Удаленный ips что это

Обновлено: 06.07.2024

Нельзя сказать, что задача удаленного доступа к устройствам в домашней локальной сети является очень распространенной и, вероятно, большая часть пользователей с ней даже никогда не встречалась. Однако все чаще в локальной сети появляются устройства и сервисы, с которыми хотелось бы работать удаленно. В качестве примера можно назвать сетевые накопители с библиотекой файлов, видеокамеры, устройства домашней автоматизации. В некоторых случаях может быть достаточно предоставляемых производителями собственных реализаций облачного доступа или даже просто проброса портов на роутере. Но если таких устройство много, существенно удобнее иметь возможность прямого обращения ко всей сети сразу, что может быть обеспечено сервисами VPN. Кроме того, этим технологии помогут и объединить две или несколько сетей в одну с прозрачным обменом данными между ними.

В данной публикации нет задачи максимально подробно рассказать про все распространенные протоколы VPN и их особенности. Сосредоточимся преимущественно на практической стороне вопроса сценария подключения удаленного клиента и попробуем сравнить разные варианты по удобству и производительности.

Сервисы VPN сегодня все чаще встречаются в прошивках беспроводных роутеров и, пожалуй, наибольшее их число представлено в решениях Keenetic, так что именно они и будут использованы в статье. Заметим, что если говорить именно о скорости, очень многое в данном случае зависит и от аппаратной платформы роутера и от программной реализации. Причем второй аспект может быть даже важнее. Кроме того, поскольку прошивки обычно закрытые, то и доступные через Web-интерфейс набор параметров серверов может отличаться. Влияние на производительность, конечно, оказывают и настройки сервисов. В данной статье я обычно использовал заданные производителем значения по умолчанию.

Также стоит отметить, что конкретно у решений Keenetic есть очень подробная база знаний на сайте, в статьях которой приводятся примеры настройки и использования дополнительных сервисов, включая все описанные в статье.

Текущая линейка продуктов компании основана на двух моделях процессоров (SoC) производства Mediatek – MT7628 и MT7621. На первом, имеющим одно вычислительное ядро, реализованы модели со 100 Мбит/с портами. Второй, с двумя ядрами, способными исполнять четыре потока, используется в устройствах с гигабитными портами. Более подробную информацию о конфигурациях устройств можно получить, например, в форуме iXBT.

Так что по сути, если взять по одному представителю на каждом чипе, можно охватить всю линейку роутеров компании в описываемой задаче, поскольку Wi-Fi, порты USB и объемы памяти здесь не существенны.

Для теста использовались устройства Keenetic City KN-1510 (младшая из двухдиапазонных) и Keenetic Ultra KN-1810 (старшая модель на данный момент).

Напомним, что прошивки у данного производителя модульные, так что в общем случае каждый пользователь может собрать свой уникальный вариант из требуемых сервисов и функций. Однако если для старших моделей с флешпамятью большой емкости можно не переживать про объем, то для младших ситуация существенно сложнее. В частности в данном тестировании приходилось добавлять на Keenetic City не более двух серверов за один раз. Кроме того, при анализе результатов не забываем, что эта модель имеет только 100 Мбит/с порты, что в определенных режимах будет выступать ограничением.

Все рассматриваемые в статье протоколы для своей работы в обязательном порядке требуют белого адреса на стороне сервера, что выглядит вполне логичным. Однако один из вариантов, благодаря специальным решениям Keenetic, можно использовать и без него.

Тестирование проводилось с прошивками версии 3.3.16. Режим подключения к Интернет – IPoE. В тестировании оценивалась скорость доступа внешнего клиента к компьютеру внутри локальной сети за роутером.

PPTP и L2TP

Одни из наиболее известных протоколов для реализации удаленного доступа – PPTP и L2TP. Первый уже считается небезопасным, хотя продолжает использоваться из-за невысокой требовательности к ресурсам. Заметим, что в нем предусмотрен как вариант без шифрования трафика, так и с ним. Одной из особенностей данного решения является использование специального протокола туннелирования, который часто бывает заблокирован домашними провайдерами, что приводит к невозможности использования данного типа подключения. Кроме того, используемые алгоритмы шифрования обычно не «ускоряются» специальными блоками в SoC.

Второй запомнился, прежде всего, использованием в сети одного из крупных отечественных провайдеров и отсутствием его поддержки у недорогих роутеров многих производителей.

Штатные клиенты для этих протоколов существуют во многих операционных системах, включая мобильные, что упрощает настройку подключения. Заметим, однако, что для L2TP обычно используется вариант L2TP/IPSec, в котором кроме привычного имени и пароля пользователя нужно также указать и общий ключ. Он и будет протестирован в этот раз.

Подключить сервисы несложно – после установки соответствующих модулей необходимо в меню «Управление» — «Приложения» включить серверы.


Из настроек предусмотрены разрешение нескольких одновременных входов для одного аккаунта, активация NAT для клиентов (они смогут выходить в Интернет через этот роутер), выбор IP-адресов для выделения клиентам и выбор сегмента сети для доступа.


Кроме того, для PPTP можно разрешить подключения без шифрования, а для L2TP/IPSec необходимо установить общий секретный ключ.


Оба сервиса позволяют запрограммировать в роутере несколько учетных записей пользователей и разрешить им доступ по VPN.

При настройке клиентов необходимо указать внешний адрес роутера (IP или имя хоста, что можно реализовать, например, через KeenDNS), аккаунт пользователя, для L2TP/IPSec – дополнительно общий секретный ключ. При работе с PPTP и штатным клиентом Windows необходимо учесть описанные в статье базы знаний особенности.

Для данных протоколов использовались штатные клиенты ОС Windows 10.


Keenetic City в PPTP без шифрования показывает близкие к скорости портов результаты. Хотя, вероятно, мало кого устроит незащищенное от перехвата данных подключение. Использование MPPE в PPTP снижает показатели примерно до 30 Мбит/с, что, в целом, очень неплохо для относительно недорогой модели (напомню, что сходные цифры будут и на самом младшем устройстве текущей линейки). Что касается L2TP/IPSec, то здесь можно рассчитывать не более чем на 10 Мбит/с, поскольку в данном случае применяется шифрование DES, а в Keenetic City оно не поддерживается аппаратно.


Заметно более мощная платформа Keenetic Ultra показывает и более высокие результаты: до 300 Мбит/с в PPTP без шифрования и в среднем около 80 Мбит/с в PPTP с шифрованием и L2TP/IPSec.

Итого мы видим, что данные реализации обеспечивают хорошую производительность, за исключением L2TP/IPSec на младшей модели, и просты в настройке благодаря стандартным клиентам.

OpenVPN

Следующий по распространенности в серверах домашних роутеров протокол VPN – OpenVPN. Благодаря реализации с открытым исходным кодом на базе библиотеки OpenSSL, данный протокол очень часто встречается в совершенно разных продуктах, а найти под него клиента не составляет труда для большинства операционных систем.

Данный сервис имеет очень гибкие настройки (включая режим работы, выбор опций шифрования, сертификаты, ключи, маршрутизация и так далее), которые обычно задаются в виде текстовых конфигурационных файлах. Это имеет и обратную сторону – новичкам может быть непросто настроить работу по данному протоколу. Но если говорить о Keenetic, то в статьях базы знаний можно скачать готовые конфигурационные файлы, в которых нужно будет только поменять адрес сервера. Впрочем, с точки зрения безопасности, безусловно, нужно будет сделать свои ключи или сертификаты.

Протокол использует через стандартные соединения TCP или UDP и позволяет выбрать порт. Так что работать с ним можно будет практически в любой ситуации.


В роутерах Keenetic нет отдельного пункта «сервер OpenVPN», данный тип соединений настраивается в разделе «Интернет» — «Другие подключения». Кроме того, потребуется настроить еще несколько опций в других местах (в частности правила для межсетевого экрана), а в некоторых случаях – и в консоли. На сайте поддержки Keenetic этому протоколу посвящено несколько подробных материалов. При определенном опыте, можно реализовать одновременное обслуживание сервером нескольких клиентов. Но это будет явно сложнее, чем простое добавление пользователей в общий список доступа. Для тестов использовался стандартный клиент для Windows с сайта OpenVPN.


По скорости на младшей модели мы получаем до 10 Мбит/с, а на старшей – примерно в два с половиной раза больше. Данный протокол, вероятно из-за своей гибкости, имеет определенные сложности работы через «ускорители», так что скорость работы принесена в жертву универсальности. Впрочем, на других SoC (в частности, топовых Broadcom) его реализация показывает в несколько раз более высокие результаты.

Данный вариант можно рекомендовать сторонникам открытого программного обеспечения и тем, кому требуется максимальная гибкость настройки сервисов. В плюсах также возможность работы по стандартным TCP/UDP соединениям и любым портам.

