Nat что это в видеорегистраторе

Обновлено: 24.01.2025

Доброго времени суток, друзья. В данной статье попробую максимально просто и подробно описать процесс сетевых настроек видеорегистаторов Орбита. Оборудование этого производителя получило широкое распространение ввиду своей низкой цены и доступности по сравнению со всеми аналогами, представленными на рынке. И хотя по функциональным возможностям в чем-то может и уступает своим конкурентам, но для большинства потребителей этих возможностей вполне достаточно.

Сегодня цифровые технологии тесно вошли в нашу жизнь. Интернет дает возможность получать доступ к информации, для этого теперь достаточно иметь смартфон или планшет. И все чаще у потребителей на первом месте при выборе оборудования для систем видеонаблюдения, стоит вопрос - сможет ли он получать доступ с телефона? Ответ - Да. Большинство современных видеорегистраторов имеют возможность подключения к сети Интернет, но для того чтобы получить к ним доступ «удаленно» в первую очередь необходимо настроить не только сам видеорегистратор, но и маршрутизатор. В данной статье рассмотрим настройки для получения доступа на примере маршрутизатора TP-Link и видеорегистратора Орбита VHD-408.

Начнем с настроек видеорегистратора. Данная модель выбрана без особых на то причин, вся линейка видеорегистраторов данного производителя имеет одинаковую прошивку и все настройки идентичны. Итак, у вас уже установленная система видеонаблюдения, которая функционирует и имеет доступ к сети Интернет. Заходим в сетевые настройки регистратора.

Необходимо настроить два параметра - это IP адрес и порт. Если у вас не возникает вопрос о том, в какой подсети работает Ваш маршрутизатор, то просто выбираете любой IP адрес, изменяя значение только последнего числа в пределах от 2 до 254.

Если же вы не знаете, какая подсеть у вашего маршрутизатора и не знаете, как это посмотреть, можно решить проблему, выбрав режим DHCP в регистраторе, сохранить настройки и перезагрузить регистратор. Маршрутизатор сам назначит свободный IP адрес, после чего, убираем галочку и опять сохраняем настройки.

Когда с IP адресом разобрались, остается вопрос с портами. На современных видеорегистраторах их два. порт – для получения доступа к регистратору через браузер, и Media Port, для удаленного доступа через специализированное ПО. Основная тонкость в том, что по умолчанию во всех видеорегистраторах порты одинаковые, и при этом, как правило, 80 порт ( по – умолчанию занят самим маршрутизатором, поэтому его лучше сразу изменить на любой другой. Сохраняем все изменения. Все, наш видеорегистратор настроен.

Переходим к настройкам маршрутизатора. Вот как это звучит в теории – нам необходимо, пропустить порты через маршрутизатор. Другими словами создать виртуальный сервер для нашего регистратора, указав его порты. При необходимости можно создать два сервера и для и Media портов, но если вы не планируете подключаться к регистратору через браузер, то достаточно одного. Теперь разберем это на практике и наглядном примере. Итак, в нашем распоряжении беспроводной маршрутизатор (роутер) TP-Link TL-TWR740N. На обратной стороне каждого маршрутизатора указывается способ, как на него зайти для настройки. На последних моделях TP-Link стали использовать общую ссылку логин и пароль так же указаны, чаще всего - admin в обоих случаях. Но так как мы знаем какой IP адрес у нашего видеорегистратора, то для того чтобы попасть на маршрутизатор необходимо в адресной строке любого браузера указать основной шлюз (в нашем случае это 192.168.0.1), пароли по умолчанию. Загрузилась главная страница.

Слева меню с настройками. Находим настройки виртуального сервера. В нашем маршрутизаторе она находятся в подменю «Переадресация», встречаются так же и модели, в которых данная настройка обозначается как «NAT» ( Network Address Translation, трансляция сетевых адресов), но принцип одинаковый. Нажимаем кнопку «Добавить новую»

Далее заполняем пустые поля, указывая порт и IP адрес видеорегистратора.

Следует обратить внимание лишь на протоколы TCP и UDP, какой же из них выбрать?

На самом деле разница небольшая, поэтому если не хочется вникать в этот вопрос, и ваш роутер позволяет не делать выбора, и оставить оба протокола активными, то так и делаем. Но если такой возможности нет, или вам хочется сделать выбор, то руководствоваться нужно следующим: если у вас высокая загруженность сети, либо скорость передачи данных низкая, и вы приобрели камеры высокого разрешения, тогда следует использовать UDP протокол, он обеспечит более быструю загрузку. Этот протокол чаще всего используется как раз для передачи потокового видео. Если же у вас нет проблем со скоростью Интернета и у вас не большой объем передаваемого трафика, то смело используйте TCP протокол, на скорости загрузки это сильно не отразится, но обеспечит вам более надежный процесс передачи данных.

