Подключение к компьютеру с динамическим ip

Обновлено: 07.07.2024

Как правило, динамический DNS (DDNS) требуется в случае, когда при выходе в Интернет вам назначается динамический IP адрес и нужно удалённо подключаться к камерам или другим ресурсам внутри сети за роутером. Впрочем, есть и более изощренные схемы организации сети, когда такое соединение необходимо.

Так, в одном из офисов у меня настроено два канала связи от разных провайдеров — основной , со статическим IP-адресом, который указан в настройках VPN-соединения удалённых пользователей и резервный с динамикой. Автоматическим переключением между ними заведует роутер MikroTik.

Всё прекрасно работает до тех пор, пока не случается авария в сети основного провайдера и не происходит переключение на запасной канал связи. Вот тут то все удаленные пользовали и отваливаются. Как быть?

Можно попросить второго провайдера выделить статический адрес и настроить каждому удалённому пользователю ещё одно соединение на случай аварии, но это долго, неудобно и вообще какие-то костыли. Более правильным вариантом будет настроить на роутере DDNS и прописать в настройках VPN-соединения полученный динамический DNS вместо физического IP адреса, выделенного провайдером.

Тут следует учесть один существенный момент, для работы DDNS требуется реальный (белый) адрес от провайдера.

Принцип действия сервиса DDNS заключается в том, чтобы присвоить устройству уникальное доменное имя, которое привязывается к текущему (динамическому) IP-адресу, назначенному интернет-провайдером.

Время жизни (TTL) динамической записи делается очень маленьким и составляет от одной до трёх минут, чтобы другие DNS-сервера не помещали её в свой кэш, а их клиенты не получали устаревшую информацию.

Включаем функцию MikroTik Cloud (DDNS)

Активировать функцию DDNS в роутерах MikroTik довольно просто, достаточно поставить всего одну галочку в настройках. Заходим в web-интерфейс и выбираем IP -> Cloud, где активируем функцию DDNS Enabled:

В течении минуты в поле "DNS name" отобразится полученное уникальное DNS-имя, присвоенное устройству, которое хранится в MikroTik Cloud (изменение IP-адреса автоматически проверяется каждые 60 секунд):

Включить службу ddns можно и через консоль:

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.

Очень часто мы слышим о том, что установить соединение компьютер-компьютер через интернет с динамическими IP – нереально без внешнего сервера.
А также думал, до определенного времени. Потом у меня закрались подозрения… А после мне стало известно очень многое ~~и тайное~~.

Однако скайп, аська для передачи файлов, торренты, в конце концов, используют каким-то образом прямое подключение.
Как? Об этом я и хочу рассказать.

Все совпадения случайны, цифры изначально выдуманы.

На самом деле, без внешнего сервера это действительно нереально. Но есть «хаки» и «моды», которые нам помогут.
Я буду сильно разжевывать. Некоторые мои объяснения могут не сойтись с реальностью, но это делается для того, чтобы было понятно как и что работает, поскольку на практике данных знаний хватит.

Теория

NAT – то, что дает каждому из нас иметь возможность подключаться к интернету, кто сидит с IPv4. Если раздать каждому компьютеру IPv4 адрес, то их не хватит.
NAT позволяет нам скрывать определенные сервисы только для сети… И именно из-за него мы не можем, в большинстве, достучаться до компьютера из интернета.

Представьте, что вы подключаетесь к серверу FTP в пассивном режиме.
Ваш внешний адрес: 43.12.102.14
Ваш внутренний адрес: 192.168.0.2
Адрес вашего NAT: 192.168.0.1

Вы создаете TCP соединение с вашего IP 192.168.0.2, создаете запрос на адрес с 21 портом.

Далее запрос попадает на ваш NAT, который создает в своей небольшой таблице соответствие: TCP-соединение внутренний IP 192.168.0.2, порт 21.
Внешне он создает также порт, например, 54321 со своим адресом.
И переадресует ваш запрос на FTP сервер на 21 порт.
Сервер FTP, получая запрос, видит, что запрос установлен с IP 43.12.102.14 и порта 54321.
Теперь, на время соединения, этот порт является переадресатором на ваш компьютер на порт 21 для TCP соединения.
Как только вы закроете соединение, порт провесит от 3-10 секунд и удалится из таблицы NAT.

Большинство UDP соединений и TCP соединений в программах создаются через данные хаки, постоянно поддерживая подключение.

Практика

Давайте я объясню как создается соединение между компьютерами, когда вы сидите, например, в аське.

