- Маршрутизатор с поддержкой протокола туннелирования. В нашем варианте это VPN — OpenVPN.
- Сервер, который будет принимать подключения от удаленных 3/4G и предоставлять к ним доступ для клиентов из сети Интернет.
В данной статье мы рассмотрим настройки маршрутизатора на стороне веб-камеры (DVR). Сначала небольшая картинка, иллюстрирующая общую схему подключения веб-камеры (DVR):
Внимание! Материал рассчитан на подготовленных пользователей, готовых «перепрошить» маршрутизатор firmware DD-WRT. Если вы не обладаете знаниями в этой области, вам лучше обратиться к специалисту.
В качестве маршрутизаторы мы будем использовать устройство с прошивкой DD-WRT. Сначала настроим VPN связь «Services ->VPN->OpenVPN Client». Предполагается что модем 3/4G уже подключен к маршрутизатору и доступ в Интернет есть. Включим ПО клиента OpenVPN:
Настроим параметры VPN:
Зададим сертификаты OpenVPN:
Нам нужны следующие сертификаты и ключи:
- «CA Cert» — корневой сертификат сервера VPN;
- «Public Client Cert» — публичный сертификат выданный клиенту сервером (администратором сервера) VPN;
- «Private Client Key» — личный ключ клиента выданный клиенту сервером (администратором сервера) VPN;
- «TA Auth Key» — ключ предварительной аутентификации сервера VPN.
Все эти параметры генерируются на стороне сервера и выдаются вам администратором сервера VPN.
Проверим. Для этого зайдем, например, на страничку «Status->Bandwidth» настроек маршрутизатора. Если подключение по VPN было успешным вы должны увидеть, что добавился новый интерфейс tun1:
Настроим доступ к видеокамере. Определим IP адрес видеокамеры. Способы могут быть разные. Можно, например, зайти на страничку «Status->LAN» маршрутизатора и выбрать нужный IP в списке «Active Clients» по его MAC-адресу (который как правило нанесен на корпусе веб-камеры).
Лучше «зафиксировать» IP адрес выдаваемый видеокамере, чтобы при дальнейшей работе он не менялся и нам не пришлось бы все перенастраивать заново. Это можно сделать в меню «Servcies->Services->Static Leases» маршрутизатора, добавив MAC и IP адреса, полученные на предыдущем шаге, в данный список.
Настроим «проброс портов». Настраивать будем в двух местах. Сначала общая переадресация портов «NAT/QoS->Port Range Forwarding»:
Если бы мы использовали «обычное» подключение, с реальным IP, то на этом можно было бы и остановиться. Маршрутизатор и камера были бы «видны» из Интернет по имени или по IP. Но мы используем VPN, поэтому нам необходимо, чтобы веб-камера была видна и через интерфейс tun1 — «Administration->Commands->Save->Firewall»:
Внимание! Так как многие веб-камеры (DVR) для доступа по-умолчанию используют порт 80 (HTTP), то для устранения возможных проблем впоследствии с панелью управления маршрутизатора мы рекомендуем вам оставить для управления только HTTPS:
Перезагрузим маршрутизатор — «Administration->Management->Reboot router».
Проверим еще раз что VPN подключен (см. выше).
На этом настройка на стороне клиента (веб-камеры) закончена.
Продолжение следует…
Комментарии (7)
AxianLTD Автор
21.04.2015 14:291. Пока не видел ни одной компании предоставляющей услуги видеонаблюдения использующей всегда устройства одного и того же производителя да еще один и тот же тип камеры.
2. Облачный сервис чей? Как вы думаете компания с более менее приличными коммерческими секретами доверит их каким-то китайским или американским сервисам? Не говоря уже, например про тот же Росатом или что-то похожее. А мобильное видеонаблюдение нужно многим. Если нам удастся «допинать» китайских производителей на встройку OpenVPN в их камеры и DVR, то вопросы выбора облачного сервиса будет открытым и каждый сможет выбирать.
3. Данное решение появилось как ответ на множественные запросы наших клиентов DDNS (https://dynru.ru)
Второе замечание не понял. NAT правила задаются для ethernet интерфейсов средствами DD-WRT, но из-за косяка в прошивках (или это фича?) на ppp интерфейсы правила приходится добавлять в виде скрипта.ofigenn
26.04.2015 02:26AxianLTD Автор
26.04.2015 16:20Если посмотреть внимательно, то это только для камер произведенных для этого сервиса. Я за то чтобы в камеры встраивали универсальный механизм, не привязанный к конкретному производителю.
AxianLTD Автор
26.04.2015 16:24И еще, это не совсем то о чем идет речь. Сервис spacecam не поддерживает подключение с «серых» адресов. Или они чего-то не договаривают.
Bessome
Сейчас в каждой более-менее достойной камере есть коннект на свой «облачный» сервер, с которого можно забирать картинку. Этот вариант тестировали?
А если обычный нат, то сохранять правила файрвола не надо?
P.S. картинки не открылись.