| Журнал ТЗ | Статьи, обзоры, аналитические материалы

Автор: Алексей ТИТОВ, генеральный директор «Интемс»
Как подключиться к камере видеонаблюдения через интернет, если у вас динамический IP-адрес

Сегодня возможность просмотра видео через интернет – обязательное требование к системе. Сделать качественное удаленное подключение непросто, так как большинство пользователей интернета используют «серые» динамические IP-адреса.
Есть несколько способов организовать видеонаблюдение с динамическим IP-адресом, однако большинство способов несет гораздо больше рисков, чем преимуществ. Но это не означает, что хороших вариантов нет.
Давайте сразу поставим три условия, исходя из которых, мы будем выбирать решения.

Решение должно быть максимально экономичным
В первую очередь, я имею в виду абонентскую плату. Меня, так же как и вас бесят все эти продавцы воздуха, которые хотят посадить нас с вами на иглу ежемесячной абонентской платы. Сразу скажу, что абсолютно бесплатных и надежных решений почти нет, но есть варианты, которые помогут ощутимо сэкономить.

Решение должно быть постоянным
Это означает, что ты один раз настраиваешь и забываешь об этой проблеме на всю жизнь, и просто пользуешься. Поэтому мы сразу отметем разного рода бесплатные тарифы. У одного их них, например, есть возможность пользоваться бесплатно, но необходимо каждые 30 дней заходить в личный кабинет и подтверждать свои хосты, иначе они будут удалены.

Решение должно быть кибербезопасным
Об этом, конечно, пока еще мало кто задумывается, но недалек тот день, когда проблема кибербезопасности будет волновать всех и каждого. Так как уже сейчас в сети можно найти десятки тысяч видео с взломанных камер. Доступ к камерам продается в интернете, а в новостях регулярно проскакивают сюжеты о том, как какой-нибудь особо «одаренный» пранкер взломал камеру и напугал ребенка (камеры для домашнего использования, как правило, содержат динамик и микрофон).

Как в теории можно организовать удаленный доступ?
Существует всего 5 распространенных вариантов создания удаленного доступа к системе видеонаблюдения:

- Перенаправление порта с использованием DDNS или UPnP.
- Облачные сервисы производителей роутеров.
- Облачные сервисы производителей оборудования для видеонаблюдения.
- Облачное видеонаблюдение от операторов.
- Виртуальные частные сети (VPN).
Прежде чем мы перейдем к детальному разбору этих способов, придется немного вникнуть в сетевую терминологию.

Что такое динамический IP-адрес?
Любой пользователь, который выходит в интернет, имеет IP-адрес, его предоставляет интернет-провайдер. И в 99% случаев этот адрес динамический.
Динамическим IP-адрес называется потому, что время от времени он изменяется. Интернет-провайдеры предоставляют динамические IP-адреса, поскольку они экономически более эффективны. Такие IP-адреса интернет-провайдер предоставляет по умолчанию и бесплатно, поэтому большинство интернет-пользователей используют именно их.
Один из простых способов получить доступ к вашей системе видеонаблюдения – использовать IP-адрес, но динамический IP-адрес использовать будет затруднительно, так как он все время меняется. Но эту проблему можно решить, самый простой способ – использовать DDNS-сервис. Он позволит получать постоянный доступ к роутеру.
С его помощью можно получить постоянный адрес в виде URL для доступа к роутеру, даже если интернет-провайдер выдает динамический IP-адрес, который постоянно меняется.
Однако использовать DDNS-сервис можно только в том случае, если у вас «белый» динамический IP-адрес. Проблема в том, что у вас может быть «серый» IP-адрес, в этом случае DDNS использовать не получится.

Публичный «белый» IP-адрес
Динамический IP-адрес может быть «белым», и в этом случае вы сможете подключиться к роутеру. «Белый» публичный IP-адрес (даже если он динамический) позволяет получить доступ к роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет с вашим роутером и далее с любым сетевым устройством вашей сети – видеорегистратором или камерой видеонаблюдения.
Однако если «белый» IP-адрес динамический, то периодически он меняется, но это не беда, так как есть бесплатные DDNS-сервисы (о них ниже).

Частный «серый» IP-адрес
«Серый» IP-адрес – это адрес в локальной сети интернет-провайдера, такие адреса не видны в интернете. А, следовательно, и доступ к сети интернет, используя частный IP-адрес, невозможен. В этом случае связь с интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный).
«Серый» IP-адрес – это не то чтобы всегда плохо с точки зрения безопасности в интернете, так как «серые» IP-адреса не видны напрямую и находятся за NAT, который обеспечивает безопасность домашней сети.