Вы создаете изначально соединение с сервером ICQ, который открывает вам порт на компьютере, например, 5191. На другом компьютере открывается также порт с номером 5191.
IP и порты этих пользователей в NAT будут выглядеть, например, так:
1 пользователь: 43.12.102.14:56742
2 пользователь: 43.12.102.15:61782

После этого сервер ICQ сообщает каждому клиенту их внешний IP-адрес и внешний порт.
Пользователь 1 делает соединение на этот внешний IP:Port (43.12.102.15:61782) и попадает на внутренний порт 5191.
Пользователь 2 соглашается на соединение с IP:Port пользователя 1 (43.12.102.15:61782), который переадресуется с NAT на пользователя 1 с портом 5191. Далее происходит пересылка файлов и соединение закрывается. Через некоторое время NAT, видя, что внешние и внутренние порты уже не используются и соединение закрыто, удаляет этот порт для того, чтобы использовать для других соединений.

На картинке это будет выглядеть так:

Как реализовать?

Конечно, не каждый из нас на начале своей карьеры имел внешний сервер, который будет говорить каждому пользователю его внешний IP-адрес и порт.

Но для данных решений существуют свои реализации, например, STUN сервера, которые есть по всему миру, даже публичные.
В большинстве, они созданы для UDP протокола, который используется в тех же торрентах. Однако существуют и STUNT сервера для реализации TCP протокола.

Создавайте, творите, все в ваших руках.

P.S.: Не все NAT способны обеспечить такое соединение, однако, большинство закрытых NAT, следящих за IP соединений, не используются в предоставлении услуг провайдеров.

UDP: в данном контексте, динамическими IP, называются IP адреса, которые не являются внешними, а выдаются вышестоящим NAT.

Примечание: Этот способ решает проблему с динамическим ІР. Если после проделанных шагов вам таки не удалось получить доступ к вашей машине, то возможно стоит проверить настройки удаленного рабочего стола на вашей машине или настройки той программы, которой вы пользуетесь. Также необходимо проверить Firewall на доступность входящих подключений или если у вас есть роутер, то проверить проброс нужных портов.

Для этого необходимо:

2. После этих действий сайт попросит вас зарегистрироваться. На указанный вами адрес почты будет отправлено письмо для активации аккаунта. Перейдите по ссылке в письме для активации вашего нового аккаунта.

4. Теперь необходимо установить клиент DNS update на ваш компьютер. Этот клиент будет постоянно информировать DNS server о состоянии вашего IP адреса, так что изменившись на вашем ПК, он соответственно измениться в доменной записи на сервере. Для Windows и Mac вы можете скачать и установить этот DynDNS Updater. Для Linux можно попробовать установить ddclient. (Примечание: Многие роутеры, которые используются в домашних сетях, поддерживают в себе функции dynamic DNS этих клиентов. Поэтому осмотрите меню конфигурации вашего роутера перед тем как устанавливать одно из этих приложений).

После установки и ввода своего Логина/Пароля в DynDNS Updater для Windows вы должны увидеть следующее окно:

Процесс установки и настройки DynDNS Updater для Windows и Mac достаточно прост, поэтому далее сфокусируемся на установке и настройке ddclient для Linux.

5. Скачайте ddclient, доступный по ссылке выше. Распакуйте tar-архив в Домашнюю директорию. Откройте директорию с файлами клиента ddclient, но пока ничего в ней не делайте.

6. Зайдите в ваш аккаунт в DynDNS и перейдите по следующей ссылке DynDNS Update Client Configurator. Выберите имя вашего хоста (домен, который вы создавали в шаге №1) которое вы хотите использовать и ddclient. Нажмите “Generate”.

8. Запустите терминал и введите в нем следующие команды, после каждой команды нажимаем Enter:

cd ddclient
sudo cp ddclient /usr/sbin/
sudo mkdir /etc/ddclient
sudo cp ddclient.conf /etc/ddclient/ddclient.conf

9. Запустите ddclient с помощью команды:

Как в теории можно организовать удаленный доступ?

Что такое динамический IP-адрес?

Любой пользователь, который выходит в интернет имеет IP-адрес, этот IP-адрес ему предоставляет интернет-провайдер . И в 99% случаев этот адрес динамический.
Динамический IP-адрес – так называется потому, что время от времени он изменяется. Интернет-провайдеры предоставляют динамические IP-адреса, поскольку они экономически более эффективны. Такие IP-адреса интернет-провайдер предоставляет по умолчанию и бесплатно, поэтому большинство интернет пользователей используют именно их.

Один из простых способов получить доступ к вашей системе видеонаблюдения это использовать IP-адрес, но динамический IP-адрес использовать будет затруднительно, так как он все время меняется. Но это беду можно обойти, самый простой способ это сделать использовать DDNS сервис. Он позволит получать вам постоянный доступ к своему роутеру.

С его помощью можно получить постоянный адрес в виде URL для доступа к нашему роутеру, даже если интернет-провайдер выдает динамический IP-адрес, который постоянно меняется.

Однако использовать DDNS сервис можно, только если у вас «белый» динамический IP-адрес. Проблема в том, что у вас может быть «серый» IP-адрес, в этом случае DDNS использовать не получится.

Публичный «Белый» IP-адрес

Динамический IP-адрес может быть «белым», и в этом случае вы сможете подключиться к вашему роутеру .

«Белый» публичный IP-адрес (даже если он динамический) позволяет получить доступ к нашему роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет с вашим роутером и далее к любым сетевым устройством с вашей сети — видеорегистратором или камерой видеонаблюдения неважно.

Однако если «белый» IP-адрес динамический, то периодически он меняется, но это ни разу не беда, так как есть честные бесплатные DDNS сервисы (о них ниже).

Частный «серый» IP-адрес

«Серый» IP-адрес это адрес в локальной сети интернет-провайдера и, следовательно, такие адреса не видны в интернете. А следователь и доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный).

«Серый» IP-адрес это не то чтобы всегда плохо. С точки зрения безопасности в Интернете, т.к. «серые» IP-адреса не видны напрямую и находятся за NAT , который обеспечивает безопасность домашней сети.

Как определить «белый» или «серый» у вас IP-адрес?

Что такое фиксированный внешний IP-адрес?

В отличие от динамического IP-адреса, фиксированный никогда не меняется. Но и предоставляется он за деньги, как правило, абонентская плата в районе 200 рублей в месяц.

Такая услуга есть практически у каждого интернет-провайдера : все, что вам нужно сделать, это заказать фиксированный внешний IP-адрес. Его так же иногда называют «реальным IP», «прямым IP» или «белым» IP-адресом так как «серым» фиксированный внешний IP-адрес быть не может.

С помощью фиксированного внешнего IP-адреса, вы можете всегда сможете настроить доступ к вашей системе видеонаблюдения через интернет. И на первый взгляд даже кажется, что фиксированный адрес имеет преимущество перед динамическим. Однако это так, только при правильном его использовании. При неправильном - вам обеспечены более разнообразные проблемы с кибербезопасностью по сравнению с «серым IP».

Фиксированный внешний IP-адрес, это приглашение для хакеров, которое вам не нужно отправлять так как есть куча интернет-сервисов , которые регулярно проверяют все IP-адреса подряд на предмет уязвимостей, и позволяют буквально в пару кликов найти тысячи устройств, имеющих не только внешний IP, но и ту или иную уязвимость, через которую вас можно взломать. Чтобы они никаких уязвимостей найти не смогли необходимо использовать правильный VPN.

Кроме этого, зная ваш IP, можно устроить DDoS-атаку на вас, за вполне приемлемый прайс. Хотя конечно если вы обычный человек, то вряд ли ваш домашний роутер кто-то будет ддосить.

Как организовать видеонаблюдение с динамическим IP-адресом?

Теперь, когда мы определились с терминами, перейдем к главному вопросу статьи как организовать видеонаблюдение с динамическим IP без абонентской платы.

Однозначного универсального ответа как организовать, видеонаблюдение с динамическим IP нет, есть много отдельных случаев. В некоторых случаях удастся обойтись без абонентки, а в некоторых все-таки придется арендовать фиксированный внешний IP-адрес. Все будет зависеть от того «серые» и «белые» используются IP-адреса, также значение имеют бренды оборудования для видеонаблюдения и бренды ваших роутеров. Ниже мы все подробно разберем.

Перенаправление порта

Перенаправление портов (англ. Port Forwarding)
Виртуальные серверы (англ. Virtual Servers) (на роутерах D-Link, TP-Link и Asus)
Настройка серверов (англ. Servers Setup)
Приложения (англ. Applications)

C использованием DDNS

KeenDNS для роутеров Zyxel
Облако TP-Link для роутеров TP-Link
Asus DDNS для роутеров ASUS

С Использованием UPnP

UPnP (Universal Plug and Play) — это архитектура многоранговых соединений между компьютерами и сетевыми устройствами, установленными, например, дома. UPnP обеспечивает автоматическое подключение устройств друг к другу и их совместную работу в сетевой среде, в результате чего сеть (например, домашняя) становится лёгкой для настройки большему числу пользователей.

Большинство роутеров поддерживает технологию UPnP и данная опция включена в настройках. Так же UPnP поддерживает и большое количество видеорегистраторов и IP-камер, и данная опция включена в настройках. Нажатием кнопки "передать настройку портов UPnP" у вас автоматически на роутере настраивается проброс необходимых портов к вашему видеорегистратору или IP-камере.

Автоматизировать возможность проброса портов кажется неплохой идеей, но только на первый взгляд.

Настройки UPnP на видеорегистраторе Hikvision

Однако, UPnP не использует авторизацию по логину / паролю после настройки правил проброса портов и обращению к устройству, что делает вашу сеть небезопасной и создает уязвимость.
Худший вариант из всех возможных, гигантская дыра в безопасности вашей сети.

Что имеем в итоге, для настройки доступа в лоб, нужен фиксированный внешний IP-адрес, для настройки в DDNS нужен белый динамический. Большинство интернет-провайдеров «серые» IP-адреса, но даже если вы из немногочисленных счастливчиков, лучше не испытывать судьбу, так как злые дяди со скриптами выпотрошат вас быстрее, чем глазом моргнете.

Еще одним минусом данного способа будет то что придется отключить DHCP . Этот протокол автоматически раздает сетевым устройствам IP-адреса в вашей локальной сети, но проблема в том что после перезагрузки роутера например он автоматически может выдать IP-адрес отличный от того который был до перезагрузки. А так как при настройке «проброса портов» вы указали IP-адрес камеры, то меняться он не должен. Значит, DHCP придется отключить и каждое новое устройство добавлять вручную.

Можно быстро и бесплатно настроить перенаправление портов, если провайдер предоставляет вам «белый» IP-адрес.

Перенаправление портов это приглашения для хакеров порезвится в вашей сети, когда вы хлебнете последствий вопрос времени.
Перенаправление порта будет работать только с «белым» динамическим IP-адресом или фиксированным внешним IP-адресом
Придется отключить DHCP
Не подойдет для пользователей с «серыми» IP-адресами
Доступность ваших сетевых устройств зависит от работоспособности DNS сервера, который держит производитель роутера.
DNS сервера производителей роутера находятся за границей, а это значит что во время очередной « охоты на телеграмм » вы можете остаться без видеонаблюдения.
Производителей роутеров может передумать поддерживать свой DDNS , и вы останетесь без возможности его использовать и соответственно без доступа к своей системе видеонаблюдения.
Провайдер может блокировать открытие дополнительных портов, и это не единственная проблема с DDNS , которая может быть.

Облачные сервисы производителей роутеров

Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
Более высокий уровень кибербезопасности, чем использование проброса портов. Ваш роутер, а значит все ваши данные и устройства находятся за NAT провайдера, а значит, в гораздо большей безопасности, чем с использованием «белых» IP-адресов.

Перенаправление портов это приглашения для хакеров порезвится в вашей сети, когда вы хлебнете последствий вопрос времени.
Провайдер может блокировать открытие дополнительных портов
Придется отключить DHCP
Физический сервер, на котором крутится облачный сервис производителя роутера, находится за границей, а это значит что во время очередной « охоты на телеграмм » вы можете остаться без видеонаблюдения.
Производитель может вносить изменения в работу своего облака, вот например KeenDNS отключает 5 своих доменных имен , соответственно если вы регистрировали доменное имя в одной из этих зон, то вам нужно будет заходить в настройки роутера и регистрировать имя на другом домене. Это если вы отследили, что такое изменение будет, всего скорее вы это обнаружите в тот момент, когда доменные имена будут отключены, и ваше видеонаблюдение упадет.
Нельзя использовать другие протоколы, часто нужные для организации видеонаблюдения, например протокол RTSP .

Облачные сервисы производителей оборудования для видеонаблюдения

Hik-Connect работает только с оборудованием HikVision и их же вторым брендом HiWatch
DirectIP только с оборудованием IDIS

И тут наверно вы уже хотите меня спросить, а чем в таком случае могут помочь облачные сервисы производителей видеонаблюдения, если система видеонаблюдения уже у вас есть.

И ответ здесь прост, если вы хотите использовать облако от производителей, вы можете купить P2P видеорегистратор , это как раз те регистраторы, которые поддерживают облачные сервисы производителей видеонаблюдения.

А камеры видеонаблюдения вы сможете оставить старые и подключить их к новому видеорегистратору с поддержкой облачного сервиса . Причем, не особо важно какие у вас камеры аналоговые или IP, так как и те и другие современные видеорегистраторы поддерживают облачные удаленный доступ.

Т.е. у вас будут разовые затраты на видеонаблюдение, но удастся избежать постоянных затрат в виде абонентской платы.

Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
Позволяют получать доступ к просмотру живого видео и к видеоархиву на видеорегистраторе.