Реализация данного сервера в Keenetic интересна тем, что позволяет осуществлять удаленный доступ без белого адреса на роутере – через сервис Keenetic Cloud с шифрованием на всем пути. Заметим, что при работе через облако Keenetic Cloud, по своей сути, невозможно обеспечить гарантированную скорость доступа, поскольку нагрузка зависит от числа пользователей и их активности. В тестах использовалось прямое подключение и штатный клиент в Windows.



В целом результаты аналогичны предыдущему участнику – до 10 Мбит/с на младшей модели и до 30 Мбит/с на старшей.

IPSec

Эта группа протоколов, пожалуй, наиболее часто упоминается для решения задачи объединения сетей у «больших компаний на серьезном оборудовании». Основной проблемой при работе с IPSec для обычных пользователей является сложность настройки, так что на наш взгляд, его использование с домашним оборудованием является уделом хорошо подготовленных сотрудников ИТ-отделов или энтузиастов. С другой стороны, его реализация в Keenetic присутствует, а на сайте поддержки есть соответствующие статьи базы знаний. Потратив немного больше времени, чем с другими участниками, вполне можно настроить его работу со стандартным клиентом Windows.


Как и для OpenVPN, работа с IPSec осуществляется в разделе «Интернет» — «Другие подключения». Набор параметров явно не для новичка в сетевых технологиях. Нужно выбрать вариант идентификации, опции для двух фаз осуществления соединения, маршруты и так далее. Непросто настроить и соединение со стороны клиента. Можно конечно попробовать действовать «по картинкам», но если что-то пойдет не так, разобраться, не имея определенной базы знаний, будет сложно. Посмотрим, стоила ли игра свеч с точки зрения скорости.


Судя по результатам – вполне. Младшая модель способна обеспечить защищенное соединение со скоростью порядка 50 Мбит/с, а старшая работает в три раза быстрее. Да, конечно это решение не для всех, учитывая сложности настройки. Скорее данный тип соединения будет интересен для сценария объединения сетей, а не подключения удаленных клиентов.

Кстати, в прошивках Keenetic есть и специальный сервер IPSec (Virtual IP), который позволяет легко настроить доступ к роутеру и локальной сети за ним с мобильных устройств на Android и iOS через их штатные клиенты. В нем используется общий ключ и учетная запись пользователя. Остальные параметры установлены автоматичеки по требованиям совместимости с клиентами.

WireGuard

Еще один новый игрок в сегменте VPN-сервисов – протокол WireGuard. Можно сказать, что ему буквально на днях исполнилось два года. Он похож на OpenVPN по своему статусу программного обеспечения с открытым исходным кодом. При этом авторы WireGuard постарались сосредоточиться на использовании современных технологий и протоколов согласования ключей и шифрования и обойти узкие места других реализаций. Это позволило существенно сократить объем кода, оптимизировать скорость и реализовать решение в виде модуля для ядра Linux. В настоящий момент есть клиенты для всех распространенных операционных систем для компьютеров и мобильных устройств.


Сложность настройки в текущей реализации Keenetic можно оценить как среднюю. Сервис заводится в разделе «Интернет» — «Другие подключения» и позволяет также объединять сети, а не только подключать удаленных клиентов. Сначала производится генерация пары ключей (закрытого и публичного) для сервера. На тоже клиенте будет проведена аналогичная операция. В настройках пиров нужно будет указывать публичные ключи второй стороны. Также на стороне роутера присутствует выбор номера порта, подсетей и другие параметры. В случае вопросов, лучше обратиться на сайт поддержки Keenetic, где описаны процедура настройки этого сервиса. Кроме того, потребуется настройка правил межсетевого экрана и маршрутизации. В случае необходимости выхода удаленного клиента в Интернет через роутер нужно будет поработать и в консоли. В фирменном клиенте для Windows конфигурация задается в виде текстового файла. Параметры аналогичны настройкам в роутере. При необходимости на стороне сервера можно запрограммировать несколько пиров, что позволит одному серверу обслуживать одновременно несколько клиентов.


Тестирование показало, что данных протокол выступает по скорости очень хорошо и его результаты сравнимы с традиционным IPSec. Младшая модель способна показать 40-50 Мбит/с, а старшая – 150-220 Мбит/с.

На наш взгляд, это очень неплохое начало. Если бы еще немного упростить конфигурацию (например, создавать все требуемые настройки на стороне роутера, так что пользователю останется только скачать готовый файл настроек и импортировать его на клиенте), то будет и удобно, и быстро, и безопасно.

