо адресу 192.168.0.200 за нашу камеру:
Уместо ППТП-а, можете користити Л2ТП или, ако имате прилагођени фирмвер, шта год вам срце пожели. Изабрао сам ППТП, пошто ова шема није направљена из безбедносних разлога, а пптпд је, по мом искуству, најбржи ВПН сервер. Штавише, заиста нисам желео да инсталирам прилагођени фирмвер, што је значило да морам да бирам између ППТП и Л2ТП.
Ако нигде у приручнику нисам погрешио, а ви сте све урадили исправно и имали среће, онда после свих ових манипулација
- прво
ifconfigће приказати интерфејс
ppp0 inet 10.0.5.1 netmask 255.255.255.255 destination 10.0.5.100, - друго, 10.0.5.100 мора пинговати,
- и треће
ffprobe -rtsp_transport tcp "rtsp://10.0.5.100:49153/user=admin&password=password&channel=1&stream=0.sdp"Требало би да открије ток.
Можете пронаћи ртсп порт, логин и лозинку у документацији за вашу камеру
Закључак
У принципу, ово није лоше, постоји приступ РТСП-у, ако власнички софтвер ради преко ДВРИП-а, онда га можете користити. Можете да сачувате стрим помоћу ффмпег-а, да убрзате видео 2-3-5 пута, да га разбијете на комаде од сат времена, да све то отпремите на Гоогле диск или друштвене мреже и још много, много више.
Није ми се допао РТСП преко ТЦП-а, јер није функционисао баш стабилно, већ преко УДП-а, из разлога што не можемо (или можемо, али не желим) да проследимо опсег портова кроз који ће РТСП гурати видео ток, неће радити, написао сам скрипту која превлачи ток преко ТЦП-а преко ДВРИП-а. Испоставило се да је стабилније.
Једна од предности приступа је да уместо рутера ТП-ЛИНК 2 можемо узети нешто што подржава 4Г звиждаљку, напајати све заједно са камером из УПС-а (коме ће несумњиво требати много мање капацитета него када коришћењем диктафона), поред тога, снимак се скоро тренутно преноси на сервер, па чак и ако уљези продру на ваш сајт, неће моћи да заплене видео. У принципу, постоји простор за маневар и све зависи само од ваше маште.
П.С.: Знам да многи произвођачи нуде готова решења у облаку, али по цени су скоро дупло скупља од мог ВПС-а (којих већ имам 3, па морам негде да расподелим ресурсе), пружају много мање контроле, а такође и нису баш задовољавајућег квалитета.
Извор: ввв.хабр.цом