Подключению по HTTPS к IP камерам
|
|
fed180 | Дата: Четверг, 16.01.2020, 20:51 | Сообщение # 1 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Привет всем. Вопрос по подключению по HTTPS к камерам. Есть IP регистратор DS-N316(В), который стоит в городе. Есть 13 IP камер Hikvision DS-2CD2043GO-I, DS-2CD2143GO-IS, DS-2CD2125FWD-IS и т.д. Все камеры с платформой G1. Версии прошивок от 5.5.3 до 5.6.2. 10 камер стоят на даче. 3 стоит дома в локальной сети с регистратором. Камеры подключены к регистратору удалённо по белому IP через комутатор и роутер на том конце. У всех камер номер каждого из 4 портов свой, и для HTTP, и для HTTPS, и для RTSP, и сервисные порты. На роутере все порты прокинуты. Регистратор нормально работает со всеми удалёнными и локальными камерами (на нём настраиваешь для каждой камеры свой IP и свой сервисный порт). Частный сертификат сделан на камерах и регистраторе. Порт HTTPS включен на камере и на регистраторе.
Если подключаться к ВЕБ интерфейсу камер по HTTP, то всё работает и удалённо и в локальной сети. А вот если к ВЕБ интерфейсу камер подключатся по HTTPS удалённо, то в настройки камер заходишь нормально, а видео не идёт и ошибка ПРОСМОТР НЕ УДАЛСЯ. А если к ВЕБ интерфейсу камер подключатся по HTTPS по локальной сети (на три камеры, которые стоят дома у регистратора), то подключаешся и к настройкам и к видео нормально. К ВЕБ интерфейсу регистратора тоже в локальной сети по HTTPS подключаешся нормально. И видео видит нормально.
Вопрос.
Почему удалённо по HTTPS по ВЕБ интерфейсу камер не видно видео, а в настройки входишь нормально???
Я так прикинул, что наверно на роутере какой то порт камер не проброшен. А какой порт?????? Вроде все 4 порта для каждой камеры проброшен на роутере. Какие ещё нужно пробросить В техподдержке HIK в Санкт Петербурге тоже не знают про это. Сергей СПб
Сергей
|
|
|
|
iTuneDVR | Дата: Четверг, 16.01.2020, 22:45 | Сообщение # 2 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата fed180 ( ) В техподдержке HIK в Санкт Петербурге тоже не знают про это. Удивительно прям в тоже время нет!
Проблема решена, посмотрел и проверил локально и извне через роутер с пробросом на своей камере DS-2CD2423G0-I с прошивкой V5.6.2 build 190701, но не знаю как сказать, как помягче написать про это Прошивка скорее всего не играет роли, другие на ставил пока.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
avalist | Дата: Пятница, 17.01.2020, 00:11 | Сообщение # 3 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| Цитата iTuneDVR ( ) но не знаю как сказать, как помягче написать про это Да уж говорите как есть стало тоже любопытно получить ответ на вопрос,
|
|
|
|
fed180 | Дата: Пятница, 17.01.2020, 10:10 | Сообщение # 4 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Я сегодня попробовал так: Камеры, которые у меня дома DS-2CD2143GO-IS прошивка 5.6.2 и DS-2CD2142FWD-IS прошивка 5.5.5 Зашёл на них по HTTPS локально дома. Всё нормально и видео работает. Зашёл на них удалённо по HTTPS, предварительно пробросив в роутере 4 порта на каждую камеру. Видео не работает. Зашёл на них удалённо по HTTP - видео нормально работает. Сделал вывод, что это не в прошивках и камерах дело( камеры разных лет и разные платформы), а просто через роутер какой то порт закрыт. Или роутер чтото не пропускает Вот узнать бы, какой???? Если в прошивке 5.6.2 появились ещё 3 порта и на камере их стало 7 портов, то со старой прошивкой 5.5.5 всего 4 порта. И все они в роутере проброшены. Но явно какой то порт в роутере закрыт, о котором я незнаю. На компе WIN10 , браузер IE11 запускаю админом. Компы разные. Плагины разные ставил 3.0.6.26, 3.0.6.46, 3.0.7.16 Все роутеры Keenetic Не знаю что и думать. Что менять в роутере. Но явно он не пропускаетЦитата iTuneDVR ( ) но не знаю как сказать, как помягче написать про это А что вы имели в виду про МЯГЧЕ НАПИСАТЬ?
Добавлено (17.01.2020, 11:09) --------------------------------------------- Может дело в нумерации портов? У меня для каждой камеры номер портов свой. Например для одной камеры HTTP=3000 HTTPS=4500 RTSP=600 Сервисный порт=7300 Для другой камеры они другие HTTP=3001 HTTPS=4501 RTSP=601 Сервисный порт=7301 И так далее. Может нельзя для HTTPS менять 443 порт? Но ведь с HTTP всё работает. На всех камерах UPnP выключено.
Сергей
Сообщение отредактировал fed180 - Пятница, 17.01.2020, 11:13 |
|
|
|
iTuneDVR | Дата: Пятница, 17.01.2020, 18:11 | Сообщение # 5 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Все ответы были с самого начала у топикстартера, надо было просто все сложить, либо просто посниферить, либо посмотреть на роутрее в коннектах открытых, если таковой умеет делать.
Первая часть соединение по https локально на камеру Вторая часть в этом соединении https на просмотре включается трансляция видео
Аналогичную картину наблюдаем извне, когда открывается только https порт даже не с прямым пробросом, то видео появляется только тогда, когда пробрасываешь http порт. Т.е. если в камере порт http будет отличен от значения 80, то этот порт и придется пробрасывать.
При всем этом конечно полностью теряется смысл всего действия т.к. http порт задействован при https сессии. У меня сложилось впечатление по совокупности полученной информации, что https доступом к этому оборудованию из всех пользователей заморочится только топикстартер и никому это более не нужно было или я чего-то недопонимаю?
При этом, я даже не знаю какое дать этому определение (бак, фича, особенность чинайского программирования и т.д.). Дело в том, что это ведь не в одной версии!!!
Может быть дело в javascript коде и можно слегка подправить, завернув запросы с http на https, при этом попутно изменяя получаемый из настроек устройства порт http на https, а может быть все сложнее.
Я не представляю кому можно об этом рассказать из сотрудников Hikvision, кто бы проникся проблемой и поспособствовал бы её решению, для улучшения их же продукта ведь сказать, что доступ по https малозначим язык не поворачивается
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
fed180 | Дата: Пятница, 17.01.2020, 22:46 | Сообщение # 6 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата iTuneDVR ( ) У меня сложилось впечатление по совокупности полученной информации, что https доступом к этому оборудованию из всех пользователей заморочится только топикстартер и никому это более не нужно было или я чего-то недопонимаю? Вы правильно понимаете. Конечно же, если же для HTTPS нужно пробросить 2 порта (и HTTP и HTTPS), вроде как и не надо HTTPS. Но я стал этим заморачиваться, начитавшись, что лучше трафик шифрованный, чем открытый, т.к. могут перехватить и пароль с логином, а потом сделать гадости на камерах. Или это не так? Или я приувиличиваю? Этот же вопрос я задал техподдержки. Сказали, что спросят у китайских товарищей. Еще интересный факт. В старых прошивках типа 5.5.3 - 5.5.5 при включении порта HTTPS работают оба порта (и HTTP). А в новой прошивке 5.6.2 как только включаешь на камере HTTPS, сразу же тебя выбрасывает из ВЕБ интерфейса, и по HTTP уже туда не зайти. Только по HTTPS.
И тогда ещё вам вопрос: Если регистратор стоит удалённо от камер и запись идёт по белому IP удалённо, шифруется ли трафик? При настройках камер на регистраторе ставишь только сервисный порт камеры внешний IP, а на роутере пробрасываешь все 3 порта для каждой камеры.
Могут ли перехватить логин и пароль по пути от камеры до регистратора?
В тех поддержки тоже не знают этот вопрос. Один сказал, что в настройках регистратора в ЛОКАЛЬНЫЙ (левая колонка) есть строка КЛЮЧ ШИФРОВАНИЯ. Вот типа это и есть шифрования трафика. Я пробовал менять этот ключ, ничего не происходит. Другой оператор техподдержки сказал, что это ерунда, и КЛЮЧ ШИФРОВАНИЯ надо для шифрования файлов архива, а трафик и так шифруется.
Так для чего же всё же в регистраторе в настройках регистратора в ЛОКАЛЬНЫЙ (левая колонка) нужен КЛЮЧ ШИФРОВАНИЯ и шифруется ли трафик между камерой и регистратором???
Сергей
Сообщение отредактировал fed180 - Суббота, 18.01.2020, 00:16 |
|
|
|
iTuneDVR | Дата: Суббота, 18.01.2020, 00:24 | Сообщение # 7 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата fed180 ( ) Или это не так? Или я приувиличиваю? Коллега! К тебе никаких претензий и это нормальное желание достучаться до устройства по https. Меня удивило то, что ТП ни в зуб ногой и более видимо никто с таким вопросом не обращался и тут 2 варианта: либо у всех все работает, либо никто это не использует и тут появился ты
Конечно, шифрованный трафик HTTPS это проверенное решение на котором работает весь мир и вполне надежное. Да, есть нюансы эксплуатации и надо прекрасно понимать, что при это тратятся ресурсы на расшифровку, а видео оно в режиме реального времени и не один поток возможно. Где-то может быть это критично. Конечно, можно шифрование получить и используя VPN канал, но все зависит от задачи.
Цитата fed180 ( ) И тогда ещё вам вопрос:Если регистратор стоит удалённо от камер и запись идёт по белому IP удалённо, шифруется ли трафик? Специально нет. С облаком там была галка шифрования
Цитата fed180 ( ) При настройках камер на регистраторе ставишь только сервисный порт камеры внешний IP, а на роутере пробрасываешь все 3 порта для каждой камеры. Камеры же как правило внутри в классическом смысле, но, даже если и нет, то подключение по родному протоколу на командный стандартный порт 8000 во вне можно производить и внутри тоннеля, не опасаясь или менее опасаясь..
Все-таки задача должна быть впереди всего с понятными целями, чтобы не метаться а выбрать верную стратегию для решения.
Цитата fed180 ( ) Могут ли перехватить логин и пароль по пути от камеры до регистратора? И да и нет
Цитата fed180 ( ) В тех поддержки тоже не знают этот вопрос. Один сказал, что в настройках регистратора в ЛОКАЛЬНЫЙ (левая колонка) есть строка КЛЮЧ ШИФРОВАНИЯ. Вот типа это и есть шифрования трафика. Я пробовал менять этот ключ, ничего не происходит. Другой оператор техподдержки сказал, что это ерунда, и КЛЮЧ ШИФРОВАНИЯ надо для шифрования файлов архива.
Так для чего же всё же в регистраторе в настройках регистратора в ЛОКАЛЬНЫЙ (левая колонка) нужен КЛЮЧ ШИФРОВАНИЯ ОЧЕНЬ ЖАЛЬ, что в ТП HIKVISION, такой большой разброс мнений. У меня есть отличный кофе. Вот думаю на МИПС-2020 презентовать его в ТП, чтобы они могли насладившись ароматом и вкусом с уверенностью могли потом погадать на гуще
Начнем рассуждать: В вебе Локальный (левая колонка) есть, а на в меню регистратора, а iVMS4200 и мобильные клиенты видят это параметр, могут его изменить?
В сухом остатке по основной задачи что остается и все ли понятно? Как будешь действовать дальше?
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
avalist | Дата: Суббота, 18.01.2020, 20:48 | Сообщение # 8 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| Цитата fed180 ( ) Так для чего же всё же в регистраторе в настройках регистратора в ЛОКАЛЬНЫЙ (левая колонка) нужен КЛЮЧ ШИФРОВАНИЯ и шифруется ли трафик между камерой и регистратором??? трафик точно шифруется между регистратором и клиентом, за это галка и отвечает! Можете сами проверить, берете VLC и получите поток по RTSP ссылке, при включенном шифровании у вас будет картинка с цветными квадратиками вместо нормальной. Если галку шифрование снять, то поток получаемый с регистратора отображается нормально. Проверялось на HD TVI 4.0 и прошивке 3.5.37 не думаю что NVR иначе.
|
|
|
|
fed180 | Дата: Суббота, 18.01.2020, 21:31 | Сообщение # 9 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата avalist ( ) Если галку шифрование снять, то поток получаемый с регистратора отображается нормально. Проверялось на HD TVI 4.0 и прошивке 3.5.37 не думаю что NVR иначе. Скажите, о какой галке идёт речь? У меня нет галочки. Вот фото настройки ЛОКАЛЬНЫЙ регистратора. Просто строка КЛЮЧ ШИФРОВАНИЯ . По умолчанию он заполнен, не знаю, какими символами
Добавлено (18.01.2020, 21:33) ---------------------------------------------
Цитата iTuneDVR ( ) В сухом остатке по основной задачи что остается и все ли понятно? Как будешь действовать дальше? Незнаю. Послал письмо в техподдерку. Посмотрим, что ответят. Три дня молчат. Но я звонил в ТП, сказали что моё пиьмо в работе.
Сергей
Сообщение отредактировал fed180 - Суббота, 18.01.2020, 21:36 |
|
|
|
avalist | Дата: Воскресенье, 19.01.2020, 00:48 | Сообщение # 10 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| Цитата fed180 ( ) У меня нет галочки. Вот фото настройки ЛОКАЛЬНЫЙ регистратора. Просто строка КЛЮЧ ШИФРОВАНИЯ . По умолчанию он заполнен, не знаю, какими символами Данная галка доступна только локально в интерфейсе. в разделе платформа доступа, там включается и выключается там же и меняется. Через сетевые настройки недоступна.
|
|
|
|
fed180 | Дата: Понедельник, 20.01.2020, 12:14 | Сообщение # 11 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата avalist ( ) Данная галка доступна только локально в интерфейсе. в разделе платформа доступа, там включается и выключается там же и меняется. Так вкладка ПЛАТФОРМА ДОСТУПА у меня вообще выключена, т.к. я обращаюсь на камеры и на регистратор по белым прямым IP адресам. А этот пкнкт нужен для общения через китайский сайт. Я им не пользуюсь. У меня регистратор пишет удалённо прямо с камер, минуя китайцев.
Сергей
|
|
|
|
avalist | Дата: Понедельник, 20.01.2020, 14:18 | Сообщение # 12 |
Группа: Проверенные
Сообщений: 1089
Репутация: 85
Статус: Offline
| Цитата fed180 ( ) Так вкладка ПЛАТФОРМА ДОСТУПА у меня вообще выключена, т.к. я обращаюсь на камеры и на регистратор по белым прямым IP адресам. А этот пкнкт нужен для общения через китайский сайт. это понятно, я про другое, что при активации данной опции в купе с включенной платформой доступа происходит шифрование между клиентом (ivms-4200, 4500 и т.д.) и регистратором (не трогаем пока камеры) и это легко проверяется причем шифрование работает и при обращении по статическому IP к регистратору или в локальной сети. Таким образом перехватить поток между регистраторм и клиентом (мобильным или установленным на компе ivms-4200) если и получится то только в виде каши из цветных квадратиков. Напрямую с камерой так не работает.
|
|
|
|
fed180 | Дата: Вторник, 21.01.2020, 16:14 | Сообщение # 13 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Нашёл на регистраторе в настройках безопасности строку с птичкой АКТИВИРОВАТЬ SSH. В инете прочитал, что это SSH шифрует поток данные. Только как это применить, незнаю.
Сергей
|
|
|
|
iTuneDVR | Дата: Вторник, 21.01.2020, 23:25 | Сообщение # 14 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата fed180 ( ) Нашёл на регистраторе в настройках безопасности строку с птичкой АКТИВИРОВАТЬ SSH.В инете прочитал, что это SSH шифрует поток данные. Только как это применить, незнаю. Это открытие доступа на регистратор на порт 22 по защищенному каналу в шел оболочку их модифицированную с ограниченным набором команд. Оставь её в покое.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
fed180 | Дата: Понедельник, 27.01.2020, 21:51 | Сообщение # 15 |
Группа: Проверенные
Сообщений: 75
Репутация: 0
Статус: Offline
| Цитата iTuneDVR ( ) Конечно, шифрованный трафик HTTPS это проверенное решение на котором работает весь мир и вполне надежное. Да, есть нюансы эксплуатации и надо прекрасно понимать, что при это тратятся ресурсы на расшифровку, а видео оно в режиме реального времени и не один поток возможно. Где-то может быть это критично.Конечно, можно шифрование получить и используя VPN канал, но все зависит от задачи. Получил ответ от техподдержки: Добрый день. Уточнили у наших инженеров информацию по данному вопросу,ответ пришёл такой: RTSP по https реализовано пока только на 5 и 7 серии камер на последних прошивках. Ваши устройства не входят в данный список.
У меня камеры 2043G0-I, 2143G0-I, и им подобные с платформой G1 Так что хоть умри, включяя на моих камерах галочку HTTPS. А толку мало. И ведь даже сертификат в прошивке есть!!!!!! Не будет на этих камерах HTTPS. А зачем же галочке??? Похоже для красоты!!!!!!!!!!
Сергей
|
|
|
|
iTuneDVR | Дата: Вторник, 28.01.2020, 00:44 | Сообщение # 16 |
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
| Цитата fed180 ( ) RTSP по https реализовано пока только на 5 и 7 серии камер на последних прошивках. Это какие такие серии???
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|