Ограничения в выборе оборудования, облачный сервис одного производителя работает только с его оборудованием.
Физические сервера, на которых крутится облачный сервис производителя видеонаблюдения, находятся за границей, а это значит, что во время очередной « охоты на телеграмм », вы можете остаться без видеонаблюдения.
У китайских брендов отвратительная кибербезопасность как оборудования, так и облачных сервисов.

Облачное видеонаблюдение от операторов

Операторы это компании, которые не производят оборудование для видеонаблюдения. Они заказывают оборудование под своим брендом (OEM) и разрабатывают софт, который позволяет организовать удаленный просмотр живого видео и архива.

Например, компания Ivideon пытается в первую очередь впарить свое OEM барахло плюс свой облачный хостинг за абонентскую плату. Но если поковыряться на сайте вы без особого труда найдете программное обеспечение Ivideon Server и Client, которое можно использовать для подключения почти любых камер и просмотра их через интернет, но для этого вам нужно будет присесть на иглу абонентской платы.

Программное обеспечение нужно устанавливать на компьютер, что само по себе это плохая идея, так как ваш компьютер в таком случае будет работать 24 часа в сутки. Что приведет к его повышенному износу, особенно если вы собираетесь писать на этот комп видеоархив.

Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
Позволяют получать доступ к просмотру живого видео и к видеоархиву на компьютере.

Ежемесячная абонентская плата.
Круглосуточно работающий компьютер.
Расход ресурсов компьютера на обработку видео.
Плохая кибербезопасность, и самое плохое то, что если хакеры взломают такой обратный сервис, то получат все и сразу, вот недавно одну «звезду» облачного видеонаблюдения поломали, и получили доступ к 150 тыс. камер видеонаблюдения .
Зависимость от работоспособности облака

Виртуальные частные сети (VPN)

И вот тут мы подошли с вами к золотому стандарту организации удаленного доступа. И золотой он, потому что при правильной настройке его не могут ни расшифровать, ни взломать, ни спецслужбы, ни хакеры.

Существуют разные протоколы VPN-соединения, их детальный разбор выходит за рамки этой статьи. С моей точки зрения IPsec IKEv2 лучше всего подходит для организации видеонаблюдения, в первую очередь, потому что это современный VPN протокол, разработанный Microsoft и Cisco и он быстрее своих не менее надежных собратьев.

При прочих равных условиях, IKEv2 будет всегда быстрее чем, например OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

Плюс IPsec IKEv2 «вшит» в iOS, macOS и Windows и является для них нативным, не требуя установки никакого дополнительного ПО. Для Android потребуется ставить приложение, например strongSwan он выпускаться под лицензией GPL.

Также мы не будем рассматривать различные архитектуры VPN соединений, а сразу рассмотрим архитектуру, которая наиболее подходит для специфики видеонаблюдения. Которая заключается в том, что у нас будет много клиентских подключений, например с ноутбука, смартфонов, стационарных компьютеров.

Для этого нам нужно взять один приличный роутер, например MikroTik RB4011iGS+RM , чтобы организовать на нем VPN сервер.

И роутеры попроще, на которых мы поднимем VPN клиенты, например MikroTik RB3011UIAS-RM.

И в результате мы сможем с вами реализовать примерно такую архитектуру:

Пуленепробиваема кибербезопасность.
Все элементы сетевой инфраструктуры находятся в России, а значит, даже Роспотребнадзор не сможет вас оставить без системы видеонаблюдения.
Позволяет получить удаленный доступ даже с «серыми» IP-адресами там, где используется VPN Клиент.
Позволяет использовать весь функционал видеонаблюдения.

Абонентская плата за один фиксированный внешний адрес
Сложная первоначальная настройка
Затраты на покупку роутеров

Вывод

Хороших производителей видеонаблюдения не то чтобы много, но они есть . А вот хороших коробочных решений для организации удаленного доступа нет и, похоже, не предвидится.

Единственный хороший вариант это надежный VPN, но для того чтобы его организовать нужны навыки администрирования и приличное сетевое оборудование. По счастью у нас есть и первое, и второе, так что если вам нужен царский VPN для обеспечения вашей кибербезопасности и защиты ваших персональных данных мы его вам в два счета организуем .

Несмотря на то, что VPN стоит денег, выбора похоже уже нет, киберпреступность растет гигантскими темпами, только по официальным данным , число преступлений с использованием интернета возросло на 91% и в 2021 рост продолжится.

Перефразируя одного известного чекиста, то, что вас не коснулась киберпреступность это не ваша заслуга, а недоработка киберпреступников. Но судя по 91% росту, они намерены исправится.

Читайте также: