Dálkový přístup na kamerový systém

[by_cx]

Pokud k tomu nejsou svolné síťové prvky nebo kamera nemá cloud či z nějakého důvodu je vypnutý, tak bych vzal RaspberryPi a nasadil na něm WireGuard tunel do nějakého stroje s veřejnou IP adresou. Mám to takhle podobně na chalupě s tím rozdílem, že tam WireGuard umí OpenWRT na routeru, takže RPi nebylo potřeba. Stroj s veřejnou IP adresou mám doma a mám díky tomu obě sítě hezky spojené. Funguje to výborně.

Ale přijde mi divné, když se někdo dostane do mého PC (přes vzdálenou plochu), tak také nepotřebuji mít veřejnou IP.

Tohle ale někdo vytvořil, udělal k tomu klikátko, co zvládne používat každý, provozuje k tomu masivní infrastrukturu jak technickou tak lidskou a nechá si to zaplatit. Ekvivalentní řešení je cloud výrobce kamer, resp. NVR, který dělá přesně to samé pro ty kamery. Všechno ostatní bude netriviální a vyžaduje to nějaké laborování a základní znalosti sítí.

[Reklama]

[honzako]

Kup si Hikvision a používej jejich cloud HIK-connect, máš ho v ceně NVR. A fungujete to.
Jsou dva typy lidí, jedni to chtějí používat, a druzí o tom budou akademicky stále hovořit a vymýšlet atypická řešení.

[bmn]

Jenže dotaz byl položen tady na rootu, takže asi to chce udělat pořádně a standardním řešení pro přístup k vlastní síti zvenku je samozřejmě VPN. Jinak by jednoduše použil řešení poskytované výrobcem kamery a vůbec sem nepsal.

[Matho23]

Ja mam na chate kamery a tiez tam nemam moznost verejnej IP. Mam tam vsak Raspberry PI a aj doma mam Raspberry PI. Doma mam verejnu IP. Ja vsak na chate nemam NVR hardver.

Setup mam urobeny nasledovne:
- doma mam na RPI Docker stack (Traefik, Docker swarm, Docker compose, Portainer ...)
- na domacom RPI mi bezi Pgrok daemon - https://github.com/jerson/pgrok
- na chate mi bezi Pgrok client
- na chate mam nainstalovany na RPI aj Nginx a ten mi robi proxy pass na Ipecky kamier
- takze na chate na IP 10.0.3.X:Port mi bezi IP kamery, ktoru chcem cez Pgrok pretunelovat domov
- na domacom RPI mi bezi na 10.0.2.X:Port pretunelovana IP vzdialenej kamery na chate
- cez Traefik tomu vystavim Letsencrypt certifikat a hostujem na mojej subdomene
- pokial ti staci pretunelovat https (443) port do administracie kamery (alebo do administracie NVR), potialto ti to staci - vies sa prihlasit do backendu kamery/NVR a pozerat live streaming tam

Pokrocilejsie nastavenie:
- ja mam nastaveny na kamere trigger, ze nahrava len pri detekcii pohybu + v noci mi to posiela email s fotkou z kamery
- na domacom RPI mam nainstalovany open source nastroj Shinobi https://shinobi.video/
- ten ma zabudovane FTPcko, po zadani poctu dni automaticky maze nahravky a vies si ich cez browser prehravat
- zial, ak ti kamera nahrava v h265, tak na Linuxe si ich budes musiet stahovat, nevie ti to prehrat v browseri
- ja mam teda nastavenu kameru tak, ze pri detekcii pohybu nahrava video sekvenciu na FTP v projekte Shinobi (hostovane doma)
- Shinobi vies rozbehat ako Docker image
- Shinobi umoznuje aj prehravanie live streaming-u kamier
- potialto vsak zatial tunelujeme len 443 port kamery
- vies vsak vyuzit projekt https://github.com/TareqAlqutami/rtmp-hls-server
- ten ti vie premapovat komunikaciu z rtmp portu kamery na prehratelny format v browseri
- robi to pomocou ffmpegu, ale pokial to vhodne nastavis, nevytazuje to velmi RPI ( a zaroven nesledujes ten stream 24/7)
- teraz uz mam na chate moznost ze na IP 10.0.3.Y:Port mam hls stream
- ten si opat pretunelujem cez Pgrok, idealne aj spolu s http auth
- na domacom RPI mam ipecku s portom, na ktorej mam live stream kamery
- opat spolu s Traefikom si nastavim subdomenu s certifikatom na ktorej mi bezi stream
- vlozim nastavenie live streamu do Shinobi a okrem video nahravok trigerovanych pohybom si viem zapnut kedykolvek aj live stream
- tj namiesto vzdialeneho NVR hardveru na chate, som si rozbehal na domacom RPI Shinobi

Uznavam, ze je to docela (casovo) narocne to rozbehat, ale ak by si do toho chcel ist, viem ti spisat postup, nejake poznamky z toho mam. Vacsimu mam nainstalovanu cez Docker.

[_Jenda]

Vůbec se v této problematice nevyznám. Ale přijde mi divné, když se někdo dostane do mého PC (přes vzdálenou plochu), tak také nepotřebuji mít veřejnou IP. Nešlo by něco takového v tomto případě? V životě by mne nenapadlo, že s tím bude takový problém...

Tyhle služby fungují tak, že si stáhneš program, který se připojí na server provozovatele té služby a tam se zaregistruje (číslo/jméno/pin) a nechá otevřené spojení. Když spustíš "klientský" program, tak se připojí k tomu stejnému serveru, oznámí k jakému číslu/jménu se chce připojit a server je propojí. Data tečou přes server provozovatele, což stojí mírné peníze a proto tyto služby nebývají dostupné zdarma, nebo jen pro nekomerční použití a následně požadují aby sis koupil předplatné.

Standardní řešení uvedeného problému je spustit si na nějakém serveru, který je dostupný přes internet, vhodný software (zmíněný Wireguard, OpenVPN, někdy se také používá SSH tunel což je nejjednodušší na nastavení ale trochu méně spolehlivé v případě výpadku spojení). Já i lidé z mého okolí mívají „osobní server“, což je typicky nejlevnější VPS od nějakého nízkonákladového poskytovatele (Forpsi (české), Hetzner, Contabo (Němci)), a tam si tyhle a další věci spouštíme. Případně tohle některé firmy také provozují jako službu - openport.io, sshreach.me, nebo zmíněné zerotier a tailscale. První dvě služby účtují v porovnání s vlastním serverem absurdně mnoho za přenesená data, otázka je kolik přeneseš ale jestli je to video tak asi hodně, druhé dvě nedávno změnily ceník a nechce se mi to znova zkoumat.

Já jsem přemýšlel, že bych takovou službu provozoval, ale bojím se, že to celé udělám a pak to bude mít 5 zákazníků po 20 Kč/měsíc, budu se muset starat o platby a administraci a ještě mi budou psát maily že jim to nefunguje a já to budu muset řešit, takže jsem se na to vybodl. Možná bych do toho šel když mi vymyslíte byznys model.

Všechna tato řešení (zmiňovaný remotedesktop typu teamviewer/anydesk, vlastní server s OpenVPN/Wireguard, cizí služba typu sshreach/tailscale) mají jedno společné, v té cílové síti musíš spustit toho klienta té služby, který udělá to úvodní spojení a pak do něj server přesměrovává ta příchozí spojení. K tomu potřebuješ něco co to podporuje, typicky libovolný Linux (ale samozřejmě mají podporu i jiných OS). Buď to půjde spustit na tom NVR nebo na tom modemu (interně to téměř určitě bude Linux, ale je pravděpodobné, že ti do něj výrobce odmítne dát přístup a hackovat to je náročné a nespolehlivé), nebo si musíš koupit nějaký linuxový počítač a připojit ho do té sítě. A to jsou právě ty věci co ti navrhovali - „linuxový počítač“ nemusí být jen velký desktop (drahý, velký a žeroucí elektřinu), ale nějaká malá krabička s OpenWRT nebo RaspberryPi či jiné podobné OvocePi.

Jinak nějaké věci jsem tu o tom psal v článku: https://www.root.cz/clanky/nastaveni-openvpn-pro-pristup-na-stroje-za-natem/. Jak říkám, jsou v podstatě tři možnosti co máš když si to chceš udělat sám: SSH tunel, Wireguard a OpenVPN. Pokud jsi začátečník tak bych začal SSH tunelem a až když se ti bude zdát že to funguje blbě, tak bych řešil nějaké z těch dalších dvou.

[Reklama]

[honzako]

  Samé rady jak jednoduchou věc udělat složitější, dražší a náchylnější na spolehlivost. Ještě jste zapomněli tam doporučit nezávislé napájení a druhá backup konektivita do internetu, antivandalový rozvaděč a veškeré rozvody mít zasekané ve zdi.

Jdi na to normálně jedodušše a funkčně, hlavně aby ti fungovaly notifikace apod.
Tady je video jak se nastaví HIK-connect - polopaticky
https://www.youtube.com/watch?v=rUpPxGrzHb0

[by_cx]

Samé rady jak jednoduchou věc udělat složitější, dražší a náchylnější na spolehlivost.

Ono se snadno může stát, že to není jednoduché. Stačí mít NVR, který cloud nemá. Navíc třeba doma bych si kamery do cloudu nedal.

[michaelscz]

Ještě doplním.
Vůbec se v této problematice nevyznám. Ale přijde mi divné, když se někdo dostane do mého PC (přes vzdálenou plochu), tak také nepotřebuji mít veřejnou IP. Nešlo by něco takového v tomto případě? V životě by mne nenapadlo, že s tím bude takový problém...

Tak bych čekal, že když ti někdo poradí "- Mikrotik na ARMu s LTE https://mikrotik.com/product/hap_ax_lite_lte6 + zerotier" tak si zjistíš, co je ten Zerotier a pak by ses už takhle dál neptal...

Není na tom nic složitého, jen HW za 2000,-

[.]

Začal bych tou veřejnou IPv4, protože tu mobilní operátoři za příplatek nabízí. A pak není problém s LTE routery, jelikož VPN-server umí i obyčejný TP-Link za pár peněz. A nejspíš i přímo NVR bude umět vzdálený přístup a náhled k záznamům, když je k dispozici veřejná IPv4.

Veřejná IP adresa k dispozici není a nebude. Bohužel.

A mohu vědět, o jakého operátora se jedná? Protože jak O2, tak T-Mobile, tak Vodafone - všichni možnost veřejné IPv4 mají (byť třeba s omezením, že je to jenom na IČO, ale i to se dá vždycky nějak vyřešit).

[.]

A IPv6? U jednoho ISP, který má nasazenou IPv6, takhle přistupuji na rekordér Hikvision z mobilní sítě O2. Taky tu už padl cloud, např. Hikvision má server v Irsku a celkem to taky jde.

Ani IPV6. Mám předplacenou kartu a tam to nedělají. Paušál je příliš drahý.

Aha, tak tím je vše vysvětleno. Ovšem čekat levné řešení typu "O2 Datamanie za 350 Kč měsíčně" v tomto případě nelze a pokud vyžaduješ co uvádíš v úvodním dotazu, tak holt budeš muset sáhnout do peněženky. Nebo slevit z požadavku a místo online sledování kamer si vystačit třeba jenom s fotkami do emailu v případě nějaké události (to tuším NVR umí).

[Martin-2]

Zdravím. Potřeboval bych dálkově sledovat kamery na chatě. Mám tam mobilní router 4G s kartou SIM O2. NVR zařízení s kamerami  je připojeno do místní sítě. Nemám tam však k dispozici veřejnou IP adresu (ani nikde jinde). Může mi, prosím někdo poradit způsob, jak by bylo možné sledovat kamery na dálku např. v mobilu? Děkuji za návrh řešení. Jirka

1) Výrobce kamer? - V drtivé většině číňanů se používá XMEye na vzdálené prohlížení kamer, je to velmi jednoduché a máte to v mobilu

2) Mobilní router + SIM O2? - To máte MR-200 s předplacenou sim kde dokupujete data měsíčně? - V aplikaci moje O2 si můžete aktivovat veřejnou IP a na routeru nastavit internet.open kde se nic nedoplácí (funguje POUZE na mobilních sim) a pak už jsou služby jako DDNS který hlídá změnu veřejné IP

3) Paušál je drahý tj. Kolik měsíčně je drahé? za 200/kč měsíc mají neomezená data (20/2) nebo je tam 30GB na chalupu k domácí přípojce za 150kč/měs. To mi přijde celkem dobré (nutno vyjednat u specialistů O2!!!)

4) U vás doma kde bydlíte máte jakého operátora? Někteří ISP vám dají veřejnou IP na požádání nebo za jednorázový poplatek.

5) V případě že chcete vyloženě vstoupit do lokální sítě a pak dále na NVR (tak jako z lokální sítě) rozhodně wireguard. V případě výpadku proudu nebo ztráty připojení se posléze vždycky spojení obnoví. Zatím to má u mne 100% spolehlivost

[darebacik]

Ještě doplním.
Vůbec se v této problematice nevyznám. Ale přijde mi divné, když se někdo dostane do mého PC (přes vzdálenou plochu), tak také nepotřebuji mít veřejnou IP. Nešlo by něco takového v tomto případě? V životě by mne nenapadlo, že s tím bude takový problém...

Dneska sa tomu hovori cloud. Ked sa niekto dostane na tvoju plochu a ani jeden z vas nema verejnu IP, tak proste idete cez stroj (cloud), ktory verejnu IP adresu ma.
Okrem toho sa tomu hovori, ze idete cez tretiu stranu, pretoze ste do toho zainteresovany traja. A co vidi jedna strana, vidi aj druha aj tretia strana. Prevadzkovatel ti sice moze tvrdit, ze vsetko je to sifrovane a nemaju k tomu pristup, tak pravda to nie je.

Cize najbezpecnejsia moznost je ist cez verejnu IPv4 adrusu, ktoru vlastnis (samozrejme sifrovanym tunelom (idealne wireguard)).

[𝑾𝑰𝑭𝑻]

…Prevadzkovatel ti sice moze tvrdit, ze vsetko je to sifrovane a nemaju k tomu pristup, tak pravda to nie je.

Tohle je tvrzení proti tvrzení. Ty nemáš jak dokázat, že to pravda není, oni nemají jak dokázat, že to pravda je. Může to být tak, i tak, ale nedovolil bych si (tím spíš v dnešní době) takto jednoznačně tvrdit o něčem, že to pravda není. Takové tvrzení totiž implikuje, že všichni k tomu přístup mají a všichni si to dešifrují.

Já si tuhle koupil (ve 14denní lhůtě pak vrátil) nějaký kamerový systém, prodávaný sice u nás, ale jinak zcela nemaskovaná Čína. Tam bylo vtipné už to, že aby se člověk přes internet dostal k obsahu, stačilo udělat registraci na webu a zadat sériové číslo produktu. Na straně produktu nebylo třeba (kromě píchnutí kabelu do RJ-45) řešit vůbec nic. Jinými slovy: Číňan k tomu má přístup jako první a když ho uživatel požádá, tak i uživatel. Dá se důvodně předpokládat, že Číňan obsah vidí, ale nedá se to dokázat, i kdyby spojení bylo nešifrované (neboli je technicky možné, aby prostředník fungoval jen jako předavač dat a sám je u sebe nijak neukládal a neumožňoval jejich prohlížení prostředníkem).

Zkrátka bych byl s takto striktním vyjádřením opatrný (tím spíš v dnešní době) .

[uwe.filter]

Já bych právě v dnešní době byl opatrný s opačným přístupem ;-). Jinými slovy - je možné, že se Číňan (a nejen on) o data nezajímá, někde je neskladuje nebo neanalyzuje, ale je to celkem málo pravděpodobné.

[𝑾𝑰𝑭𝑻]

Já bych právě v dnešní době byl opatrný s opačným přístupem ;-). Jinými slovy - je možné, že se Číňan (a nejen on) o data nezajímá, někde je neskladuje nebo neanalyzuje, ale je to celkem málo pravděpodobné.

S tím bych si dovolil souhlasit .