Настройка сети видеонаблюдения с использованием SXT LTE

Настройка сети видеонаблюдения с использованием SXT LTE

Очень часто возникает необходимость организации видеонаблюдения в месте, где отсутствует «обычное» проводное или беспроводное интернет подключение. При этом, с возможностью в любой момент удаленно просматривать видеопоток из любого места, где имеется интернет подключение (в том числе, с мобильных устройств). Например, такая схема востребована при организации системы наблюдения на даче, в гараже, в загородном доме.  Однако, проблему можно решить, если в месте наблюдения есть покрытие сетями сотовых операторов (пусть и с достаточно слабым сигналом). Ключевыми требованиями для организации такой системы является мощное клиентское устройство для подключения к сетям сотовых операторов и наличие «реального» IP адреса или подписки на «облачный» сервис видеонаблюдения. Однако, стоимость такой облачной подписки достаточно высока, а цена за аренду «белого» адреса у сотового оператора может достигать нескольких  тысяч рублей, что неприемлемо для создания бюджетной системы.   Решением проблемы может стать использование тоннельного соединения, использующего Интернет подключение к обычной провайдерской сети (домашней или офисной), где аренда статического IP адреса невелика.

В данном примере мы будем рассматривать организацию доступа с помощью оборудования MikroTik. Для экономии, арендовать «реальный» IP адрес мы будем у провайдера осуществляющего подключение «дома» у клиента. Мы не будем рассматривать процедуру начальной настройки маршрутизаторов, в нашей «Базе знаний» есть необходимые статьи, раскрывающие данный этап настройки.

С помощью оборудования MikroTik, мы можем реализовать простую схему, когда дома у пользователя подключен интернет с «реальным» ip-адресом (Локация 1). На удаленном объекте, например, на даче или в гараже, у пользователя установлена сетевая или wifi видео-камера и устройство MikroTik, подключенное к интернету через оператора сотовой связи.  В данном примере мы будем рассматривать устройство MikroTik RouterBOARD SXT LTE (Локация 2).

1. Схема работы сети.

Нашей главной задачей, является обеспечение доступа к видеокамере из любой точки мира (Локация 3). В данном примере мы будем использовать построение VPN-туннеля PPtP типа, однако оборудование MikroTik позволяет использовать разнообразные средства туннелирования.

Настройка туннельного соединения и обеспечение доступа к камере осуществляется достаточно просто.  Для этого необходимо организовать PPtP-сервер на устройстве, подключенном к сети интернет через провайдера ISP (Локация 1). Клиентское PPtP  соединение организуется на стороне устройства в «Локации 2», подключенного через оператора сотовой связи. После всего все что остается, это организовать «публикацию» портов, используемых видеокамерой на всем маршруте  от PPtP-сервера до PPtP-клиента.

Для начала настроим PPtP-сервер на главном устройстве.

Первое что необходимо сделать, это зайти в меню «PPP» (1), нажать кнопку PPTP Server (2) и поставить галочку в чекбоксе «Enable» (3). После этого наше устройство MikroTik начинает принимать PPtP подключения.

Поскольку мы будем использовать стандартные настройки профилей PPtP сервера и секретов, то мы не меняем опцию «Default Profile».

2. Создание PPtP сервера на устройстве в «Локации 1».

Следующим этапом, нам необходимо создать логин и пароль для авторизации на сервере. Для этого мы в меню «PPP» открываем вкладку «Secrets» (1) и нажимаем кнопку «добавить» (2).

3. Добавление параметров авторизации на PPtP сервере.

В появившемся окне заполняем выделенные поля, где поля «Name» и «Password» в первом блоке - это логин и пароль для подключения к серверу PPtP, а во втором блоке  указываем значения «Local Address»  (непосредственно адрес PPtP-сервера для подключенного PPtP-клиента) , и поле «Remote Address»  (тот адрес, который в итоге получит PPtP-клиент). В данных полях Вы должны указать необходимые Вам адреса, но нужно учесть, что адрес указанный в «Remote Address» будет использоваться для дальнейшей настройки, чтобы выполнить публикацию портов.

4. Настройка параметров  PPtP сервера.

В завершение настройки на стороне PPtP сервера, необходимо создать правило, разрешающее входящие PPtP подключения в межсетевом экране (Firewall) устройства, и расположить его  в иерархии выше запрещающих правил. Это необходимо выполнить, в случае если firewall на вашем устройстве настроен, и содержит правила доступа.  Если настроек там нет, то наше разрешающее правило создавать не обязательно.

5. Настройка правил Firewall.

Во вкладке «Action» настроек межсетевого экрана, в поле с таким же названием «Action», необходимо выбрать «accept».

Далее, зная порт использующийся камерой, нам необходимо создать правило, переадресующее запросы непосредственно на PPtP-клиент. Для примера будет использоваться стандартный порт для WEB-сервисов – TCP 80.

В меню IP-Firewall на вкладке «NAT» создаем новое правило, где указываем «chain» - dstnat, «Protocol» - TCP, «Dst. Port» - 80.

6. Создание правила публикации портов.

После чего во вкладке «Action» указываем «Action» и «To Addresses», где указываем адрес нашего PPtP-клиента.

7. Создание правила публикации портов. Продолжение.

На этом настройка серверной части завершена. Нам необходимо также настроить туннельное соединение на устройстве, которое расположено в локации 2. Для этого на устройстве, подключенном к сети интернет через оператора сотовой связи, открываем пункт меню «PPP» (1), на вкладке «Interface» (2) нажимаем кнопку добавить (3), в выпадающем меню выбираем «PPTP Client» (4) и заполняем поля «Connect To:» (5) в котором указываем «реальный» ip-адрес устройства, на котором мы настраивали PPtP-сервер и поля с логином и паролем для подключения к PPtP-серверу (6).

8. Настройка PPtP клиента.

После этого, настраиваем правило в меню IP-Firewall на вкладке «NAT», аналогичное правилу на главном устройстве. Единственная разница в правилах будет заключаться в указании  адреса видеокамеры на вкладке «Action». В нашем примере это адрес 10.10.10.10.

9. Публикация портов на клиентском устройстве.

10. Публикация портов на клиентском устройстве. Продолжение.

После нажатия кнопки «ОК», будет создано подключение, которое сразу установит связь с главным устройством и между устройствами будет организован VPN-туннель. Теперь, если из любой точки мира, с любого устройства вы введете в браузере «реальный»  IP адрес устройства в «локации 1», то у вас откроется окно авторизации на видео камере. Таким образом, можно организовывать доступ к любым удаленным устройствам, будь то WEB сервер, центр управления системой «Умный дом» или какой либо другой сетевой сервис.