ip-kamerat, synology nas ja asetukset

[Fraatti]

Kuinka webbikameralta saa blokattua yhteydet ulkomaailmaan poikki, reititin asus rt-ac68? Olettaisin että alkuun säädetään kiinteä ip mutta mitäs sitten?

Nyt siis reittimen perässä muutama poe hikvision bullet ja luotto ei ole kovin korkeella etteikö tuolta jo valmiiksi hacktystä softasta lähtis ties mitä maailmalle. Siks oli tarkoitus pistää yhteydet poikki heti alusta saakka.

Kameroita vahtii synologyn surveillance station joka hoitaa nauhoitukset yms itsenäisesti. Tälle on myös känny appi joka näyttää myös tuon kameran streamin. Jotta tuo streami toimii niin tarviiko kamera ulkomaailmaan yhteyden vai hoiteleekohan tuo synology hommat niin että kameroilla sisäverkkoon pääsy riittää? Ongelmallisimpia tietoturvan kannalta lienee sellaiset tapaukset joissa ulkopuolelta avataan kameralle portti ja tästä portista sitten joku mahdollisesti ronkkii itsensä sisään?

Nämä on käyty jo läpi: How-to: Secure your Hikvision camera from hackers, spies and your government - VueVille

Onko harmainta aavistustakaan saako tuota härveliä nauhoittamaan jollekin muulle kuin tuon nassin pääsääntöisille levyille. Rikkoisin mielellään tallennuksien kanssa jonkun yksittäisen levyn kuin nuo tuolta raidista.

 

[user9999]

Vastaan tuohon internet blockkiin.

Jos on uusin Merlin firmis niin helposti. Network Map --> klikkaa tuota Clients palloa --> oikealta klikkaa sitten laitteen ikonia --> Block internet Access

Spoileri: Kuva

Edit: Ominaisuus pitäisi olla myös Asuksen firmiksessä.
ASUS Wireless Router RT-AC5300 - Network Map

Edit2: Jos internetistä haluaa päästä noihin kameroihin kiinni niin tuossa AC68u purkissa on openvpn palvelin. Ja jos on mobiilinetti niin yhteys voi olla natin takana. Esim. Telialla on tuohon palvelu.
Telia Yhteyspiste -palvelu - Telia Yhteyspiste - Palvelut - Asiakastuki - Telia

Ja jos ottaa openvpn palvelimen käyttöön tuossa purkissa, niin suosittelen tuota Merlin firmistä. Siinä pitäisi olla aina uusin openvpn versio. Asus ei taida pitää omassa firmiksessä tuota ajantasalla niin siinä on vanha reikäinen versio.

 

[Fraatti]

Vastaan tuohon internet blockkiin.

Jos on uusin Merlin firmis niin helposti. Network Map --> klikkaa tuota Clients palloa --> oikealta klikkaa sitten laitteen ikonia --> Block internet Access

Edit: Ominaisuus pitäisi olla myös Asuksen firmiksessä.
ASUS Wireless Router RT-AC5300 - Network Map

Edit2: Jos internetistä haluaa päästä noihin kameroihin kiinni niin tuossa AC68u purkissa on openvpn palvelin. Ja jos on mobiilinetti niin yhteys voi olla natin takana. Esim. Telialla on tuohon palvelu.
Telia Yhteyspiste -palvelu - Telia Yhteyspiste - Palvelut - Asiakastuki - Telia

Ja jos ottaa openvpn palvelimen käyttöön tuossa purkissa, niin suosittelen tuota Merlin firmistä. Siinä pitäisi olla aina uusin openvpn versio. Asus ei taida pitää omassa firmiksessä tuota ajantasalla niin siinä on vanha reikäinen versio.

Tänks! Samoista paikoista noita jo hamuilin mutta enpä sitten kuitenkaan tajunnut painaa client listasta oikealta vaan painoin keskeltä "view list" josta tuli lista clienteistä mutta kuitenkaan mitään muuta sieltä ei saanut säädettyä. Täytyy kokeilla mitä tuo vaikuttaa. Sitä vain mietin itsekin että blokkaako kameran liikenteen esto ulkopuolelle myös streamin menemisen kännyappille. Vai kiertääkö data jatkuvasti silloin tuon NASsin kautta.

VPN:n jättäisin laittamatta jos vain suinkin pystyn saamaan tuon toimimaan ilman sitä turvallisesti. Yksi syy on siihen että kännyssä on adguard käytössä joka on tehnyt laitteen sisäisen VPN:n. Luulisin että toisen käyttäminen vaatii sitten VPN:n rukaamista jatkuvasti jos kameroihin haluaa päästä käsiksi.

Synologyn nassiin saa yhteyden ulkopuolelta vaikka netti on 4G liittymän perässä. En tiedä miten tuo sen tekee mutta voisin kuvitella että tuo on varsin turvallinen myös noin. Samoin mobiili appi käyttää synologyn kirjautumista jos kameroita haluaa päästä ihmettelemään. Itse liittymässä on jo julkinen vaihtuva ip mutta APN:nää en oo tainnut koskaan vaihtaa niin että tuo olisi oikeasti käytössä. Valmius kuitenkin käyttöön on kokoajan.

 

[Fraatti]

Kirjotetaan nyt jospa tästä on jollekin joskus apua. Itse olen ensimmäistä kertaa ropaamassa näiden kanssa niin hiukan meinaa tuottaa tuskaa saada asetukset kuntoon.

Nyt on dy.fi:n ddns laitettu käyttöön ja asus rt-ac68:n tehty scripti millä se päivittelee tuota. Asuksesta on siis kameroilta liikenne ulkomaailmaan blokattu. (taitaa yleensä suuremman riskin muodostaa se sisäänpäin kameroille tuleva liikenne/avoimet portit ja reikäset kameroiden softat?).
Kameroiden streamit nyt sitten ilmeisesti kiertävät Synologyn nassin kautta. Reitittimestä on laitettu port forward Synologylle portteihin 5000 ja 5001. Onko tämäkin riski ja olisiko tästäkin parempi tapa käyttää vaan sitä VPN:ää? Jos näin niin mikä VPN:stä tekee paremman vaihtoehdon? Kaikki liikenne taitaa olla ainakin salattua?

Toinen kysymys, ip-kamerat ovat nyt tp-linkin poe-kytkimessä. Kytkin asuksen reitittimessä kiinni. Jos joku nyhtää kameran irti niin tuostahan on periaatteessa suora pääsy verkkoon kun asus antaa uuden ipn ja toivottaa tulijan tervetulleeksi? Tähänkö olisi ratkaisu VLAN? (riski sinällään melko teoreettinen ja tosin täytyy todeta tässäkohtaa että melkein yhtä helpolla varastaa asunnosta koko lähiverkon.... vai murtautuu wlaniin?)

Synologyn NASsissa on kaksi ethernet porttia, onkohan noita mahdollista konffata niin että kamerat on tuossa toisessa portissa ja muu verkko toisessa? Jos tämä onnistuisi niin ainut hankaluus sitten olisi kameroiden konffaaminen. Tämä varmaan sitten vaatisi sen että koneen kävisi puikkaamassa kiinni tuohon samaan kytkimeen kuin missä kamerat ovat kiinni?

Tälläisen virittämisessä on kyllä melkoinen määrä hommaa. Vielä jos meinaa saada kameroiden tunnistukset yms niin toimimaan että vääriä tallennuksia ei juurikaan tule niin vielä saa säätää monen monta tuntia.

Ainiin ja jos joku funtsii Synologyn käyttämistä kameroiden isäntänä niin synologyn surveillance stationista saa asetukset muutettua niin että näiden tallennusten sijainti on joku muu kuin nassin primaari levy/levyt. Itseä ei ainakaan haittaa vaikka data ei olekaan peilattua vaan tuo tallentaminen hajottaa jonkun muun, ei niin tärkeän levyn.

 

[Algron28]

Kirjotetaan nyt jospa tästä on jollekin joskus apua. Itse olen ensimmäistä kertaa ropaamassa näiden kanssa niin hiukan meinaa tuottaa tuskaa saada asetukset kuntoon.

Nyt on dy.fi:n ddns laitettu käyttöön ja asus rt-ac68:n tehty scripti millä se päivittelee tuota. Asuksesta on siis kameroilta liikenne ulkomaailmaan blokattu. (taitaa yleensä suuremman riskin muodostaa se sisäänpäin kameroille tuleva liikenne/avoimet portit ja reikäset kameroiden softat?).
Kameroiden streamit nyt sitten ilmeisesti kiertävät Synologyn nassin kautta. Reitittimestä on laitettu port forward Synologylle portteihin 5000 ja 5001. Onko tämäkin riski ja olisiko tästäkin parempi tapa käyttää vaan sitä VPN:ää? Jos näin niin mikä VPN:stä tekee paremman vaihtoehdon? Kaikki liikenne taitaa olla ainakin salattua?

Toinen kysymys, ip-kamerat ovat nyt tp-linkin poe-kytkimessä. Kytkin asuksen reitittimessä kiinni. Jos joku nyhtää kameran irti niin tuostahan on periaatteessa suora pääsy verkkoon kun asus antaa uuden ipn ja toivottaa tulijan tervetulleeksi? Tähänkö olisi ratkaisu VLAN? (riski sinällään melko teoreettinen ja tosin täytyy todeta tässäkohtaa että melkein yhtä helpolla varastaa asunnosta koko lähiverkon.... vai murtautuu wlaniin?)

Synologyn NASsissa on kaksi ethernet porttia, onkohan noita mahdollista konffata niin että kamerat on tuossa toisessa portissa ja muu verkko toisessa? Jos tämä onnistuisi niin ainut hankaluus sitten olisi kameroiden konffaaminen. Tämä varmaan sitten vaatisi sen että koneen kävisi puikkaamassa kiinni tuohon samaan kytkimeen kuin missä kamerat ovat kiinni?

Tälläisen virittämisessä on kyllä melkoinen määrä hommaa. Vielä jos meinaa saada kameroiden tunnistukset yms niin toimimaan että vääriä tallennuksia ei juurikaan tule niin vielä saa säätää monen monta tuntia.

Ainiin ja jos joku funtsii Synologyn käyttämistä kameroiden isäntänä niin synologyn surveillance stationista saa asetukset muutettua niin että näiden tallennusten sijainti on joku muu kuin nassin primaari levy/levyt. Itseä ei ainakaan haittaa vaikka data ei olekaan peilattua vaan tuo tallentaminen hajottaa jonkun muun, ei niin tärkeän levyn.

Siitä on hetki kun Synologyn nassia viimeksi räpläsin mutta muistelisin että palvelut oli mahdollista liittää vain tiettyyn ethernet porttiin. Näin on ainakin qnapissa ja muistelisin että myös synologyssä.

Vpn luo lisäturvaa koska ensin täytyy muodostaa se vpn yhteys että pääsee kirjautumaan nassiin/kameravalvontakikkareeseen. Tavallaan yksi autentikointi lisää.

 

[Pertti Kosunen]

Synologysta voi myös laittaa päälle dynaamisen DNS päivityksen.

DiskStation Manager - Knowledge Base | Synology Inc.

 

[Fraatti]

Synologysta voi myös laittaa päälle dynaamisen DNS päivityksen.

DiskStation Manager - Knowledge Base | Synology Inc.

Juu huomasin tuon vasta kun olin saanut merlinillä pyörivään asukseen räplätty scriptin joka teki tuon homman. Merlin tekee asukseen custom ddns mahdollisuuden mutta asetuksien teko on perseestä.

Synologyllä olisi ollut huomattavasti helpompaa mutta jostain syystä ajattelin että tuo on reitittimen tehtävä.

 

[Fraatti]

Siitä on hetki kun Synologyn nassia viimeksi räpläsin mutta muistelisin että palvelut oli mahdollista liittää vain tiettyyn ethernet porttiin. Näin on ainakin qnapissa ja muistelisin että myös synologyssä.

Vpn luo lisäturvaa koska ensin täytyy muodostaa se vpn yhteys että pääsee kirjautumaan nassiin/kameravalvontakikkareeseen. Tavallaan yksi autentikointi lisää.

Tuli tutkittua asiaa hiukan lisää. Tosiaan jos synologyssä on kaksi ethernet porttia niin kameroiden liikenteen saa pudotettua pois kotiverkosta laittamalla kamerat toiseen synologyn ethernetportiin. Tällöin kamerat ovat myös erossa muusta kodin verkosta. Kameroihin pääsee myös käsiksi kodin ulkopuolelta vaikka kännykällä.

Joku oli myös pohtinut kuinka kameroiden asetusten muutos onnistuisi helposti kotiverkoista mutta tuohon ei tainnut olla tullut mitään järkevää visioo kenelläkään. Täällä oli kirjoitusta asiasta.

Connect all your IP cameras to the second LAN port! - Synology Forum

 

[Algron28]

Tuli tutkittua asiaa hiukan lisää. Tosiaan jos synologyssä on kaksi ethernet porttia niin kameroiden liikenteen saa pudotettua pois kotiverkosta laittamalla kamerat toiseen synologyn ethernetportiin. Tällöin kamerat ovat myös erossa muusta kodin verkosta. Kameroihin pääsee myös käsiksi kodin ulkopuolelta vaikka kännykällä.

Joku oli myös pohtinut kuinka kameroiden asetusten muutos onnistuisi helposti kotiverkoista mutta tuohon ei tainnut olla tullut mitään järkevää visioo kenelläkään. Täällä oli kirjoitusta asiasta.

Connect all your IP cameras to the second LAN port! - Synology Forum

Itse lähtisin tuota toteuttamaan niin että joko reitittimeen tai synologyyn konffaisin vpn serverin joka sitten yhdistäisi tuohon kameroiden verkkoon ja näin pääsisit vpn yhteyden muodostamisella konffaamaan tarvittaessa kameroita. En tiedä taipuuko synology tuohon, mutta reitittimellä varmaan paremmin toteutettavissa. Tuo vpn olisi siis muodostettavissa ainoastaan kotiverkosta päin.