И так, виртуальные серверы созданы - это означает, что теперь мы сможем подключаться к нашему видеорегистратору удаленно.

В следующих статьях так же будет подробно описан процесс настройки браузера, программы для подключения к регистратору (CMS) и мобильного приложения.

2 в 32 степени или 4 294 967 296 IPv4 адресов это много? Кажется, что да. Однако с распространением персональных вычислений, мобильных устройств и быстрым ростом интернета вскоре стало очевидно, что 4,3 миллиарда адресов IPv4 будет недостаточно. Долгосрочным решением было IPv6 , но требовались более быстрое решение для устранения нехватки адресов. И этим решением стал NAT (Network Address Translation) .

ЧТО ТАКОЕ NAT

Сети обычно проектируются с использованием частных IP адресов. Это адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16 . Эти частные адреса используются внутри организации или площадки, чтобы позволить устройствам общаться локально, и они не маршрутизируются в интернете. Чтобы позволить устройству с приватным IPv4-адресом обращаться к устройствам и ресурсам за пределами локальной сети, приватный адрес сначала должен быть переведен на общедоступный публичный адрес.

И вот как раз NAT переводит приватные адреса, в общедоступные. Это позволяет устройству с частным адресом IPv4 обращаться к ресурсам за пределами его частной сети. NAT в сочетании с частными адресами IPv4 оказался полезным методом сохранения общедоступных IPv4-адресов. Один общедоступный IPv4-адрес может быть использован сотнями, даже тысячами устройств, каждый из которых имеет частный IPv4-адрес. NAT имеет дополнительное преимущество, заключающееся в добавлении степени конфиденциальности и безопасности в сеть, поскольку он скрывает внутренние IPv4-адреса из внешних сетей.

Маршрутизаторы с поддержкой NAT могут быть настроены с одним или несколькими действительными общедоступными IPv4-адресами. Эти общедоступные адреса называются пулом NAT. Когда устройство из внутренней сети отправляет трафик из сети наружу, то маршрутизатор с поддержкой NAT переводит внутренний IPv4-адрес устройства на общедоступный адрес из пула NAT. Для внешних устройств весь трафик, входящий и выходящий из сети, выглядит имеющим общедоступный IPv4 адрес.

Маршрутизатор NAT обычно работает на границе Stub -сети. Stub-сеть – это тупиковая сеть, которая имеет одно соединение с соседней сетью, один вход и выход из сети.

Когда устройство внутри Stub-сети хочет связываться с устройством за пределами своей сети, пакет пересылается пограничному маршрутизатору, и он выполняет NAT-процесс, переводя внутренний частный адрес устройства на публичный, внешний, маршрутизируемый адрес.

ТЕРМИНОЛОГИЯ NAT

В терминологии NAT внутренняя сеть представляет собой набор сетей, подлежащих переводу. Внешняя сеть относится ко всем другим сетям.

При использовании NAT, адреса IPv4 имеют разные обозначения, основанные на том, находятся ли они в частной сети или в общедоступной сети (в интернете), и является ли трафик входящим или исходящим.

NAT включает в себя четыре типа адресов:

Внутренний локальный адрес (Inside local address) ;
Внутренний глобальный адрес (Inside global address) ;
Внешний местный адрес (Outside local address) ;
Внешний глобальный адрес (Outside global address) ;

При определении того, какой тип адреса используется, важно помнить, что терминология NAT всегда применяется с точки зрения устройства с транслированным адресом:

Внутренний адрес (Inside address) - адрес устройства, которое транслируется NAT;
Внешний адрес (Outside address) - адрес устройства назначения;
Локальный адрес (Local address) - это любой адрес, который отображается во внутренней части сети;
Глобальный адрес (Global address) - это любой адрес, который отображается во внешней части сети;

Рассмотрим это на примере схемы.

На рисунке ПК имеет внутренний локальный ( Inside local ) адрес 192.168.1.5 и с его точки зрения веб-сервер имеет внешний ( outside ) адрес 208.141.17.4. Когда с ПК отправляются пакеты на глобальный адрес веб-сервера, внутренний локальный ( Inside local ) адрес ПК транслируется в 208.141.16.5 ( inside global ). Адрес внешнего устройства обычно не переводится, поскольку он является общедоступным адресом IPv4.

Стоит заметить, что ПК имеет разные локальные и глобальные адреса, тогда как веб-сервер имеет одинаковый публичный IP адрес. С его точки зрения трафик, исходящий из ПК поступает с внутреннего глобального адреса 208.141.16.5. Маршрутизатор с NAT является точкой демаркации между внутренней и внешней сетями и между локальными и глобальными адресами.

Термины, inside и outside , объединены с терминами local и global , чтобы ссылаться на конкретные адреса. На рисунке маршрутизатор настроен на предоставление NAT и имеет пул общедоступных адресов для назначения внутренним хостам.