Как определить «белый» или «серый» у вас IP-адрес?
Важный вопрос, без ответа на который трудно понять, как двигаться дальше.
Роутер может сам предупреждать об этом. Именно так работают, например, роутеры ASUS. Если вы используете «серый» IP-адрес и попробуете включить DDNS, роутер ASUS выведет предупреждающее сообщение, что это невозможно. Значит ваш IP-адрес «серый».
Если у вас нет роутера, который может самостоятельно уведомлять о том, какой IP-адрес используется, есть другой способ. Для этого придется зайти в настройки роутера и посмотреть WAN IP-адрес, в зависимости от модели роутера сделать это можно в разных разделах. Обычно на главной странице или в разделе WAN или интернет.
Мой роутер, как видно на скриншоте, выдает IP-адрес: 10.0.10.8 Дальше нужно зайти на сайт, на котором можно посмотреть ваш внешний IP-адрес.
Как видно на скриншоте, www.2ip.ru выдает IP-адрес: 77.111.245.14, этот адрес отличается от того, который видно на моем роутере. Это значит у меня IP-адрес «серый».
Соответственно, когда WAN IP-адрес роутера отличается от адреса, который показывает www.2ip.ru, это будет означать что ваш IP-адрес «серый».

Что такое фиксированный внешний IP-адрес?
В отличие от динамического IP-адреса, фиксированный никогда не меняется. Но предоставляется он за деньги.
Такая услуга есть практически у каждого интернет-провайдера: все, что нужно сделать, это заказать фиксированный внешний IP-адрес. Его также иногда называют «реальным IP», «прямым IP» или «белым» IP-адресом так как «серым» фиксированный внешний IP-адрес быть не может.
С помощью фиксированного внешнего IP-адреса можно всегда настроить доступ к системе видеонаблюдения через интернет. И на первый взгляд, даже кажется, что фиксированный адрес имеет преимущество перед динамическим. Однако это так, только при правильном его использовании. При неправильном вам обеспечены более разнообразные проблемы с кибербезопасностью по сравнению с «серым IP».
Фиксированный внешний IP-адрес – это, по сути, «приглашение» для хакеров, причем его не нужно отправлять, так как есть куча интернет-сервисов, которые регулярно проверяют все IP-адреса подряд на предмет уязвимостей и позволяют буквально в пару кликов найти тысячи устройств, имеющих не только внешний IP, но и ту или иную уязвимость, через которую вас можно взломать. Чтобы они никаких уязвимостей найти не смогли необходимо использовать правильный VPN.
Кроме этого, зная ваш IP, можно устроить DDoS-атаку за вполне приемлемые деньги. Хотя, конечно, если вы обычный человек, то вряд ли ваш роутер кто-то будет ддосить.

Как организовать видеонаблюдение с динамическим IP-адресом ?
Теперь, когда мы определились с терминами, перейдем к главному вопросу статьи: как организовать видеонаблюдение с динамическим IP без абонентской платы.
Универсального ответа нет. В некоторых случаях удастся обойтись без абонентной платы, а в некоторых все-таки придется арендовать фиксированный внешний IP-адрес.
Все будет зависеть от того «серые» и «белые» используются IP-адреса, также значение имеют бренды оборудования для видеонаблюдения и бренды ваших роутеров. Ниже мы все подробно разберем.

Перенаправление порта
Этот способ имеет смысл рассматривать, когда у вас уже есть система видеонаблюдения, и вы озаботились настройкой удаленного доступа к ней. Для начала определимся, зачем вообще нужно использовать порты. Дело в том, что у вас в лучшем случае имеется только один внешний (WAN) IP-адрес и, допустим, 5 камер. Для того чтобы обеспечить доступ к 5 камерам, необходимо использовать разные порты. «Пробросить» порты – это значит дать команду роутеру зарезервировать один порт и все приходящие на него данные для передачи на определенное сетевое устройство в вашей сети, например на IP-камеру.
Для этого на роутере задается правило перенаправления внешнего порта с внешнего (WAN) IP-адреса на внутренний (LAN) IP-адрес выбранного сетевого устройства, например, IP-камеры в вашей локальной сети. Правило настраивается в роутере, в зависимости от его модели пункт меню, который необходимо выбрать для настройки, может называться по–разному:

- перенаправление портов (англ. Port Forwarding);
- виртуальные серверы (англ. Virtual Servers) (на роутерах D-Link, TP-Link и Asus);
- настройка серверов (англ. Servers Setup);
- приложения (англ. Applications).
Для настройки проброса портов на конкретной модели роутера лучше «загуглить» перенаправление порта «ваша модель роутера» или посмотреть паспорт к устройству.
Настройка правил перенаправления порта на примере роутера D-Link
Для работы правил перенаправления вам понадобится исключительно фиксированный внешний IP-адрес. А мы уже с вами обсуждали, что использования фиксированных внешних адресов мы будем избегать, ибо они предоставляются только за абонентскую плату. Тем более, что сделать это достаточно просто, производители роутеров бесплатно предоставляют DDNS-сервисы, которые позволяют обойтись без фиксированного внешнего IP-адреса.