Заключение

Все рассмотренные протоколы удаленного доступа имеют свои уникальные особенности и выбор будет зависеть от условий и требований пользователя, включая уровень подготовки и тип операционной системы на клиенте. С точки зрения простоты настройки оптимальным универсальным вариантом можно считать L2TP/IPSec. Однако на младших моделях он все-таки небыстрый, так что и PPTP найдется место. SSTP имеет смысл в случае отсутствия белого адреса на роутере. Если же хочется скорости, то стоит посмотреть в сторону WireGuard, но нужно будет потратить немного больше времени на настройку. OpenVPN и IPSec выберут те, кто уже знаком с этими протоколами и умеет с ними обращаться.


    Решение должно быть за минимум денег В первую очередь я имею в виду абонентскую плату. Меня, так же как и вас бесят все эти продавцы воздуха, которые хотят посадить нас с вами на иглу ежемесячной абонентской платы, тем самым превратив в дойную корову. Сразу скажу, что абсолютно бесплатных решений и надежных решений почти нет, но есть варианты здорово сэкономить.

Как в теории можно организовать удаленный доступ?

Что такое динамический IP-адрес?

Любой пользователь, который выходит в интернет имеет IP-адрес, этот IP-адрес ему предоставляет интернет-провайдер . И в 99% случаев этот адрес динамический.
Динамический IP-адрес – так называется потому, что время от времени он изменяется. Интернет-провайдеры предоставляют динамические IP-адреса, поскольку они экономически более эффективны. Такие IP-адреса интернет-провайдер предоставляет по умолчанию и бесплатно, поэтому большинство интернет пользователей используют именно их.

Один из простых способов получить доступ к вашей системе видеонаблюдения это использовать IP-адрес, но динамический IP-адрес использовать будет затруднительно, так как он все время меняется. Но это беду можно обойти, самый простой способ это сделать использовать DDNS сервис. Он позволит получать вам постоянный доступ к своему роутеру.

С его помощью можно получить постоянный адрес в виде URL для доступа к нашему роутеру, даже если интернет-провайдер выдает динамический IP-адрес, который постоянно меняется.

Однако использовать DDNS сервис можно, только если у вас «белый» динамический IP-адрес. Проблема в том, что у вас может быть «серый» IP-адрес, в этом случае DDNS использовать не получится.

Публичный «Белый» IP-адрес

Динамический IP-адрес может быть «белым», и в этом случае вы сможете подключиться к вашему роутеру .

«Белый» публичный IP-адрес (даже если он динамический) позволяет получить доступ к нашему роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет с вашим роутером и далее к любым сетевым устройством с вашей сети — видеорегистратором или камерой видеонаблюдения неважно.

Однако если «белый» IP-адрес динамический, то периодически он меняется, но это ни разу не беда, так как есть честные бесплатные DDNS сервисы (о них ниже).

Частный «серый» IP-адрес

«Серый» IP-адрес это адрес в локальной сети интернет-провайдера и, следовательно, такие адреса не видны в интернете. А следователь и доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный).

«Серый» IP-адрес это не то чтобы всегда плохо. С точки зрения безопасности в Интернете, т.к. «серые» IP-адреса не видны напрямую и находятся за NAT , который обеспечивает безопасность домашней сети.

Как определить «белый» или «серый» у вас IP-адрес?

Что такое фиксированный внешний IP-адрес?

В отличие от динамического IP-адреса, фиксированный никогда не меняется. Но и предоставляется он за деньги, как правило, абонентская плата в районе 200 рублей в месяц.

Такая услуга есть практически у каждого интернет-провайдера : все, что вам нужно сделать, это заказать фиксированный внешний IP-адрес. Его так же иногда называют «реальным IP», «прямым IP» или «белым» IP-адресом так как «серым» фиксированный внешний IP-адрес быть не может.

С помощью фиксированного внешнего IP-адреса, вы можете всегда сможете настроить доступ к вашей системе видеонаблюдения через интернет. И на первый взгляд даже кажется, что фиксированный адрес имеет преимущество перед динамическим. Однако это так, только при правильном его использовании. При неправильном - вам обеспечены более разнообразные проблемы с кибербезопасностью по сравнению с «серым IP».

Фиксированный внешний IP-адрес, это приглашение для хакеров, которое вам не нужно отправлять так как есть куча интернет-сервисов , которые регулярно проверяют все IP-адреса подряд на предмет уязвимостей, и позволяют буквально в пару кликов найти тысячи устройств, имеющих не только внешний IP, но и ту или иную уязвимость, через которую вас можно взломать. Чтобы они никаких уязвимостей найти не смогли необходимо использовать правильный VPN.

Кроме этого, зная ваш IP, можно устроить DDoS-атаку на вас, за вполне приемлемый прайс. Хотя конечно если вы обычный человек, то вряд ли ваш домашний роутер кто-то будет ддосить.