На рисунке показано как трафик отправляется с внутреннего ПК на внешний веб-сервер, через маршрутизатор с поддержкой NAT, и высылается и переводится в обратную сторону.

Внутренний локальный адрес ( Inside local address ) - адрес источника, видимый из внутренней сети. На рисунке адрес 192.168.1.5 присвоен ПК – это и есть его внутренний локальный адрес.

Внутренний глобальный адрес ( Inside global address ) - адрес источника, видимый из внешней сети. На рисунке, когда трафик с ПК отправляется на веб-сервер по адресу 208.141.17.4, маршрутизатор переводит внутренний локальный адрес ( Inside local address ) на внутренний глобальный адрес ( Inside global address ). В этом случае роутер изменяет адрес источника IPv4 с 192.168.1.5 на 208.141.16.5.

Внешний глобальный адрес ( Outside global address ) - адрес адресата, видимый из внешней сети. Это глобально маршрутизируемый IPv4-адрес, назначенный хосту в Интернете. На схеме веб-сервер доступен по адресу 208.141.17.4. Чаще всего внешние локальные и внешние глобальные адреса одинаковы.

Внешний локальный адрес ( Outside local address ) - адрес получателя, видимый из внутренней сети. В этом примере ПК отправляет трафик на веб-сервер по адресу 208.141.17.4

Рассмотрим весь путь прохождения пакета. ПК с адресом 192.168.1.5 пытается установить связь с веб-сервером 208.141.17.4. Когда пакет прибывает в маршрутизатор с поддержкой NAT, он считывает IPv4 адрес назначения пакета, чтобы определить, соответствует ли пакет критериям, указанным для перевода. В этом пример исходный адрес соответствует критериям и переводится с 192.168.1.5 ( Inside local address ) на 208.141.16.5. ( Inside global address ). Роутер добавляет это сопоставление локального в глобальный адрес в таблицу NAT и отправляет пакет с переведенным адресом источника в пункт назначения. Веб-сервер отвечает пакетом, адресованным внутреннему глобальному адресу ПК (208.141.16.5). Роутер получает пакет с адресом назначения 208.141.16.5 и проверяет таблицу NAT, в которой находит запись для этого сопоставления. Он использует эту информацию и переводит обратно внутренний глобальный адрес (208.141.16.5) на внутренний локальный адрес (192.168.1.5), и пакет перенаправляется в сторону ПК.

ТИПЫ NAT

Существует три типа трансляции NAT:

Статическая адресная трансляция (Static NAT) - сопоставление адресов один к одному между локальными и глобальными адресами;
Динамическая адресная трансляция (Dynamic NAT) - сопоставление адресов “многие ко многим” между локальными и глобальными адресами;
Port Address Translation (NAT) - многоадресное сопоставление адресов между локальными и глобальными адресами c использованием портов. Также этот метод известен как NAT Overload ;

STATIC NAT

Статический NAT использует сопоставление локальных и глобальных адресов один к одному. Эти сопоставления настраиваются администратором сети и остаются постоянными. Когда устройства отправляют трафик в Интернет, их внутренние локальные адреса переводятся в настроенные внутренние глобальные адреса. Для внешних сетей эти устройства имеют общедоступные IPv4-адреса. Статический NAT особенно полезен для веб-серверов или устройств, которые должны иметь согласованный адрес, доступный из Интернета, как например веб-сервер компании. Статический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Статическая NAT таблица выглядит так:

DYNAMIC NAT

Динамический NAT использует пул публичных адресов и назначает их по принципу «первым пришел, первым обслужен». Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT назначает доступный общедоступный IPv4-адрес из пула. Подобно статическому NAT, динамический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Динамическая NAT таблица выглядит так:

PORT ADDRESS TRANSLATION (PAT)

PAT транслирует несколько частных адресов на один или несколько общедоступных адресов. Это то, что делают большинство домашних маршрутизаторов. Интернет-провайдер назначает один адрес маршрутизатору, но несколько членов семьи могут одновременно получать доступ к Интернету. Это наиболее распространенная форма NAT.

С помощью PAT несколько адресов могут быть сопоставлены с одним или несколькими адресами, поскольку каждый частный адрес также отслеживается номером порта. Когда устройство инициирует сеанс TCP/IP , оно генерирует значение порта источника TCP или UDP для уникальной идентификации сеанса. Когда NAT-маршрутизатор получает пакет от клиента, он использует номер своего исходного порта, чтобы однозначно идентифицировать конкретный перевод NAT. PAT гарантирует, что устройства используют разный номер порта TCP для каждого сеанса. Когда ответ возвращается с сервера, номер порта источника, который становится номером порта назначения в обратном пути, определяет, какое устройство маршрутизатор перенаправляет пакеты.