C использованием DDNS
Динамический DNS (Dynamic DNS) позволяет присвоить постоянное доменное имя (адрес для доступа из интернета) публичному динамическому IP-адресу, который роутер получает от провайдера. Соответственно, для доступа к роутеру и сетевым устройствам мы будем использовать вместо IP-адреса доменное имя.
Облачные сервисы DDNS – платные, хотя многие и имеют бесплатный тариф, но пользоваться им, как правило, невозможно. Но многие производители роутеров имеют собственные DDNS-сервисы, довольно ограниченные в настройках, зато абсолютно бесплатные.
- KeenDNS для роутеров Zyxel
- Облако TP-Link для роутеров TP-Link
- Asus DDNS для роутеров ASUS

Настройка доменного имени (имя хоста) с использованием DDNS от ASUS
Регистрацию в Asus DDNS можно пройти прямо на роутере, после регистрации, вы получите доменное имя (хостнейм), что-нибудь типа mycam12345.asuscomm.com.
Далее необходимо настроить переадресацию портов до нужного вам устройства в домашней локальной сети, об этом я писал выше. В этом случае обращение к камере через интернет будет происходить через доменное имя с указанным портом mycam12345.asuscomm.com:порт.
Первая ложка дегтя в этот, кажущийся бочкой меда, способ, добавят интернет-провайдеры. Дело в том, что сервис DDNS будет работать только с «белым» динамическим IP-адресом, а большинство используемых интернет- пользователями IP-адресов – «серые».

Просмотр камеры через браузер

С использованием UPnP
UPnP (Universal Plug and Play) – это архитектура многоранговых соединений между компьютерами и сетевыми устройствами. UPnP обеспечивает автоматическое подключение устройств друг к другу и их совместную работу в сетевой среде, в результате чего сеть становится простой для настройки пользователями.
Большинство роутеров поддерживает технологию UPnP, и данная опция включена в настройки. UPnP поддерживает и большое количество видеорегистраторов и IP-камер, и данная опция включена в настройки. Нажатием кнопки «передать настройку портов UPnP» на роутере автоматически настраивается проброс необходимых портов к видеорегистратору или IP- камере.
Автоматизировать возможность проброса портов кажется неплохой идеей, но только на первый взгляд.

Настройки UPnP на видеорегистраторе
Однако UPnP не использует авторизацию по логину / паролю после настройки правил проброса портов и обращения к устройству, что делает вашу сеть небезопасной и создает уязвимость. Худший вариант из всех возможных – гигантская дыра в безопасности сети.
В итоге: для настройки доступа в лоб, нужен фиксированный внешний IP- адрес, для настройки в DDNS нужен белый динамический. Большинство интернет-провайдеров предоставляет «серые» IP-адреса, но даже если вы – из немногочисленных счастливчиков, лучше не испытывать судьбу, так как злые дяди со скриптами выпотрошат вас быстрее, чем глазом успеете моргнуть.
Еще одним минусом данного способа будет то, что придется отключить DHCP. Этот протокол автоматически раздает сетевым устройствам IP-адреса в вашей локальной сети, но проблема в том, что после перезагрузки роутера он, например, автоматически может выдать IP-адрес, отличный от того, который был до перезагрузки. А так как при настройке «проброса портов» вы указали IP-адрес камеры, то меняться он не должен. Значит, DHCP придется отключить, и каждое новое устройство добавлять вручную.

Плюсы
Можно быстро и бесплатно настроить перенаправление портов, если провайдер предоставляет «белый» IP-адрес.

Минусы
- Перенаправление портов – это «приглашение» для хакеров.
- Перенаправление порта будет работать только с «белым» динамическим IP-адресом или фиксированным внешним IP-адресом.
- Придется отключить DHCP.
- Не подойдет для пользователей с «серыми» IP-адресами.
- Доступность ваших сетевых устройств зависит от работоспособности DNS-сервера, который держит производитель роутера.
- DNS-серверы производителей роутера находятся за границей, а это значит, что во время очередной «охоты на телеграмм» вы можете остаться без видеонаблюдения.
- Производитель роутеров может передумать поддерживать свой DDNS, и вы останетесь без возможности его использовать и, соответственно, без доступа к системе видеонаблюдения.
- Провайдер может блокировать открытие дополнительных портов, и это не единственная проблема с DDNS, которая может быть.
Промежуточный вывод: перенаправление портов лучше не использовать, самая главная его проблема в том, что он дает доступ в вашу сеть, попав в которую хакеры могу осуществлять кучу неприятных вещей типа воровства ваших денег или любой другой частной информации. А функцию UPnP лучше сразу отключать на всех ваших сетевых устройствах.

Источник: https://securityrussia.com/blog/udalennoe-videonabljudenie.html

В № 1-2022 – окончание статьи: облачные сервисы производителей роутеров и оборудования для видеонаблюдения, облачное видеонаблюдение от операторов, виртуальные частные сети (VPN).

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru