Альтернативой nарифа VDome безопасность является подключение панелей через сеть интернет.
В ситуациях, когда:
- на объекте нет технической возможности подключить панели напрямую в сеть ШПД МТС
- домофонная компания планирует ставить свой роутер
- домофонная компания планирует использовать свою виртуальную локальную сеть
Возможно подключить панели к платформе МТС Домофон через публичный интернет. Тариф без использования специального ШПД для домофонов называется МТС Домофон. Интернет оплачивается отдельно.
Условия подключения через интернет:
- Белый статический IP на одну либо несколько панелей (с помощью роутера).
- Роутер с возможностью перенаправить порты и настроить Firewall (сетевой экран, ip-filter - не путать с SPI-firewall).
Не у всех роутеров требуемые настройки сетевого экрана.
Настройки сетевого экрана чаще всего есть в актуальных моделях роутеров производителей: MikroTik (есть всегда), Zyxel, Dlink.
Настроек сетевого экрана чаще всего нет в актуальных моделях роутеров производителей: Mercusys, TP-Link.
Работа с роутером без сетевого экрана недопустима. Для работы услуги потребуются пробросы портов управления конечным оборудованием, только для доверенных сетей платформы.
Работа с роутером без сетевого экрана может вызвать нежелательные обращения по Http к интерфейсу управления панели. Это может привести к неожиданным зависаниям панели, в негативных сценариях может привести к взлому пароля.
Представители домофонной компании настраивают и контролируют роутер.
- Панели подключены по фиксированным проводным или широкополосным радиорелейным каналам связи
Лучше не использовать 3G/4G из-за низкой стабильности канала связи. Это будет критично при вызове на мобильные приложения, запросе видео и открытии дверей по API из приложений. Большое значение имеет доступность панели из интернета. Нестабильный интернет-канал будет вызывать недовольство конечных потребителей услуги МТС Домофон
- Ширина канала связи должна быть выделена из расчета не менее 2 Mбит/с на каждую панель
- Проброс портов на роутере для Web / Api на каждую установленную панель
Для проброса портов Web/Api можно использовать любые tcp-порты, например, порты из пула tcp 4000-4999. Для каждой панели следует выбрать отдельный внешний порт и пробросить его в настройках роутера на порт 80 каждой панели. Настройки производят и контролируют представители домофонной компании
- Проброс портов на роутере для RTSP на каждую установленную панель
Пул портов для RTSP tcp 555-560 и tcp 5555-5560 — с данными портами платформа МТС Домофон работает по умолчанию, рекомендуем назначать их для проброса RTSP в настройках роутера. Так же по умолчанию платформа может работать с портом RTSP tcp 554, но его использование нежелательно — возможен "мусорный" трафик (флуд) из интернета на данный порт. Порты RTSP открываются для всего интернета, поэтому обязательно измените имя и пароль администратора на нестандартные, чтобы видео не смоли воспользоваться посторонние лица. Следует выбрать внешний порт из пула выше для каждой панели и пробросить его в настройках роутера на порт 554 каждой панели. Настройки производят и контролируют представители домофонной компании.
- Если на одном белом IP планируется использование более 14 панелей и указанного диапазона портов RTSP недостаточно, домофонная компания может зарезервировать под нужды RTSP требуемый пул портов (желательно из диапазона 5000-6000) на своем роутере и сообщить данный пул и IP, с которым он будет использоваться, персональному менеджеру. Пул портов RTSP для конкретного IP будет согласован и добавлен в Firewall МТС в течении 1-2 рабочих дней, после чего платформа МТС Домофон сможет запрашивать потоки RTSP по желаемым портам
- Порты для Web / Api следует пробрасывать только для доверенных сетей. Данные настройки IP-фильтрации должны быть выполнены в настройках сетевого экрана роутера представителями домофонной компании. Доверенные сети платформы: 185.59.139.0/24 и 213.87.44.0/23. Недоверенные обращения из интернета на порты для Web следует в обязательном порядке блокировать в настройках Firewall (сетевого экрана) роутера.
Избыточные обращения по Http к панелям через интернет могут приводить к неожиданному зависанию оборудования.
Доступность Web-интерфейса панели через публичный интернет — это значительный риск перебора пароля и получения неправомерного доступа к панелям сторонними лицами.
Взлом панели чреват появлением хулиганских лозунгов на экране панели, удалением ключей, сменой пароля и выключением сети в настройках панели. Внимательно контролируйте доступ из интернета на веб-интерфейс панели — не используйте роутеры без Firewall (сетевого экрана) или простые пароли. Избегайте ситуаций установки оборудование на сеть без фильтрации и без паролей. Пробросы портов для Web обязательно требуется сопровождать настройкой ip-фильтрации на роутере. Доступ по проброшенным портам должен быть только с разрешенных IP-адресов.
Пример взломанной панели со сторонними надписями и сломанными настройками сети:
- Порты для SIP пробрасывать не нужно. Проброс портов для SIP не является необходимым, может привести к флуду из интернета и зависаниям домофонной панели
- Выключите SIP ALG в роутере
SIP ALG может также называться SIP NAT Helper, SIP Service Port и др. SIP ALG в большой части случаев работает нестабильно либо некорректно — могут возникать проблемы при прохождении вызовов с панели в приложения.
Эта схема может быть выполнена на сети МТС, либо других операторов.
Для её организации потребуется:
- Согласовать подключение с вашим провайдером интернета на требуемом адресе по проводным каналам связи из расчета не менее 2Mбит на одну панель. Оптимальным вариантом будет использование одного роутера на объект. Убедитесь в возможности проведения UTP-кабеля от всех панелей до роутера. Кабель может быть длиной максимально 100 метров. Если часть панелей невозможно физически подключить к роутеру, для них можно поставить отдельный роутер с отдельным интернетом. Либо можно приобрести у вашего провайдера канал от роутера до нужной панели через коммутаторы провайдера, в такой схеме в вашем роутере будет отдельный кабель от провайдера для интернета и отдельный кабель для канала до панелей, включенных напрямую в коммутатор провайдера (как если бы они были включены в роутер), т.е. домовая сеть провайдера может позволить дотянуть сеть от роутера до нужного объекта (не только в данном доме)
- Приобрести роутер для работы услуги. Например, MikroTik, D-link, Zyxel и др. Важно, чтобы в роутере был функционал проброса портов и настройки Firewall (он же сетевой экран). Должна быть возможность выключения SIP ALG. Рекомендуем перед приобретением роутера выяснить наличие данных настроек, выяснить как попасть в настройки роутера, как обновить прошивку роутера. После приобретения роутера не забудьте скачать обновления для вашей модели роутера с сайта производителя и обновить програмное обеспечение через Web-интерфейс роутера или через меню встроенного обновления роутера. Также рекомендуем в целях безопасности изменить пароль для входа в Web-инфтрейс роутера, выключить Wi-Fi, либо установить на него пароль, выключить неиспользуемые способы входа в роутер, например, telnet
- Распределить, записать и настроить в панелях внутренние IP-адреса.
Простой способ - подключить ПК / ноутбук и настраиваемую панель к роутеру, зайти в панель по выданному роутером IP (см. инструкцию Подключение к панели Beward через локальную сеть).
Заходим в Web-интерфейс панели, далее раздел Настройки > Сеть > LAN, записываем IP, убираем галочку DHCP и просто сохраняем настройки. Теперь у панели будет такой же адрес, только он будет статическим, что уменьшит вероятность сетевых проблем у панели.
Данную операцию следует повторить для каждой панели, которая будет за данным роутером. Убедитесь, что IP во всех случаях будут разными. Одинаковыми IP у панелей в одной сети роутера быть не могут. Запишите, какие IP будут использоваться для каких подъездов/калиток, и выполните соответствующие отметки на самих панелях.
Обратите внимание, что у разных роутеров могут быть разные подсети, чаще всего это 192.168.0.0/24 и 192.168.1.0/24. Подготавливайте внутренние IP, используя роутер, который будете ставить на сеть, либо используйте такой же роутер / роутер с такой же подсетью, либо переназначайте в настройках роутера подсеть для локальной сети на ту, которая настроена на панелях. - Пробросить порт Web / Api на каждую панель, пробросить порт RTSP на каждую панель в настройках роутера.
Пример пробросов на роутере для RTSP (для данных пробросов не потребуется ограничивать обращения из интернета в настройках Firewall):
Пул внешних портов для RTSP: tcp 555-560 и tcp 5555-5560, в примере мы используем порты 555, 556, 557, 558 из данного стандартного пула, разрешенного на платформе МТС Домофон по умолчанию.
tcp 555 > проброс на 192.168.0.21 на порт 554 для панели подъезда 1tcp 556 > проброс на 192.168.0.22 на порт 554 для панели подъезда 2tcp 557 > проброс на 192.168.0.23 на порт 554 для панели подъезда 3tcp 558 > проброс на 192.168.0.30 на порт 554 для панели на калитке
Выбор внешних портов для Web не ограничен, в примере мы используем порты 4080, 4081, 4082, 4083.
Пример пробросов на роутере для Web / Api к вышеуказанной схеме. Для данных пробросов обязательно потребуется ограничивать обращения из интернета в настройках Firewall, чтобы данные пробросы работали только для платформы, а не для всего интернета.
tcp 4080 > проброс на 192.168.0.21 на порт 80 для панели подъезда 1tcp 4081 > проброс на 192.168.0.22 на порт 80 для панели подъезда 2tcp 4082 > проброс на 192.168.0.23 на порт 80 для панели подъезда 3tcp 4083 > проброс на 192.168.0.30 на порт 80 для панели на калитке
Для организации вышеуказанной сети панелей также требуется:
- Настроить Firewall на роутере — нужно разрешить доступ на Web-интерфейс панелей только для доверенных сетей платформы и для IP-адресов офиса компании, IP-адресов домашнего интернета сотрудников компании (нужен статический IP, подключается у провайдера). Сети платформы: 185.59.139.0/24 и 213.87.44.0/23
- Обновить программное обеспечение панели — прочитать в инструкции Панели Beward и рекомендованные прошивки к ним. Чтобы не было сбоев в работе панели, нужно работать на актуальном программном обеспечении
- Настроить основной функционал панели — инструкция Настройка панели
Чтобы добавить панель на платформу МТС Домофон, сообщите персональному менеджеру список панелей в информационном листе в формате:
Адрес, подъезд X : Web [ваш IP на объекте]:[порт для Web API], Rtsp [ваш IP на объекте]: [порт для RTSP], имя и пароль администратора от панели,
Пример:
Саратов, Ленина 10, п1 Web 85.14.25.85:4080, RTSP 85.14.25.85:555, имя srtbestdk пароль 63RWaCbG
Саратов, Ленина 10, п2 Web 85.14.25.85:4081, RTSP 85.14.25.85:556, имя srtbestdk пароль 63RWaCbG
И так для всех панелей.
Если сомневаетесь, какой IP используется на объекте, можно подключиться к роутеру на объекте и открыть сайт — здесь написан ваш IP.
Когда формируете опросный лист, обратите внимание на корректность информации о нумерации квартир в подъезде
При формировании опросного листа так же особое внимание следует уделить правильности предоставляемой информации о нумерации квартир в подъезде - это критично.
При создании опросного листа уделите особое внимание корректности информации о нумерации квартир в подъезде - это критично.
Основной способ настройки роутера MikroTik — утилита Winbox.
- Скачать и установить данную программу
- Подключить кабель провайдера
- Подключить компьютер по кабелю к роутеру
- Включить кабель провайдера в WAN порт (обычно порт ether1)
Изначальную настройку роутера удобно выполнить в Winbox через меню Quick setup, в котором нужно будет задать пароль администратора, указать способ выхода в интернет, и пароль для Wi-Fi (либо выключить Wi-Fi).
После настройки появится выход в интернет и базовые настройки фильтрации трафика.
Обновите программное обеспечение:
System > Packages > выбираnm Сhanel long term > нажать Check For Updates > нажать Download&Install > дождаться перезагрузку роутера
Обновление не завершено:
Зайти в System > RouterBOARD > Upgrade > подтвердить обновление > перезагрузить роутер
В целях безопасности отключить все неиспользуемые способы управления роутером:
Зайти в IP > Services > выключаем всё, кроме winbox и www
SIP ALG
Выключить SIP ALG, чтобы избежать проблемы с вызовами в мобильные приложения.:
Зайти в раздел IP > Firewall > Service Ports > выключить SIP
В этом окне можно выключить все ALG сервисы.
Firewall
Создать список доверенных адресов МТС, для которых будут работать пробросы портов для Web / Api:
Зайти в IP > Firewall > Address Lists > создаnm записи для подсетей платформы
Сети платформы: 185.59.139.0/24 и 213.87.44.0/23, имя можно задать любое, оно должно быть одинаковым.
Проброс портов для Web / Api:
Открыть IP > Firewall > NAT > создаnm новое правило для проброса порта
Chain: dstnat, Protocol: tcp, Dst.Port: [указываем любой порт, например, 4080, 4081, 4082 и т.д.], по каждой панели нужно выбрать свой отдельный порт для проброса в Web.
В разделе Advanced, строка Src. Address List указываем ранее созданный список доверенных хостов.
В разделе Action выбираем Action: dst-nat. В поле To Addresses прописываем внутренний IP одной из панелей, в поле To Ports пишем 80 > нажимаем ОК и повторяем для каждой панели.
Проброс портов для RTSP:
Открыть IP > Firewall > NAT > создать новое правило для проброса порта.
Chain: dstnat, Protocol: tcp, Dst.Port: [указываем порт на выбор: 555, 556, 557, 558, 559, 560, 5555, 5556, 5557, 5558, 5559, 5560], для каждой панели нужно выбрать свой отдельный порт для проброса RTSP.
В разделе Advanced ничего не выбираем.
В разделе Action выбираем Action: dst-nat. В поле To Addresses прописываем внутренний IP одной из панелей, в поле To Ports пишем 554 > yажимаем ОК и повторяем для каждой панели.
Информационный лист для подключения. Запишите:
- какие порты для Web / Api и какие порты для RTSP проброшены для каждой панели
- к какому подъезду относятся какие панели
Это потребуется для передачи информации менеджеру, чтобы добавить оборудование на платформу. Также убедитесь, что вы знаете, какой внешний IP используется на роутере. Для этого можно зайти на сайт через этот роутер. На сайте будет написан ваш IP — с указанием портов для каждой панели, именем пользователя панели и паролем.
На наклейке роутера:
- указана точная модель и ревизия устройства
- написан IP-адрес
Открываем данный IP-адрес в адресной строке браузера.
Устаревшее программное обеспечение роутера может содержать ошибки, которые могут негативно повлиять на стабильность работы услуги, а так же могут привести к несанкционированному доступу к оборудованию третьими лицами.
Перед установкой на сеть и настройкой необходимо:
- выяснить точную модель и аппаратную ревизию роутера
- скачать для него актуальную версию программного обеспечения с сайта изготовителя
- обновить программное обеспечение:
в Расширенных настройках > Система > Обновление программного обеспечение > выберете скачанный файл прошивки > обновите
Настройте подключение к интернету и убедитесь в наличии интернета.
Чтобы исключить доступ к роутеру третьим лицам, измените пароль администратора:
В Системе > пароль администратора > gридумайте пароль > примените его
Система > telnet > выключаем telnet
Wi-Fi > Настройки безопасности > придумайте пароль и примените его
SIP ALG:
Зайдите в Дополнительно > Разное> dыключаем SIP
Проброс портов — заранее настройте внутренние IP на самих панелях > выберите внешние порты, которые будете пробрасывать в панели.
Для каждой панели нужно пробросить отдельный порт для Web / Api и отдельно пробросить порт для RTSP.
Откройте Межсетевой экран > Виртуальные серверы > нажмите Добавить
Придумываем имя правила, Протокол — tcp, внешний порт вводим любой [например, 4080, 4081, 4082 и т.д.], для каждой панели нужно выбрать свой отдельный порт.
Внутренний порт (для Web / Api) — 80.
Внутренний IP — указываем IP конкретной панели.
Создаем подобные правила для каждой панели.
Аналогично создаем правила для каждой панели для RTSP. Внешний порт указываем на выбор: 555, 556, 557, 558, 559, 560, 5555, 5556, 5557, 5558, 5559, 5560 (выбирайте разный для каждой панели), внутренний порт во всех случаях указываем 554.
Firewall:
Зайти Межсетевой экран > IP фильтры > нажать Добавить
Протокол —- tcp > действие — Разрешить > IP-адрес источника - 185.59.139.0/24 > нажмите Применить > создайте такое же правило для 213.87.44.0/23
Если планируете заходить в настройки панелей удаленно из офиса или с домашнего интернета сотрудника со статическим IP, — добавляем точно такие же правила с нужными IP (статический белый IP офиса, либо статический белый IP домашнего интернета сотрудника), с которых будете заходить в настройки панелей удаленно через интернет.
Добавляем еще два аналогичных резервных правила, например, с IP 185.59.139.1 и 185.59.139.2. Это нужно для того, чтобы в будущем была возможность отредактировать данные резервные правила и добавить туда IP, с которых сотрудники компании хотели бы управлять оборудованием. Разрешающие правила должны быть вверху, а новые правила вверх не добавить, поэтому проще их сразу создать для будущих правок.
После создания разрешающих правил, создаем запрещающие правила для Web / Api каждой панели.
Нажимаем Добавить > действие > Запретить. IP-адрес назначения — указать внутренний IP панели. Порт назначения - 80.
Это правило требуется создать для каждой панели, во всех случаях порт — 80.
В итоге правила выглядят так:
Сохраняем настройки.
Информационный лист для подключения. Запишите:
- какие порты для Web / Api и какие порты для RTSP проброшены для каждой панели
- к какому подъезду относятся какие панели
Это потребуется для дальнейшей передачи информации менеджеру, чтобы добавить оборудование на платформу. Так же убедитесь, что вы знаете, какой внешний IP используется на роутере — подключитесь к роутеру и зайти на сайт Там написан ваш IP с указанием портов для каждой панели, именем пользователя (администратора панели) и паролем.
На роутере:
- указана точная модель и ревизия устройства
- написан IP-адрес для входа в веб-интерфейс
Открываем данный IP-адрес в адресной строке браузера.
Настройте подключение к интернету и убедитесь в наличии интернета.
Откройте раздел Система > Компоненты > в окне появится список установленных компонентов и их доступных обновлений > cнимите галочку с Модуль прикладного уровня (ALG) для SIP > нажмите Обновить > дождитесь, когда роутер обновится и перезагрузится
Чтобы исключить доступ на роутер третьими лицами, измените пароль администратора:
Зайдите в Систему > Пользователи > Нажимаем Aadmin > откроется новое окно > придумайте и примените новый пароль для входа в роутер
Зайдите в раздел Wi-Fi > Точка Доступа > придумайте пароль и примените его
Выключаем telnet:
В адресной строке браузера вида http://192.168.1.1/dashboard сотрите слово dashboard и после символа косой черты "/" добавьте маленькую строчную букву "a" в английской раскладке. Получится http://192.168.1.1/a > нажмите Enter > откроется консоль роутера > введите no service telnet > нажмите Send Request > введите system configuration save > нажмите Send Request > вернитесь в основной Web-интерфейс
Проброс портов.
Для каждой панели нужно пробросить отдельный порт для Web / Api и отдельный порт для RTSP.
Открыть Безопасность > Трансляция сетевых адресов > нажмите Добавить правило
В поле Интерфейс выберите созданное ранее подключение к интернету (по умолчанию это Broadband connection). В поле c номером порта назначения выберите tcp, прописываем выбранный для конкретной панели внешний порт [например, 4080, 4081, 4082 и т.д.].
В строке перенаправить на адрес введите внутренний IP панели, в поле Новый номер порта назначения укажите — 80 (для Web / Api).
Создайте подобные правила для каждой панели.
Аналогично создайте правила каждой панели для RTSP. Внешний порт в данном случае указываем на выбор: 555, 556, 557, 558, 559, 560, 5555, 5556, 5557, 5558, 5559, 5560 (выбирайте разный для каждой панели), внутренний порт во всех случаях для RTSP указываем 554.
Firewall.
Зайдите в Безопасность > Межсетевой экран > Выбрать интерфейс Broadband connection (либо тот, который создали для подключения к интернету) > нажмите Добавить
Действие — Разрешить > протокол tcp > IP-адрес источника 185.59.139.0 > маска - 255.255.255.0, нажмите Сохранить
Добавьте второе правило: Действие > Разрешить > Протокол tcp > IP-адрес источника 213.87.44.0 > маска 255.255.254.0 > нажмите Сохранить
Если планируете заходить в настойки панелей удаленно из офиса или с домашнего интернета сотрудника со статическим IP, добавьте точно такие же правила с нужными IP (статический белый IP офиса, либо статический белый IP домашнего интернета сотрудника), с которых будете заходить в настройки панелей удаленно через интернет.
После создания разрешающих правил, создайте общее запрещающее правило для остальных обращений в Web / Api панелей:
Добавить правило для Broadband connection либо для того интерфейса, который создали для подключения к интернету > действие Запретить > протокол tcp, номер порта назначения 80 > нажать Сохранить.
Информационный лист для подключения. Запишите:
- какие порты для Web / Api и какие порты для RTSP проброшены для каждой панели
- к какому подъезду какие панели относятся
Это потребуется, чтобы добавить оборудования на платформу МТС Домофон. Также убедитесь, что вы знаете, какой внешний IP используется на роутере. Зайдите на сайт в интернете через этот роутер. Там будет написан ваш IP с указанием портов для каждой панели, именем пользователя и паролем.
Схема подойдет и для подключения нескольких домов, и для подключения панелей через коммутатор провайдера, до которых на объекте невозможно провести кабель напрямую.
Настройки этой схемы для сотрудников домофонной компании похожи с настройками при подключении просто через роутер. Разница только в том, что панели на конечных объектах будут подключены при монтаже в коммутатор оператора, но будут работать с вашим роутером, как если бы они были в него включены напрямую. От провайдера в данной схеме в роутер будет включаться два кабеля — один для интернета, а другой для локальной сети до нужных точек подключения.
По этой схеме требуется распределить внутренние IP по панелям, выполнить пробросы на роутере и записать информацию о пробросах. Эта информация потребуется при передаче опросного листа персональному менеджеру.
Не забудьте:
- выполнить настройку Firewall на роутере — нужно разрешить доступ на Web панелей только для доверенных сетей платформы и адресов, с которых вы планируете сами управлять панелями, например, из офиса.
Сети платформы: 185.59.139.0/24 и 213.87.44.0/23 - выполнить обновление программного обеспечения панели — эта информация есть в инструкции Панели Beward и рекомендованные прошивки к ним