Картинка иллюстрирует процесс PAT. PAT добавляет уникальные номера портов источника во внутренний глобальный адрес, чтобы различать переводы.

Поскольку маршрутизатор обрабатывает каждый пакет, он использует номер порта (1331 и 1555, в этом примере), чтобы идентифицировать устройство, с которого выслан пакет.

Адрес источника ( Source Address ) - это внутренний локальный адрес с добавленным номером порта, назначенным TCP/IP. Адрес назначения ( Destination Address ) - это внешний локальный адрес с добавленным номером служебного порта. В этом примере порт службы 80:

Для исходного адреса маршрутизатор переводит внутренний локальный адрес во внутренний глобальный адрес с добавленным номером порта. Адрес назначения не изменяется, но теперь он называется внешним глобальным IP-адресом. Когда веб-сервер отвечает, путь обратный.

В этом примере номера портов клиента 1331 и 1555 не изменялись на маршрутизаторе с NAT. Это не очень вероятный сценарий, потому что есть хорошая вероятность того, что эти номера портов уже были прикреплены к другим активным сеансам. PAT пытается сохранить исходный порт источника. Однако, если исходный порт источника уже используется, PAT назначает первый доступный номер порта, начиная с начала соответствующей группы портов 0-511, 512-1023 или 1024-65535 . Когда портов больше нет, и в пуле адресов имеется более одного внешнего адреса, PAT переходит на следующий адрес, чтобы попытаться выделить исходный порт источника. Этот процесс продолжается до тех пор, пока не будет доступных портов или внешних IP-адресов.

То есть если другой хост может выбрать тот же номер порта 1444. Это приемлемо для внутреннего адреса, потому что хосты имеют уникальные частные IP-адреса. Однако на маршрутизаторе NAT номера портов должны быть изменены - в противном случае пакеты из двух разных хостов выйдут из него с тем же адресом источника. Поэтому PAT назначает следующий доступный порт (1445) на второй адрес хоста.

Подведем итоги в сравнении NAT и PAT. Как видно из таблиц, NAT переводит IPv4-адреса на основе 1:1 между частными адресами IPv4 и общедоступными IPv4-адресами. Однако PAT изменяет как сам адрес, так и номер порта. NAT перенаправляет входящие пакеты на их внутренний адрес, ориентируясь на входящий IP адрес источника, заданный хостом в общедоступной сети, а с PAT обычно имеется только один или очень мало публично открытых IPv4-адресов, и входящие пакеты перенаправляются, ориентируясь на NAT таблицу маршрутизатора.

А что относительно пакетов IPv4, содержащих данные, отличные от TCP или UDP? Эти пакеты не содержат номер порта уровня 4. PAT переводит наиболее распространенные протоколы, переносимые IPv4, которые не используют TCP или UDP в качестве протокола транспортного уровня. Наиболее распространенными из них являются ICMPv4. Каждый из этих типов протоколов по-разному обрабатывается PAT. Например, сообщения запроса ICMPv4, эхо-запросы и ответы включают идентификатор запроса Query ID . ICMPv4 использует Query ID. для идентификации эхо-запроса с соответствующим ответом. Идентификатор запроса увеличивается с каждым отправленным эхо-запросом. PAT использует идентификатор запроса вместо номера порта уровня 4.

ПРЕИМУЩЕСТВА И НЕДОСТАТКИ NAT

NAT предоставляет множество преимуществ, в том числе:

NAT сохраняет зарегистрированную схему адресации, разрешая приватизацию интрасетей. При PAT внутренние хосты могут совместно использовать один общедоступный IPv4-адрес для всех внешних коммуникаций. В этом типе конфигурации требуется очень мало внешних адресов для поддержки многих внутренних хостов;
NAT повышает гибкость соединений с общедоступной сетью. Многочисленные пулы, пулы резервного копирования и пулы балансировки нагрузки могут быть реализованы для обеспечения надежных общедоступных сетевых подключений;

NAT обеспечивает согласованность для внутренних схем адресации сети. В сети, не использующей частные IPv4-адреса и NAT, изменение общей схемы адресов IPv4 требует переадресации всех хостов в существующей сети. Стоимость переадресации хостов может быть значительной. NAT позволяет существующей частной адресной схеме IPv4 оставаться, позволяя легко изменять новую схему общедоступной адресации. Это означает, что организация может менять провайдеров и не нужно менять ни одного из своих внутренних клиентов;

NAT обеспечивает сетевую безопасность. Поскольку частные сети не рекламируют свои адреса или внутреннюю топологию, они остаются достаточно надежными при использовании в сочетании с NAT для получения контролируемого внешнего доступа. Однако нужно понимать, что NAT не заменяет фаерволы;