Как организовать видеонаблюдение с динамическим IP-адресом?

Теперь, когда мы определились с терминами, перейдем к главному вопросу статьи как организовать видеонаблюдение с динамическим IP без абонентской платы.

Однозначного универсального ответа как организовать, видеонаблюдение с динамическим IP нет, есть много отдельных случаев. В некоторых случаях удастся обойтись без абонентки, а в некоторых все-таки придется арендовать фиксированный внешний IP-адрес. Все будет зависеть от того «серые» и «белые» используются IP-адреса, также значение имеют бренды оборудования для видеонаблюдения и бренды ваших роутеров. Ниже мы все подробно разберем.

Перенаправление порта

  • Перенаправление портов (англ. Port Forwarding)
  • Виртуальные серверы (англ. Virtual Servers) (на роутерах D-Link, TP-Link и Asus)
  • Настройка серверов (англ. Servers Setup)
  • Приложения (англ. Applications)

C использованием DDNS

  • KeenDNS для роутеров Zyxel
  • Облако TP-Link для роутеров TP-Link
  • Asus DDNS для роутеров ASUS

С Использованием UPnP


UPnP (Universal Plug and Play) — это архитектура многоранговых соединений между компьютерами и сетевыми устройствами, установленными, например, дома. UPnP обеспечивает автоматическое подключение устройств друг к другу и их совместную работу в сетевой среде, в результате чего сеть (например, домашняя) становится лёгкой для настройки большему числу пользователей.

Большинство роутеров поддерживает технологию UPnP и данная опция включена в настройках. Так же UPnP поддерживает и большое количество видеорегистраторов и IP-камер, и данная опция включена в настройках. Нажатием кнопки "передать настройку портов UPnP" у вас автоматически на роутере настраивается проброс необходимых портов к вашему видеорегистратору или IP-камере.

Автоматизировать возможность проброса портов кажется неплохой идеей, но только на первый взгляд.

Настройки UPnP на видеорегистраторе Hikvision

Однако, UPnP не использует авторизацию по логину / паролю после настройки правил проброса портов и обращению к устройству, что делает вашу сеть небезопасной и создает уязвимость.
Худший вариант из всех возможных, гигантская дыра в безопасности вашей сети.

Что имеем в итоге, для настройки доступа в лоб, нужен фиксированный внешний IP-адрес, для настройки в DDNS нужен белый динамический. Большинство интернет-провайдеров «серые» IP-адреса, но даже если вы из немногочисленных счастливчиков, лучше не испытывать судьбу, так как злые дяди со скриптами выпотрошат вас быстрее, чем глазом моргнете.

Еще одним минусом данного способа будет то что придется отключить DHCP . Этот протокол автоматически раздает сетевым устройствам IP-адреса в вашей локальной сети, но проблема в том что после перезагрузки роутера например он автоматически может выдать IP-адрес отличный от того который был до перезагрузки. А так как при настройке «проброса портов» вы указали IP-адрес камеры, то меняться он не должен. Значит, DHCP придется отключить и каждое новое устройство добавлять вручную.

  • Можно быстро и бесплатно настроить перенаправление портов, если провайдер предоставляет вам «белый» IP-адрес.
  • Перенаправление портов это приглашения для хакеров порезвится в вашей сети, когда вы хлебнете последствий вопрос времени.
  • Перенаправление порта будет работать только с «белым» динамическим IP-адресом или фиксированным внешним IP-адресом
  • Придется отключить DHCP
  • Не подойдет для пользователей с «серыми» IP-адресами
  • Доступность ваших сетевых устройств зависит от работоспособности DNS сервера, который держит производитель роутера.
  • DNS сервера производителей роутера находятся за границей, а это значит что во время очередной « охоты на телеграмм » вы можете остаться без видеонаблюдения.
  • Производителей роутеров может передумать поддерживать свой DDNS , и вы останетесь без возможности его использовать и соответственно без доступа к своей системе видеонаблюдения.
  • Провайдер может блокировать открытие дополнительных портов, и это не единственная проблема с DDNS , которая может быть.

