Всем доброго дня.
Столкнулся однажды с проблемой, наблюдая за своей камерой через XmEye увидел чудесный китайский магазин.
Дополнительная информация
Подумал, перезагрузил камеру, появилось моё изображение, но через час картина снова изменилась.
Оказалось, что мой UID камеры в P2P облаке назначен где-то еще.
Ну что… будем чинить.
Связался с продавцом. Который оказался довольно общительным.
Наши китайские друзья выпучив глазки, начали доказывать, что этого не может быть и что UID уникальный и во всем мире каждая камера только одна. Пришлось отправить им скриншоты с технической информацией камеры:
Дополнительная информация
В итоге диалог затянулся на 2 дня с привлечением технических специалистов из Китая. И о чудо! Решение нашлось!
Сменить UID оказывается можно, применив 2 прошивки.
Для прошивки нам понадобится либо CMS клиент, либо UpgradeTools, либо DeviceManager.
В моем случае при прошивке через CMS клиента, он просто крашился, потому обновлялся через DeviceManager.
Качаем:
https://s-sg.ru/downloads/General_DeviceManage_V2.5.2.2.T.20160827.exe
И 2 прошивки:
https://s-sg.ru/downloads/1_1564821570_988.bin
https://s-sg.ru/downloads/2_1564821577_338.bin
Программка крайне проста в эксплуатации
Дополнительная информация
Открываем и выбираем поиск.
Дополнительная информация
После выбираем нашу камеру.
Дополнительная информация
Загружаем по очереди прошивки. (1_ затем 2_)
Чудо случается!
Дополнительная информация
В целом китайские облака скользкая штука. И количество продавцов камер и клонов, явно забирают под свои камеры UIDы чужих камер.
UPD:
Ссылка на информацию по камере:
https://ru.aliexpress.com/item/32655713613.html
Камера BESDER 1080p — 12v without POE
Основан на процессоре HI3516E
UPD2: потратил вечер на изучение вопроса прошивок.
UID генерируется из сборки мак адреса камеры и некого ключа.
почитав узнал алгоритм, описан он хорошо тут:
https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/
Мак адрес вшит во второй (2_) прошивке, за счет смены мак адреса происходит смена UID камеры.
{
"UpgradeCommand": [
{
"Command": "Burn",
"FileName": "u-boot.bin.img"
},
{
"Command": "Burn",
"FileName": "u-boot.env.img"
},
{
"Command": "Burn",
"FileName": "custom-x.cramfs.img"
},
{
"Command": "Burn",
"FileName": "romfs-x.cramfs.img"
},
{
"Command": "Burn",
"FileName": "user-x.cramfs.img"
},
{
"Command": "Burn",
"FileName": "web-x.cramfs.img"
},
{
"Command" : "SetHWMac",
"HWMac" : "00:12:16:2E:46:32" <--- Здесь можно указать по сути любой мак, для смены UID камеры,
}
],
"Hardware": "50H20L_S39",
"DevID": "000025201001000000000000",
"CompatibleVersion": 2,
"Vendor": "General",
"CRC": "1cb6197100002666"
}
PS: Мак адрес не скрываю, он и как оказалось зашит в прошивке 2_, потому как моя камера теперь изолирована, выкладываю как есть.
Всем спасибо!
Вот откуда они все секреты по всему миру знают…
Ну и откуда прошивки, как нашли, почему решили что они подойдут, почему 2 и тд
Например, старые цены за VDS на Aruba Cloud. Но сейчас они €2.79:
Кто успел — платит так же €1.
Этого более чем достаточно для VPN для доступа к регистратору (за NATом, например).
Если поискать, то можно найти и за €1 сейчас. Но, как правило, там всё очень плохо со скоростью канала (делится на всех).
VPN на роутере нужен чтобы иметь защищенный доступ к домашнейй сети и камере которая стоит дома, за роутером. Камере при этом желательно вообще заблокировать доступ в интернет (максимум — оставить доступ к ntp серверу чтобы время синхронизировала сама).
Не подскажете, чего так?
и адреса на интерфейсах заодно
У меня keenetic giga 2. Если запретить доступ к инету для камеры опцией «ограничить доступ в интернет» — то и через vpn камера не видна. Поэтому для камеры не нужно включать эту опцию, а блокировать доступы через настройки файрволла. Тогда она будет видна в локалке и через vpn, но не сможет сама постить ваше видео в китайские облака.
Тут скрины моих настроек. Эти правила делать не нужно.
При таких настройках и камера в безопасности и можно оперативно отключить домашние гаджеты от инета с приложения (например потушить инет на телеке и смарте ребенка, чтоб не отвлекался от уроков )))).
Инфа по теме:
Использование межсетевого экрана для предоставления разных прав доступа в Интернет
Примеры использования правил межсетевого экрана
c.radikal.ru/c34/1908/23/98618667044d.png
10.8.0.1 — IP OpenVPN сервера.
ps лезет — видна с пробросом портов (как и ранее, по белому IP) Но — мысль понятна, спасибо. Буду развивать.
чтобы проверить может ли залезть в инет — подключите комп в роутер с ip камеры (камеру временно потушите). и проверьте — куда сможет влезть комп. я не настоящий сетевик, только по необходимости.
просто для камеры укажите «без интернета». всё.
за пределы локальной сети они никуда не сможет пойти.
когда вы сами подключаетесь через vpn к роутеру то доступ иметь будете.
Они при vpn не идут.
Используйте православный rtsp.
но реальные выход из ситуации если камера не позволяет сделать авторизацию (логин пароль) потока это
1. rtsp + vpn.
2. rtsp + проброс порта снаружи на камеру с разрешением конкретных ip адресов с которых возможен доступ. Ну например на работе у вас статик ip, и хотите с работы смотреть поток домашний. Для телефона с их серыми nat адресами это конечно же не подходит.
благо моё хозяйство hikivision позволяет настроить любую авторизацию и проблем с защищенным rtsp снаружи нет.
Прекращаю флуд :) направление понятно, спасибо.
хвала keenetic и padavan.
В европе (RIPE) свободные ип закончились в 2012, в северной америке (ARIN) все ип закончились в 2015 году. Немного осталось у африканцев, но ожидается что к февралю 2020 закончатся вообще все нераспределенные ip адреса.
sstp vpn сервер на нём есть в паре с keendns — доменным именем 3 уровня (блаблабла.keenetic.link).
работает даже с серым ip через «облака» keenetic.
скорость примерно 3 мегабита/сек. для мониторинга 4g модемов (воткнутных в keenetic) такая функция нереально крутая и полезная…
без keenetic вы это облако всё равно не сможете использовать)
так что в данном случае «облако» равнозначно «keenetic»
германия, цены нормальные + белый ип + трафик анлим + полноценная ось.
ЗЫ сам таким пользуюсь
К тому же, первые полгода «телеграммной войны» значительная часть адресов Арубы была в бане РКН, и нет гарантий что это не повторится.
Насчет начинки, то всё зависит от того, что Вы хотите. Можно обойтись только http прокси в виде nginx, можно поставить связку c openvpn или иным тунелеобразующим ПО.
Мой VPN сервер собирает в единую сеть, сети квартиры и дачи. И даёт возможность мне находясь не дома подключаться к домашним ресурсам. У видеорегистратора в дополнении к видеофиксации есть несколько простых скриптов задача которых упростить наблюдение, особенно в условиях того, что на даче скорость интернета пока никого нет минимальна (yota). В частности они раз в час выкладывают на http сервер у провайдера картинки с камер, плюс при обнаружении движения на этот http сервер выкладывается несколько кадров из видео (потом по этим кадрам можно понять, стоит ли подключаться для просмотра видео или нет).
Скрипты сами писали?
Скрипты писал сам, исключительно занимаясь реверсом хранилища данных видеорегистратора. Заодно добавил в почасовых снимках температуру на улице и в доме.
OVZ — это же распрощаться с VPN: ни своего ядра, ни iptables, ни Wireguard. VMW только $22/год за 512M/20G/2TB и shared ethernet. KVM с теми же характеристиками от $11/год.
Да, старые тарифы Aruba без конкуренции. Да и скорость канала у них — лучше я ещё не видел. Обычно дешёвые так напихивают, что и VM еле ворочается, и канал забит… Жаль, что не взял несколько. :)
А сменить сервер… Вообще у них не вижу проблемы. Можно загрузиться с ISO, сбэкапить раздел, потом развернуть на новом сервере.
ssh-copy-id newserver
ansible-playbook server-role.playbook
И подождать немного и будет готовый сервер, останется развернуть на него пользовательские данные и сервер готов.
Но — у каждого своё, можно и так. Но Вы почему-то не переехали.
1. ansible из коробки умеет lvm, но на виртуальном сервере с 10ГБ диска и гигом памяти ставить LVM избыточно.
2. Теневой бекап это глупо (например получить неконсистентный бекап базы данных можно запросто), файлы прекрасно бекапятся tar'ом (и инкрементно и дифференциально если надо), базы данных нормальные бекапятся штатными средствами без остановки, мускуль бекапится перконой.
3. ansible выкатывает все настройки сервера, я не конфигурирую сервер напрямую, конфигурация либо лежит в репозитории, либо в плейбуке, так-что absible-playbook разворачивает всё окружение кроме данных. Формально может и с данными, но на один сервер я осилю бекап данных руками развернуть.
4. Я переехал, забаненый РКНом сервер уехал на 6$ хостинг, где он уже год живет. Поскольку для проксей пользовательских данных не надо, то после ансибля сервер был настроен и работал.
Глупо — утверждать такое. Сотни миллионов людей и серверов делают это, в том числе штатными средствами. Это наиболее правильный способ получить мгновенный неизменяемый срез ФС. И уже на нём применять всё что угодно.
И это говорит человек, говорящий
? ;)
Никто средств самой BD не отменял. Да и не всем они нужны, эти BD. Речь-то была изначально о VPN для доступа к камерам. Какие там BD?
Все инструменты хороши для своих задач. И тот же tar так же можно (и лучше) запускать на неизменяемом снапшоте, а не на живой FS. А образ partclone + lvmbackup, к примеру, при достаточно толстом канале развернуть быстрее, чем делать то, что предложили Вы. И это даст абсолютную копию сервера, гарантированно рабочую. А в бекапах самое ценное — это возможность с них быстро восстановиться. 95% тех, кто делает их, восстанавливаться не пробуют. И обычно их ждёт неприятный сюрприз.
Не буду продолжать спорить. Каждый волен выбирать свой инструмент и поступать так, как считает нужным.
На нём крутится VPN для семьи и нескольких десятков друзей (https://github.com/jawj/IKEv2-setup), также SOCKS5 прокси для Телеграма «danted», десяток сайтов и, на десерт, jupyter.
> не пользоваться облаками
А я думал не ставить камеру без пароля ;)
К хорошему паролю это очень хорошая добавка.
Ага, и жесточайший в Европе антипиратский контроль с «тремя предупреждениями» до полного отключения от интернета.
Так же и в интернете: не надо, без необходимости, выкладывать свои данные в различные (мутные) облака и вконтактики — тогда и параноий никакой не будет.
я правда очень сильно запарился, пока настроил это все дело, причем по удаленке
в брендовых ты там пароль задаеш и на основании него генерируется ключ и этот ключ вписываеш на сцайте, на котором еще зарегиться надо
прекраснененько здорово сохраняем в оффлайн
иногда нужно чуть думать как могут применить описанное
ну и собственно незнание описанного на вероятность, что твою камеру кто-то не смотрит, никак не влияет.
Как работают днем, ночью.
Есть что сказать плохое?
В моем случае, анализируется не фоточка, а видео.
Нейронка работает в режиме свой — чужой, сбор данных кто и когда приходил, уходил и т.д.
Мак адрес вшит во второй прошивке, за счет смены мак адреса происходит смена UID камеры.
Не этот ли случай?
www.xmeye.net/message/news/ru/1.html
При перепрошивке надо смотреть что бы не окирпичить свою камеру неподходящей прошивкой.
Большая база прошивок камер XM — www.cctvsp.ru/articles/obnovlenie-proshivok-dlya-ip-kamer-ot-xiong-mai
Прошивка с поддержкой облачного сервиса IPeye.