Но у NAT есть некоторые недостатки. Тот факт, что хосты в Интернете, по-видимому, напрямую взаимодействуют с устройством с поддержкой NAT, а не с фактическим хостом внутри частной сети, создает ряд проблем:

Один из недостатков использования NAT связан с производительностью сети, особенно для протоколов реального времени, таких как VoIP . NAT увеличивает задержки переключения, потому что перевод каждого адреса IPv4 в заголовках пакетов требует времени;
Другим недостатком использования NAT является то, что сквозная адресация теряется. Многие интернет-протоколы и приложения зависят от сквозной адресации от источника до места назначения. Некоторые приложения не работают с NAT. Приложения, которые используют физические адреса, а не квалифицированное доменное имя, не доходят до адресатов, которые транслируются через NAT-маршрутизатор. Иногда эту проблему можно избежать, реализуя статические сопоставления NAT;
Также теряется сквозная трассировка IPv4. Сложнее трассировать пакеты, которые подвергаются многочисленным изменениям адресов пакетов в течение нескольких NAT-переходов, что затрудняет поиск и устранение неполадок;
Использование NAT также затрудняет протоколы туннелирования, такие как IPsec, поскольку NAT изменяет значения в заголовках, которые мешают проверкам целостности, выполняемым IPsec и другими протоколами туннелирования;
Службы, требующие инициирования TCP-соединений из внешней сети, или stateless протоколы, например, использующие UDP, могут быть нарушены. Если маршрутизатор NAT не настроен для поддержки таких протоколов, входящие пакеты не могут достичь своего адресата;

Мы разобрали основные принципы работы NAT. Хотите больше? Прочитайте нашу статью по настройке NAT на оборудовании Cisco .

Основное предназначение сервиса cloud заключается в организации системы видео наблюдения с возможностью удаленного просмотра видеоизображения исключая привязку к проводному Интернету, а так же к статическим и «белым» IP адресам. Сервис cloud предполагает использование промежуточного сервера xmeye посредством NAT. Все что Вам нужно это устройство с поддержкой облачного сервиса подключенное в Интернет, WEB браузер или программное обеспечение, установленное на компьютер, ноутбук, планшетный ПК или смартфон. Программное обеспечение и сам сервис cloud бесплатны. Это означает что Вы платите только за Интернет соединение.

Хватит теории, переходим к практике.

1. Для работы сервиса cloud необходимо подключить устройство в Интернет. Для этого существует множество способов, которые зависят от опциональных возможностей устройства. Основной тип подключения остается по прежнему LAN, дополнительно устройства могут оснащаться модулем Wi-Fi и USB интерфейсом с поддержкой 3G модемов. В режимах LAN и Wi-Fi будет достаточно объединить устройство с роутером (с доступом в интернет) в локальную сеть.

2. Зарегистрироваться на сайте сервера «xmeye»: (кликнуть на ссылку Register), заполнить поля регистрационной формы и кликнуть «ОК»

Запустить установку надстройки для браузера (кликнуть на ссылку Download Web). Обращаем Ваше внимание, для установки данной надстройки необходимо разрешить установку элементов ActiveX. Для этого нужно открыть вкладку «сервис» -> «свойства обозревателя» -> «безопасность» -> «другой…» -> в поле «параметры» пролистать до «Элементы ActiveX и модули подключения» -> разрешить все доступные действия элементов ActiveX -> нажать «ОК» -> «применить» -> «ОК». Перезапустить Internet Explorer, зайти на страницу авторизации устройства, выбрать ссылку загрузки модуля «Download Web» и подтвердить установку модуля.

Внимание! Данная конфигурация браузера Internet Explorer крайне небезопасна и уязвима, поэтому рекомендуем после установки элемента ActiveX модуля «Download Web» вернуть параметры безопасности браузера Internet Explorer в состояние «по умолчанию». Для этого нужно открыть вкладку «сервис» -> «свойства обозревателя» -> «безопасность» -> «по умолчанию» -> нажать «применить» -> «ОК»

4.Устройство можно добавить по уникальному серийному номеру, который можно узнать в меню устройства «Version». (данное меню доступно в настройках видео регистратора, на IP камерах и DVS серийный номер виден через видеовыход в информации при загрузке устройства. Так же серийный номер виден в меню «Версия» при конфигурировании устройства через Web интерфейс или CMS). Серийный номер нужно ввести в поле «MAC Address».

Здесь приведен пример меню «Версия» при конфигурировании устройства через CMS клиент.

Уникальный серийный номер отображен напротив пункта «SerialID».

Так же обращаем Ваше внимание на пункт «Nat статус». Пометка «связанный» свидетельствует о подключении устройства с серверу cloud ченез NAT.

В пункте Nat код статуса отображает IP адрес сервера «xmeye».