Облачные сервисы производителей роутеров

  • Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
  • Более высокий уровень кибербезопасности, чем использование проброса портов. Ваш роутер, а значит все ваши данные и устройства находятся за NAT провайдера, а значит, в гораздо большей безопасности, чем с использованием «белых» IP-адресов.
  • Перенаправление портов это приглашения для хакеров порезвится в вашей сети, когда вы хлебнете последствий вопрос времени.
  • Провайдер может блокировать открытие дополнительных портов
  • Придется отключить DHCP
  • Физический сервер, на котором крутится облачный сервис производителя роутера, находится за границей, а это значит что во время очередной « охоты на телеграмм » вы можете остаться без видеонаблюдения.
  • Производитель может вносить изменения в работу своего облака, вот например KeenDNS отключает 5 своих доменных имен , соответственно если вы регистрировали доменное имя в одной из этих зон, то вам нужно будет заходить в настройки роутера и регистрировать имя на другом домене. Это если вы отследили, что такое изменение будет, всего скорее вы это обнаружите в тот момент, когда доменные имена будут отключены, и ваше видеонаблюдение упадет.
  • Нельзя использовать другие протоколы, часто нужные для организации видеонаблюдения, например протокол RTSP .

Облачные сервисы производителей оборудования для видеонаблюдения

  • Hik-Connect работает только с оборудованием HikVision и их же вторым брендом HiWatch
  • DirectIP только с оборудованием IDIS

И тут наверно вы уже хотите меня спросить, а чем в таком случае могут помочь облачные сервисы производителей видеонаблюдения, если система видеонаблюдения уже у вас есть.

И ответ здесь прост, если вы хотите использовать облако от производителей, вы можете купить P2P видеорегистратор , это как раз те регистраторы, которые поддерживают облачные сервисы производителей видеонаблюдения.

А камеры видеонаблюдения вы сможете оставить старые и подключить их к новому видеорегистратору с поддержкой облачного сервиса . Причем, не особо важно какие у вас камеры аналоговые или IP, так как и те и другие современные видеорегистраторы поддерживают облачные удаленный доступ.

Т.е. у вас будут разовые затраты на видеонаблюдение, но удастся избежать постоянных затрат в виде абонентской платы.

  • Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
  • Позволяют получать доступ к просмотру живого видео и к видеоархиву на видеорегистраторе.
  • Ограничения в выборе оборудования, облачный сервис одного производителя работает только с его оборудованием.
  • Физические сервера, на которых крутится облачный сервис производителя видеонаблюдения, находятся за границей, а это значит, что во время очередной « охоты на телеграмм », вы можете остаться без видеонаблюдения.
  • У китайских брендов отвратительная кибербезопасность как оборудования, так и облачных сервисов.

Облачное видеонаблюдение от операторов

Операторы это компании, которые не производят оборудование для видеонаблюдения. Они заказывают оборудование под своим брендом (OEM) и разрабатывают софт, который позволяет организовать удаленный просмотр живого видео и архива.

Например, компания Ivideon пытается в первую очередь впарить свое OEM барахло плюс свой облачный хостинг за абонентскую плату. Но если поковыряться на сайте вы без особого труда найдете программное обеспечение Ivideon Server и Client, которое можно использовать для подключения почти любых камер и просмотра их через интернет, но для этого вам нужно будет присесть на иглу абонентской платы.

Программное обеспечение нужно устанавливать на компьютер, что само по себе это плохая идея, так как ваш компьютер в таком случае будет работать 24 часа в сутки. Что приведет к его повышенному износу, особенно если вы собираетесь писать на этот комп видеоархив.

  • Позволяет получить удаленный доступ даже с «серыми» IP-адресами.
  • Позволяют получать доступ к просмотру живого видео и к видеоархиву на компьютере.
  • Ежемесячная абонентская плата.
  • Круглосуточно работающий компьютер.
  • Расход ресурсов компьютера на обработку видео.
  • Плохая кибербезопасность, и самое плохое то, что если хакеры взломают такой обратный сервис, то получат все и сразу, вот недавно одну «звезду» облачного видеонаблюдения поломали, и получили доступ к 150 тыс. камер видеонаблюдения .
  • Зависимость от работоспособности облака

Виртуальные частные сети (VPN)

И вот тут мы подошли с вами к золотому стандарту организации удаленного доступа. И золотой он, потому что при правильной настройке его не могут ни расшифровать, ни взломать, ни спецслужбы, ни хакеры.

Существуют разные протоколы VPN-соединения, их детальный разбор выходит за рамки этой статьи. С моей точки зрения IPsec IKEv2 лучше всего подходит для организации видеонаблюдения, в первую очередь, потому что это современный VPN протокол, разработанный Microsoft и Cisco и он быстрее своих не менее надежных собратьев.

При прочих равных условиях, IKEv2 будет всегда быстрее чем, например OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

Плюс IPsec IKEv2 «вшит» в iOS, macOS и Windows и является для них нативным, не требуя установки никакого дополнительного ПО. Для Android потребуется ставить приложение, например strongSwan он выпускаться под лицензией GPL.

Также мы не будем рассматривать различные архитектуры VPN соединений, а сразу рассмотрим архитектуру, которая наиболее подходит для специфики видеонаблюдения. Которая заключается в том, что у нас будет много клиентских подключений, например с ноутбука, смартфонов, стационарных компьютеров.

Для этого нам нужно взять один приличный роутер, например MikroTik RB4011iGS+RM , чтобы организовать на нем VPN сервер.


И роутеры попроще, на которых мы поднимем VPN клиенты, например MikroTik RB3011UIAS-RM.



И в результате мы сможем с вами реализовать примерно такую архитектуру:

  • Пуленепробиваема кибербезопасность.
  • Все элементы сетевой инфраструктуры находятся в России, а значит, даже Роспотребнадзор не сможет вас оставить без системы видеонаблюдения.
  • Позволяет получить удаленный доступ даже с «серыми» IP-адресами там, где используется VPN Клиент.
  • Позволяет использовать весь функционал видеонаблюдения.
  • Абонентская плата за один фиксированный внешний адрес
  • Сложная первоначальная настройка
  • Затраты на покупку роутеров

Вывод

Хороших производителей видеонаблюдения не то чтобы много, но они есть . А вот хороших коробочных решений для организации удаленного доступа нет и, похоже, не предвидится.

Единственный хороший вариант это надежный VPN, но для того чтобы его организовать нужны навыки администрирования и приличное сетевое оборудование. По счастью у нас есть и первое, и второе, так что если вам нужен царский VPN для обеспечения вашей кибербезопасности и защиты ваших персональных данных мы его вам в два счета организуем .

Несмотря на то, что VPN стоит денег, выбора похоже уже нет, киберпреступность растет гигантскими темпами, только по официальным данным , число преступлений с использованием интернета возросло на 91% и в 2021 рост продолжится.

Перефразируя одного известного чекиста, то, что вас не коснулась киберпреступность это не ваша заслуга, а недоработка киберпреступников. Но судя по 91% росту, они намерены исправится.

Каждый подключенный к сети компьютер имеет ip-адрес (Internet Protocol Address) – уникальный сетевой идентификатор. Иногда возникает необходимость узнать ip-адрес того или иного сетевого ресурса или компьютера конкретного пользователя.

Как узнать ip удаленного компьютера

  • Как узнать ip удаленного компьютера
  • Как определить ip-адрес по имени
  • Как узнать id чужого компьютера

Иногда возникает необходимость узнать ip-адрес, с которым в данный момент соединен ваш компьютер. Например, идет общение по ICQ и вам хочется проверить ip собеседника. В этом случае можно воспользоваться командой «netstat». Снова откройте командную строку, введите (без кавычек): «netstat –aon», нажмите Enter. Появится список текущих подключений для вашего компьютера, среди них будет и нужный ip-адрес.

Команда «netstat –aon» полезна еще и тем, что во многих случаях позволяет выявить наличие в системе подозрительных подключений. Например, вы видите, что к порту 30327 в данный момент подключились с такого-то ip-адреса. Это свидетельствует о том, что на вашем компьютере, скорее всего, присутствует троянская программа. В том случае, если подключения в данный момент нет, порт компьютера, используемый серверной частью троянской программы (присутствующей на вашем компьютере), будет находиться в состоянии ожидания подключения – LISTENING. Если вы видите открытыми порты, не используемые обычными для вашего компьютера программами, обязательно выясните, что за программы их открывают.

Следующий вариант определения ip можно использовать в том случае, если вам пришло письмо по электронной почте и вы хотите узнать ip-адрес отправителя. В этом случае помогут почтовые программы Outlook или The Bat! – с их помощью можно просмотреть заголовок письма, содержащий все данные по его отправке. Найдите в заголовке строку «Received: from», сразу за ней будет указан ip отправителя письма.

Рассказываем, что за услуга такая — «внешний IP-адрес», зачем она нужна и чем вы рискуете, если ее подключите.


Что такое IP-адрес и как это все работает

Это похоже на офисную АТС: когда вам звонят из какой-нибудь фирмы, то всегда определяется один и тот же номер, а телефоны разных сотрудников имеют дополнительные, внутренние номера. Дозвониться до конкретного человека напрямую нельзя, но можно набрать общий номер — и секретарь соединит вас с нужным абонентом.

Механизм NAT может работать по цепочке — например, ваш домашний Wi-Fi-роутер создает локальную сеть со своими IP-адресами и переадресует пакеты, направляемые в сеть провайдера и из нее. При этом он может даже не знать, что сам находится за NAT провайдера. Казалось бы, все прекрасно, зачем тогда внешний IP-адрес?

Дело в том, что с NAT все отлично работает до тех пор, пока все соединения инициируются именно из внутренней сети. То есть если это вы открываете сайты, скачиваете файлы и смотрите видео. Но если к вашему устройству нужно подключиться из Интернета, то через NAT это реализовать невозможно: все пакеты, которые поступят на IP-адрес провайдера, уйдут в никуда, потому что они не являются ответом на чей-то внутренний запрос, и кому их слать дальше — непонятно.

Поэтому для тех случаев, когда к своей сети нужен доступ извне, используют внешний IP-адрес — уникальный и неповторимый. Это примерно как телефону директора в офисе присвоить отдельный прямой городской номер, чтобы те, кто его знает, могли позвонить сразу ему, минуя секретаря.

Зачем нужен внешний IP

Дома это может пригодиться, например, если вы хотите получать доступ к файлам на домашнем компьютере с работы или, скажем, из гостей, вместо того чтобы держать их в облачных хранилищах.

Очень популярны внешние IP-адреса у геймеров: можно создать собственный сервер для многопользовательской игры со своими правилами, модами, картами и приглашать друзей играть. А еще внешний IP-адрес нужен для стриминга игр с удаленных устройств типа Xbox, Playstation или вашего игрового компьютера на ноутбук, когда вы, допустим, решили поиграть в гостях или в поездке.

После этого все команды устройствам вы отправляете не напрямую им, а на этот сервер. В свою очередь, устройства периодически обращаются к нему и спрашивают, не поступило ли для них команд. При таком подходе реальный IP не требуется — на всех этапах система NAT понимает, куда возвращать пакеты. Заодно через этот же сервер вы можете получать информацию с устройств и управлять ими из любой точки мира.

Чем опасен внешний IP

Главная опасность внешнего IP-адреса заключается в том же, в чем и его преимущество: он позволяет подключиться к вашему устройству напрямую из Интернета. Из любой точки мира, кому угодно — то есть и злоумышленникам тоже. Затем, используя те или иные уязвимости, киберпреступники вполне могут добраться до ваших файлов и украсть какую-нибудь конфиденциальную информацию, которую потом можно или продать, или вас же ею и шантажировать.

Кроме того, злоумышленник может изменить настройки вашего доступа в Интернет, например, заставить роутер вместо некоторых сайтов подсовывать вам их фишинговые копии — тогда у вас очень быстро украдут все логины и пароли.

Как хакеры узнают, на кого нападать? Во-первых, есть общедоступные интернет-сервисы, которые регулярно проверяют все IP-адреса подряд на предмет уязвимостей и позволяют буквально в пару кликов найти тысячи устройств, имеющих ту или иную дырку, через которую их можно взломать. Во-вторых, при желании злоумышленники могут узнать именно ваш IP — например, через запущенный Skype. Еще ваш адрес видно, когда вы просто заходите на страницы сайтов.

Как защититься

Лучший способ защиты — это, конечно, вообще не использовать внешний IP-адрес, особенно если вы не уверены, что он вам необходим. Не ведитесь на рекламу интернет-провайдеров, как бы убедительна она ни была.

Если же уверены, что прямой IP вам нужен, то первым делом поменяйте используемый по умолчанию пароль от роутера. Это не защитит вас от хакеров, эксплуатирующих уязвимости конкретной модели устройства, но спасет от менее квалифицированных злоумышленников. Хорошей идеей будет использовать роутер той модели, в которой меньше известных и популярных среди хакеров дырок — правда, чтобы это понять, придется как следует порыться в Интернете.

Прошивку роутера желательно регулярно обновлять — в более свежих версиях прошивок, как правило, устраняют ошибки, которые были найдены в ранних версиях. И, конечно, в роутере нужно включить все имеющиеся встроенные средства защиты — в домашних моделях это не самые эффективные решения, но хоть что-то.

Кроме того, желательно использовать VPN — например, Kaspersky Secure Connection. Тогда ваш внешний IP-адрес, по крайней мере, не будет виден везде, где вы бываете в Интернете: вместо него будет отображаться адрес VPN-сервера.

Наконец, не пренебрегайте защитными решениями как на компьютерах, так и на мобильных устройствах. Сегодня они не просто ловят зловредов, но и позволяют защититься от другого рода атак вроде перенаправления на зловредные сайты или добавления вредоносной рекламы — а именно такие атаки наиболее вероятны при взломе роутера.

Читайте также: