Доступ к IP-камере через VPN-сервер

Доступ к IP-камере через VPN-сервер

При подключении к интернет-центру сетевых камер или видеорегистраторов (далее IP-камер) часто возникает задача организовать доступ из Интернета к веб-интерфейсу камер для управления и просмотра видеопотоком.

Для подключения потребуется:
— Публичный (белый) IP-адрес на внешнем интерфейсе роутера для выхода в Интернет. При наличии частного «серого» IP-адреса, доступ из Интернета к веб-интерфейсу IP-камеры возможен через сервис доменных имен (например KeenDNS), который позволит получить постоянный интернет-адрес.
— Локальный IP-адрес камеры и номер порта подключения. Нужно выяснить, какой номер порта(ов) используется в IP-камере (например, эту информацию можно найти в меню настроек или документации). Это может быть один порт, например порт 80 используется для подключения к веб-интерфейсу IP-камеры или несколько сетевых портов (80-й для доступа к веб-интерфейсу, TCP/5000 для доступа к IP-камере через специальное ПО и RTSP/554 для потокового видео).
— Логин и пароль IP-камеры.

VPN-сервер PPTP

Сервер PPTP обеспечивает возможность защищенного доступа к домашней сети через Интернет со смартфона, планшета или компьютера откуда угодно, как если бы вы находились у себя дома. PPTP (Point-to-Point Tunneling Protocol) самый доступный и простой способ подключения к VPN.

Для настройки сервера обязательно нужно установить компонент системы «PPTP VPN-сервер». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

Создайте нового пользователя с необходимыми настройками:

Далее выполните настройку сервера.

Параметр «Множественный вход» управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге.
По умолчанию на сервере включена опция «Только с шифрованием». Это означает, что в туннеле будет использоваться протокол шифрования данных MPPE (Microsoft Point-to-Point Encryption).
В настройках сервера по умолчанию включена опция «NAT для клиентов». Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.
В настройках сервера в поле «Доступ к сети» также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
В разделе «Пользователи» выберите пользователей, которым хотите разрешить доступ к PPTP-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

Маршрутизация сетей через VPN

Предположим, что интернет-центр Keenetic#1 подключен к сети Интернет через провайдера, предоставившего «белый» публичный IP-адрес. На этом интернет-центре будет включен один из VPN-серверов (L2TP/IPsec, PPTP, SSTP).
Интернет-центр D-Link#2 имеет выход в Интернет через провайдера, который предоставил «серый» IP-адрес.
Интернет-центр D-Link#2 автоматически устанавливает подключение к VPN-серверу (Keenetic#1), что позволяет пользователям его локальной сети (Пользователь#2) получать доступ как непосредственно на Keenetic#1 (для подключения к USB-накопителям и принтерам), так и к ресурсам, расположенным в его локальной сети, — компьютерам, серверам NAS и пр. При выполнении приведенных ниже рекомендаций аналогичная возможность доступа обеспечивается и в обратном направлении, т.е. в локальную сеть D-Link#2 из локальной сети Keenetic#1. Например, Пользователь#1 сможет обратиться к файлам, расположенным в папке общего доступа на компьютере Пользователя#2.

Настройка Keenetic#1

Для того чтобы клиентам локальной сети VPN-сервера были доступны ресурсы локальной сети за VPN-клиентом, нужно добавить статический маршрут, с указанием расположения сети клиента. В нашем примере локальная сеть 192.168.1.0/255.255.255.0 станет доступна через IP-адрес, выданный VPN-сервером подключившемуся клиенту (в нашем случае это будет клиент c IP-адресом 172.16.1.35).

На странице «Маршрутизация» нажмите «Добавить маршрут». В появившемся окне «Параметры статического маршрута» в поле «Тип маршрута» выберите значение «Маршрут до сети», в поле «Адрес сети назначения» укажите удаленную подсеть, к которой вы хотите организовать доступ и которая находится на стороне VPN-клиента.
В поле «Адрес шлюза» следует вписать IP-адрес VPN-клиента, предоставленный VPN-сервером при подключении. В настройках VPN-сервера выключите опцию «Множественный вход» и определите постоянный IP-адрес для VPN-клиента. Сделать это можно на странице настройки VPN-сервера в разделе «Пользователи».

При настройке статического маршрута следует включить опцию «Добавлять автоматически» и в поле «Интерфейс» оставьте значение «Любой».

Далее необходимо создать правило переадресация портов. Сделать это можно во вкладке сетевые правила.

Настройка D-link#2

На интернет-центре со стороны VPN-клиента необходимо произвести следующие настройки:

Добавить и настроить новое Wan соединение

  • Тип соединения — PPTP
  • Адрес VPN — статический IP адрес выданный провайдером со стороны Keenetic

Изменяете локальный IP адрес устройства

Добавляете новый маршрут

VPN Тунель активен

Доступ из Интернета к IP-камере
Настройте IP камеру через её Web интерфейс. В примере показана камера Trassir

IP-камеру подключите к сети интернет-центра D-Link.

После этого из Интернета установите подключение к VPN-серверу Keenetic’а. Подключившись к интернет-центру вы сможете получить доступ к локальной сети, включая камеру (доступ можно получить по её локальному IP-адресу).

Добавить комментарий