Далее нужно задать имя устройства (как оно будет отображаться в списке) и указать учетные данные устройства. -> ОК

На этом все. Поздравляем. Вы только что настроили удаленный просмотр.

Существует еще один способ добавления устройства – через «помощника» (Guide). Для этого на странице авторизации нужно выбрать пункт «Enter Guide», , Убедиться что устройство находится в одной сети с Вашим ПК, и появившемся окне нажать Next. В следующем окне выбрать свое устройство. Настроить сеть.

Создать новую учетную запись. Если у Вас уже есть учетная запись, Вы можете войти под ней, поставив «галочку».

Поздравляем! Вы настроили систему удаленного просмотра и управления Вашим устройством.

Для просмотра удаленного просмотра видео на мобильном устройстве (смартфоне, планшетном ПК и т..д.) необходимо установить приложение XMEYE или vMEyeCloud.

Бывают случаи, когда необходимо обеспечить доступ к видеорегистратору, но провайдер не может дать статический публичный ip адрес или же интернет возможно подключить только через беспроводные сети сотовых операторов и по другому нинкак. Есть конечно вариант включить функцию на видеорегистраторе P2P, но это не совсем безопасно, т.к. вы уже даёте доступ к своему видеорегистратору третьему лицу. Поэтому можно воспользоваться одним из видов VPN соединения - PPTP. Я рассмотрю вариант настройки PPTP сервера и PPTP клиента, но также по аналогии возможно настроить протоколы L2TP или OpenVPN с SSL сертификатом. L2TP или OpenVPN безопаснее, т.к. шифрование трафика более стойкое, чем у PPTP. В других статьях я обязательно приведу примеры их настройки, т.к. бывают случае, когда требуется максимально безопасным создавать тунельное соединение.

Определение PPTP протокола из википедии:

PPTP ( англ. Point-to-Point Tunneling Protocol ) — туннельный протокол типа точка-точка , позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP -пакеты для передачи по глобальной IP-сети, например Интернет . PPTP может также использоваться для организации туннеля между двумя локальными сетями . РРТР использует дополнительное TCP -соединение для обслуживания туннеля.

И описание безопасности протокола PPTP из википедии:

Безопасность протокола PPTP

PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:

MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.
MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс.
В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа.
При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR’а потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ.
MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим к атаке, делающей подмену битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.

Пример настройки с помощью двух роутеров Mikrotik RB951 и модема Yota. Опишу конкретную ситуацию с указанием ip адресов двух локальных сетей и к одному из роутеров подключение проводной провайдер с публичным динамическим ip адресом, тоесь к данному роутеру возможно подключаться, но у него переодически меняется ip адрес.

На первом роутере у нас локальная сеть 192.168.44.0/24

Первый роутер, к которому подключен проводной провайдер и настраиваем с помощью программы Winbox:

И так у нас уже настроен интернет и он работает. При необходимости напишу отдельную статью по настройки интернета на роутерах Mikrotik, но в любом случае в интернете инструкций масса. Первым делом заходим в настройки PPP. В Winbox слева нажимаем на PPP, в открывшемся окне нажимаем на кнопку PPTP Server и его включаем(ставим галку на Enabled).

Далее открываем вкладку Profiles и выбираем профиль default-encryption - это профиль безопасности PPTP сервера. При желании можете почитать описания, если желаете тонко его настроить, если же это будете делать, то аналогично нужно будет настроить на стороне PPTP клиента! В данном случае я ничего не менял, оставил всё по умолчанию.

Потом нам нужно создать интерфейс PPTP сервера для pptp клиента, который будет подключаться, чтобы в дальнейшем возможно было сделать маршрутизацию, увы без неё никак. Идём в закладку Interface, нажимаем на плюс и выбираем PPTP Server Binding. В поле Name пишем к примеру имя юзера pptp клиента, например Vasya, в поле User - Vasya и нажимаем ОК.

Далее заходим в вкладку Secret для создание профиля пользователя(pptp клиента), который будет подключаться для создания тунеля. Нажимаем на плюс, в поле Name пишем Vasya, Password - задаем мегасложный пароль. Service - выбираем pptp, Profile - default - это профиль безопасности, Local Address - задаём 192.168.5.1 - это адрес нашего роутера в pptp тунеле, Remote Address пишем - 192.168.5.2 - это адрес, который получит наш второй роутер(pptp клиент), подключившись по протоколу pptp.

Далее идём в закладку Profiles и открываем профиль default, ничего не трогаем, оставляем всё по умолчанию.

Т.к. у нас публичный динамический ip адрес, то нам нужен сервис DDNS, Mikrotik начиная с версии прошивки 6.XX(точно уже не помню номер) позаботился об этом и предоставил свой сервис. Поэтому выбираем IP-Cloud и галочками включаем и получаем dns имя нашему устройству.

И так теперь настроим фаервол. Заходим в ip - firewall и выбираем вкладку NAT. Для того, чтобы можно было попадать снаружи(из инета) во внутреннюю сеть второго роутера надо сделать маскарадинг, подключающихся адресов из инета. Хм. надеюсь понятно написал. Нажимаем плюс, в Chain выбираем srcnat, в Out. Interface находим наш pptp интерфейс Vasya.

Переходим во вкладку Action, и ставим masquerade

Данное правило должно быть приоритетнее, тоесть выше чем nat(маскарадинг) для выхода в инет

В моём случае нужно было пробросить порты к видеорегистратору RVi, а у них стандартно порты для подключения TCP 37777 и UDP 37778. Для пробраса портов нажимаем плюс выбираем в Chain - dstnat, protocol - tcp, Dst. port - 37777

Переходим в закладку Action и в action выбираем netmap(зеркалирование портов ну или по простому проброс) и указываем ip адрес видеорегистратора, который подключен ко второму роутеру тоесть 192.168.89.250 и порт 37777. Нажимаем Ок. И для проброса порта UDP 37778 делаем аналогично, protocol - UPD, Dst. port - 37778.

Теперь в разделе Firewall переходим во вкладку Filter Rules и делаем разрешающие правила для подключение pptp клиента, тоесть нашего второго Mikrotik-a. Делаем три правила, нажимаем плюс и открываем протоколы gre, tcp порт 1723, udp 1701, 500,4500. В Chain выбираем input. Смотрим скриншот.

Должно получится так:

Для безопасности можно разрешить подключаться к PPTP серверу только определенных ip адресов. Используя любого провайдера в интернете можно найти пул их ip адресов, у yota например очень быстро нашёл возможно даже у них на сайте, но точно уже не помню. И в Mikrotik можно сделать список адресов и разрешить только с них подключаться. Для этого заходим во вкладку Address Lists и создаём список адресов. Нажимаем плюс список к примеру называем по имени провайдера и копируем ip адрес с указанием маски.

В итоге получится так:

И последнее, что нам осталось сделать на первом роутере это сделать маршрутизацию в локальную сеть второго роутера. Локальная сеть второго роутера - 192.168.89.0/24. Для этого заходим в IP-Routes, во вкладке Route нажимаеv плюс и в Dst. Address пишем локальную сеть второго роутера - 192.168.89.0/24. Шлюз, через который идти указываем Vasya, Gateway - Vasya и нажимаем ок.

С первым роутером закончили и теперь приступаем к настройке второго роутера. На нём уже настроен интернет, подключен USB модем Yota и прописана локальная сеть 192.168.89.0/24

В Winbox-e нажимаем на PPP, чтобы настроить pptp клиент. Нажимаем плюс и выбираем PPTP Client, в Name пишем Vasya и переходим во вкладку Dial Out

Тут в Dial out указываем, полученное dns имя первым роутером(там где включали в IP-Cloud). Имя пользователя и пароль пишем тот, который создавали на первом роутере, тоесть логин Vasya и мегасложный пароль. Profile - default-encryption, в разделе Allow везде ставим галки. И нажимаем ок.

Переходим во вкладку Profiles и используем профиль безопасности default-encryption по дефолту. Параметры его такие:

С PPTP клиентом закончили теперь переходим в раздел Ip-Routes и делаем маршрутизацию во внутреннюю сеть первого роутера.

На этом настройка заканчивается. Теперь получается, что при подключении к видеорегистратору вы подключаетесь по dns имени к первому роутеру, а он уже маршрутизирует на второй роутер во внутреннюю сеть. Или проще говоря две внутренние сети между собой соединены виртуально, так как будто всё это оборудование находится в одном месте.

20 Апреля 2017

Интересно почитать

Как подключить ip-камеры к ip-видеорегистратору?
Подключение 4-х ip камер к видеорегистратору при условии, что камеры уже настроены, тоесть имеют ip адреса и подключение к коммутатору или к роутеру по проводной или беспроводной сети.

Настройка FTP сервера для видеонаблюдения

Рассмотрим настройку FTP сервера для видеонаблюдения на примере FileZilla Server - бесплатный, быстро и удобно настраивается.

Не работает P2P
Небольшой лайфхак в случае, когда у вас видеорегистратор Dahua и используется модем yota, и в данной связке у вас не работает P2P. Предполагаю, что данный опыт может пригодиться и с другими производителями видеонаблюдения.

Если вы не помните свой пароль, то введите ваш email и получите ссылку для входа. После авторизации укажите свой новый пароль в настройках профиля.
Ваша корзина пуста

Всего: 0

Заказать

Облачный сервис

Вся линейка IP/гибридного/мультигибридного оборудования Polyvision начиная с 2013г. имеет поддержку «Облачного сервиса».

