Документация по пробросу портов для систем видеонаблюдения (В разработке)
Документация по пробросу портов для систем видеонаблюдения
Назначение
Данный документ описывает стандартную схему проброса портов (Port Forwarding / DNAT) для удалённого доступа к системам видеонаблюдения.
Документ предназначен для:
Администраторов удалённых сетей;
Подрядчиков;
Интеграторов;
Специалистов технической поддержки.
Основная концепция
Для каждой камеры или видеорегистратора используются два внешних порта:
| Тип сервиса | Внешний порт |
| WEB интерфейс | 200X |
| RTSP видеопоток | 300X |
где, X — номер устройства.
Стандарт портов
WEB доступ
Диапазон:
2001-2099
Назначение:
WEB интерфейс камеры;
WEB интерфейс NVR;
HTTPS доступ.
RTSP поток
Диапазон:
3001-3099
Назначение:
RTSP видеопоток;
Подключение VMS;
Видеомониторинг;
Мобильные клиенты.
Правило нумерации
Номер WEB и RTSP порта должен совпадать по номеру устройства.
Пример:
| Устройство | WEB | RTSP |
| CAM01 | 2001 | 3001 |
| CAM02 | 2002 | 3002 |
| CAM03 | 2003 | 3003 |
Пример схемы адресации
Камера 1
| Параметр | Значение |
| Имя | CAM01 |
| IP адрес | 192.168.20.101 |
| WEB порт | 2001 |
| RTSP порт | 3001 |
Камера 2
| Параметр | Значение |
| Имя | CAM02 |
| IP адрес | 192.168.20.102 |
| WEB порт | 2002 |
| RTSP порт | 3002 |
Пример логики проброса
WEB интерфейс
Public_IP:2001 -> 192.168.20.10:80
Public_IP:2002 -> 192.168.20.101:80
Public_IP:2003 -> 192.168.20.102:80
RTSP поток
Public_IP:3001 -> 192.168.20.10:554
Public_IP:3002 -> 192.168.20.101:554
Public_IP:3003 -> 192.168.20.102:554
Политика ограничения доступа (Whitelist)
Для повышения безопасности доступ к системе видеонаблюдения должен быть разрешён только с доверенных IP адресов.
Разрешённые IP адреса
| Назначение | IP адрес / подсеть |
| Внешняя подсеть | 91.223.18.0/24 |
| Внешний IP | 77.41.135.126 |
| Внешний IP | 217.114.156.203 |
Требования безопасности
Разрешить доступ только с указанных IP
Все входящие подключения к:
WEB интерфейсам;
RTSP потокам;
NVR;
Камерам;
должны быть ограничены указанными IP адресами.
Запрещено
Запрещается:
Открывать доступ для всех IP адресов (0.0.0.0/0);
Публиковать камеры без ограничений;
Использовать Any/Allow All правила firewall;
Включать UPnP.
Рекомендуемая логика firewall
Разрешить
91.223.18.0/24
77.41.135.126
217.114.156.203
Запретить
Любые другие IP адреса
Пример логики доступа
WEB доступ
91.223.18.0/24 -> PUBLIC_IP:2001-2099
77.41.135.126 -> PUBLIC_IP:2001-2099
217.114.156.203 -> PUBLIC_IP:2001-2099
RTSP доступ
91.223.18.0/24 -> PUBLIC_IP:3001-3099
77.41.135.126 -> PUBLIC_IP:3001-3099
217.114.156.203 -> PUBLIC_IP:3001-3099
Требования к полосе пропускания
Минимальная полоса на одну камеру
Для стабильной работы видеонаблюдения необходимо обеспечить:
Минимум 2 Мбит/с на одну камеру
Данное требование относится:
К каналу интернет;
К uplink между площадкой и центральным сервером;
К VPN каналу.
Настройка потоков камер
Для снижения нагрузки на канал связи администратор обязан ограничить битрейт потоков камер.
Основной поток (Main Stream)
Максимальный битрейт:
1024 Кбит/с
Рекомендуется использовать:
H.264;
Дополнительный поток (Sub Stream)
Максимальный битрейт:
256 Кбит/с
Дополнительный поток используется:
для мобильных клиентов;
для многокамерного просмотра;
при ограниченной полосе канала.
Рекомендуемые параметры камеры
| Параметр | Основной поток | Дополнительный поток |
| Битрейт | 1024 Кбит/с | 256 Кбит/с |
| Кодек | H.264 | H.264 |
| FPS | 15-25 | 5-10 |
| Назначение | Архив / запись | Онлайн просмотр |
Требования к интернет-каналу
Пример расчёта
| Количество камер | Минимальный канал |
| 1 камера | 2 Мбит/с |
| 4 камеры | 8 Мбит/с |
| 8 камер | 16 Мбит/с |
| 16 камер | 32 Мбит/с |
Требования к сети
Обязательные условия
1. Белый статический IP
На объекте должен использоваться:
Публичный статический IP адрес;
или
DDNS.
2. Ограничение доступа
Необходимо ограничивать доступ:
по IP адресам;
или
через VPN.
Проверка после настройки
После настройки необходимо проверить:
WEB доступ
Открыть:
https://PUBLIC_IP:2001
RTSP поток
Пример:
rtsp://PUBLIC_IP:3001/stream
Проверка безопасности
После настройки необходимо убедиться:
доступ с разрешённых IP работает;
доступ с посторонних IP блокируется;
firewall не содержит правил Allow Any;
UPnP отключен.
Типовые ошибки
Не работает WEB
Проверить:
NAT;
firewall;
HTTPS порт;
доступность устройства.
Не работает RTSP
Проверить:
RTSP включен на камере;
порт 554;
firewall;
кодек и поток.
Рекомендации
Не публиковать камеры напрямую в интернет
Рекомендуется:
VPN;
WireGuard;
OpenVPN;
доступ через NVR.
Обновление прошивок
Необходимо регулярно обновлять:
камеры;
NVR;
firewall.
Итоговая схема
Соответствие портов
Тип Диапазон
WEB 2001-2099
RTSP 3001-3099
Пример
Устройство WEB RTSP
NVR01 2001 3001
CAM01 2002 3002
CAM02 2003 3003
Ответственность администратора
Администратор удалённой площадки обязан:
Настроить NAT;
Ограничить доступ firewall;
Отключить UPnP;
Ограничить битрейт камер;
Обеспечить минимальную полосу 2 Мбит/с на камеру;
Обеспечить актуальность прошивок;
Предоставить информацию о публичном IP адресе.