Доступ к устройствам, подключенным к Интернет через сеть мобильного оператора возможен в настоящее время только с использованием технологии обратного VPN. Поэтому, для организации удаленного видеонаблюдения через сети 3G/4G нам необходимы два компонента:
  • Маршрутизатор с поддержкой протокола туннелирования. В нашем варианте это VPN — OpenVPN.
  • Сервер, который будет принимать подключения от удаленных 3/4G и предоставлять к ним доступ для клиентов из сети Интернет.

В данной статье мы рассмотрим настройки маршрутизатора на стороне веб-камеры (DVR). Сначала небольшая картинка, иллюстрирующая общую схему подключения веб-камеры (DVR):

Внимание! Материал рассчитан на подготовленных пользователей, готовых «перепрошить» маршрутизатор firmware DD-WRT. Если вы не обладаете знаниями в этой области, вам лучше обратиться к специалисту.
В качестве маршрутизаторы мы будем использовать устройство с прошивкой DD-WRT. Сначала настроим VPN связь «Services ->VPN->OpenVPN Client». Предполагается что модем 3/4G уже подключен к маршрутизатору и доступ в Интернет есть. Включим ПО клиента OpenVPN:

Настроим параметры VPN:

Зададим сертификаты OpenVPN:

Нам нужны следующие сертификаты и ключи:
  • «CA Cert» — корневой сертификат сервера VPN;
  • «Public Client Cert» — публичный сертификат выданный клиенту сервером (администратором сервера) VPN;
  • «Private Client Key» — личный ключ клиента выданный клиенту сервером (администратором сервера) VPN;
  • «TA Auth Key» — ключ предварительной аутентификации сервера VPN.

Все эти параметры генерируются на стороне сервера и выдаются вам администратором сервера VPN.
Проверим. Для этого зайдем, например, на страничку «Status->Bandwidth» настроек маршрутизатора. Если подключение по VPN было успешным вы должны увидеть, что добавился новый интерфейс tun1:

Настроим доступ к видеокамере. Определим IP адрес видеокамеры. Способы могут быть разные. Можно, например, зайти на страничку «Status->LAN» маршрутизатора и выбрать нужный IP в списке «Active Clients» по его MAC-адресу (который как правило нанесен на корпусе веб-камеры).

Лучше «зафиксировать» IP адрес выдаваемый видеокамере, чтобы при дальнейшей работе он не менялся и нам не пришлось бы все перенастраивать заново. Это можно сделать в меню «Servcies->Services->Static Leases» маршрутизатора, добавив MAC и IP адреса, полученные на предыдущем шаге, в данный список.
Настроим «проброс портов». Настраивать будем в двух местах. Сначала общая переадресация портов «NAT/QoS->Port Range Forwarding»:

Если бы мы использовали «обычное» подключение, с реальным IP, то на этом можно было бы и остановиться. Маршрутизатор и камера были бы «видны» из Интернет по имени или по IP. Но мы используем VPN, поэтому нам необходимо, чтобы веб-камера была видна и через интерфейс tun1 — «Administration->Commands->Save->Firewall»:

Внимание! Так как многие веб-камеры (DVR) для доступа по-умолчанию используют порт 80 (HTTP), то для устранения возможных проблем впоследствии с панелью управления маршрутизатора мы рекомендуем вам оставить для управления только HTTPS:

Перезагрузим маршрутизатор — «Administration->Management->Reboot router».
Проверим еще раз что VPN подключен (см. выше).
На этом настройка на стороне клиента (веб-камеры) закончена.


Продолжение следует…

Комментарии (7)


  1. Bessome
    21.04.2015 07:13

    Доступ к устройствам, подключенным к Интернет через сеть мобильного оператора возможен в настоящее время только с использованием технологии обратного VPN.

    Сейчас в каждой более-менее достойной камере есть коннект на свой «облачный» сервер, с которого можно забирать картинку. Этот вариант тестировали?

    Но мы используем VPN, поэтому нам необходимо, чтобы веб-камера была видна через интерфейс tun1 — «Administration->Commands->Save->Firewall»

    А если обычный нат, то сохранять правила файрвола не надо?

    P.S. картинки не открылись.


  1. AxianLTD Автор
    21.04.2015 14:29

    1. Пока не видел ни одной компании предоставляющей услуги видеонаблюдения использующей всегда устройства одного и того же производителя да еще один и тот же тип камеры.
    2. Облачный сервис чей? Как вы думаете компания с более менее приличными коммерческими секретами доверит их каким-то китайским или американским сервисам? Не говоря уже, например про тот же Росатом или что-то похожее. А мобильное видеонаблюдение нужно многим. Если нам удастся «допинать» китайских производителей на встройку OpenVPN в их камеры и DVR, то вопросы выбора облачного сервиса будет открытым и каждый сможет выбирать.
    3. Данное решение появилось как ответ на множественные запросы наших клиентов DDNS (https://dynru.ru)

    Второе замечание не понял. NAT правила задаются для ethernet интерфейсов средствами DD-WRT, но из-за косяка в прошивках (или это фича?) на ppp интерфейсы правила приходится добавлять в виде скрипта.


    1. maledog
      21.04.2015 18:13

      1. AxianLTD Автор
        23.04.2015 08:09

        Да, и поставить еще компьютер с сервером Ivedeon который содержит тот же vpn-клиент. Тоже самое, что описано в статье, только компьютер плюсом.
        Правильно было бы добавить в DVR OpenVPN клиента и всех этих плясок можно было бы избежать.


    1. ofigenn
      26.04.2015 02:26

      1. AxianLTD Автор
        26.04.2015 16:20

        Если посмотреть внимательно, то это только для камер произведенных для этого сервиса. Я за то чтобы в камеры встраивали универсальный механизм, не привязанный к конкретному производителю.


        1. AxianLTD Автор
          26.04.2015 16:24

          И еще, это не совсем то о чем идет речь. Сервис spacecam не поддерживает подключение с «серых» адресов. Или они чего-то не договаривают.