Что даёт данная технология?

Если у Вас нет статического IP адреса данный сервис позволяет подключиться к камерам/регистраторам, используя «Серийный номер» Вашего устройства (ID). Облачный сервис позволяет подключаться к устройству, смотреть видео в реальном времени - мониторинг, изменять конфигурацию и просматривать архив, с жёсткого диска установленного в регистратор, либо с камеры, если она с поддержкой карты памяти и пишет на неё.

Если вы планируете подключаться с ПК на базе ОС Windows к IP видеокамере, то вначале необходимо добавить её в ПО CMS в локальной сети для настройки.

Подробнее в данной теме:

Использование Облачного сервиса. Что для этого нужно?

Для этого необходимо, чтобы ваше устройство IP камера/регистратор были в сети Ethernet, это можно проверить, зайдя в «Конфигурацию устройства»->«Информация»->«Версия». Организуем видеонаблюдение через облако.

«Nat статус» должен быть связанный, «Nat код статуса» должен быть присвоен. Здесь так же Вы можете увидеть Серийный номер (ID) Вашего устройства. Если «Nat статус» к примеру зондирование DNS, то проверяйте настройки Вашего роутера и сетевые настройки IP камеры/регистратора в локальной сети. Можете воспользоваться для получения корректных настроек сети функцией DHCP, если она присутствует в Вашем роутере и включена и получить корректные сетевые настройки автоматически. Можете обратиться за помощью к системному администратору, либо поискать необходимую информацию в интернете.

Облачный сервис для IP камеры.

Облачный сервис для видеорегистратора

Служба Облачного сервиса должна быть включена. В регистраторах данный вопрос задаётся при включении/перезагрузки регистратора, и в видеорегистраторах и в IP камерах данный сервис включен по умолчанию, проверить это Вы можете во вкладке «Службы»-> «Облако», двойным нажатием левой кнопки мыши заходим в данный сервис.

Для IP камеры.

Для регистратора.

Существует 3 способа подключения, используя «Облачный сервис».

Способ первый.

В ПО CMS имеется возможность использования Облачного сервиса.

Для начала создаём группу, в которую будем добавлять устройства:

Вы увидите окно Зона(Область или Группа)

Вводим название группы, мы ввели единицу. Жмём ОК. После чего станет активно окно Доб. устройство:

Для использования Облачного сервиса необходимо во вкладке Устройства сменить галочку с IP адреса на Cloud:

далее остается ввести Серийный номер камеры/регистратора (ID, который указан в Информации о системе-> Версия), логин и пароль устройства.

Способ второй.

Программное обеспечение VMS (на примере регистратора)

Далее выбираем добавление устройств вручную (Manual Add).

В открывшемся окне необходимо выбрать тип подключения CloudID,

прописать Имя устройства (произвольное), серийный номер ID устройства, логин и пароль (если установлен).

После чего устройство будет добавлено.

Подключение камер через облако. Далее заходим во вкладку Монитор (Monitor) и двойным щелчком мыши по камере выводим в выбранное окно видеопоток с камеры.

Способ третий.

Можно использовать сайт предварительно так же необходимо настроить Ваш браузер.

Сервисы очень похожи в использовании. Хотим отметить, что заведя Личный кабинет в одном из них, Вы можете авторизоваться на любом из этих сайтов, то есть Личный кабинет является общим. После входа у Вас будут доступны все Ваши устройства для работы с ними. Соответственно если один из сервисов не доступен, а такое, может быть, и бывает периодически, проводятся всякого рода профилактические работы и т.д., Вы можете использовать второй, тот, что работает. Недоступность обоих данных сервисов мало вероятна.

Способ четвёртый.

Можно использовать сайт предварительно необходимо в Вашем браузере настроить Active X, инструкцию по работе с браузерами, где описана настройка Active X Вы можете скачать по ссылке:

Необходимо активировать Active X, где пишет «Небезопасно», необходимо установить «Предлагать». Зайдя на данный сайт, откроется страница регистрации.

Существует два режима работы, зарегистрировавшись на сайте, Вы заводите Личный кабинет, либо можете зайти от имени устройства введя его ID, логин и пароль устройства.

Зайдя в свой Личный кабинет, откроется следующая страница.

В «Управлении устройством» Вы можете добавлять устройства, вводя их данные, добавлять эти устройства в список устройств. В «Мои устройства» Вы видите Ваш полный список устройств, имеется возможность проверить Подключение устройств, редактирование данных устройств, возможность подключения к устройствам двойным нажатием ЛКМ.

Примечание: значок означает отсутствие соединения с устройством.

Примечание: для корректной работы облачного сервиса не рекомендуется блокировать следующие порты 80, 8765, 8777, 8000, 7999, 7892, 15002 (TCP/UDP).

Читайте также: