[Résolu] Dialogue caméras et NAS

IL-MAFIOSO

Maître Jedi
11 Janvier 2016
628
8
48
Bonsoir à tous,

Suite à la découverte d'une vulnérabilité (backdoor), je souhaite supprimer l'accès depuis l'extérieur à mes caméras pour un certain temps.
J'utilise Surveillance Station pour mes caméras. Surveillance utilise apparemment l'adresse IP Locale des caméras pour s'y connecter,
Actuellement les caméras sont connectés vers l'extérieur pour :

- la mise à jour de l'horloge : synchronisation NTP : fr.pool.ntp.org
- l'envoi d'Emails concernant des détections que le NAS QNAP ne sait prendre en charge :|

Je suis connecté à une BOX Numéricable. J'ai galéré pour déjà mettre en place les choses que j'en appelle à votre professionnalisme des réseaux.
Voilà ce que je souhaiterais faire :
1) Conserver ma connexion NAS QNAP <--> Caméras avec les adresses IP locales. Car si je ne me trompe, Vmobile sur smartphone passe par le NAS aussi pour se connecter ensuite aux caméras
2) Interdire tout ce qui voudrait se connecter aux caméras directement.
3) Autoriser les caméras à pouvoir envoyer vers l'extérieur ces fameux Mails.

Le point 1) c'est déjà en place.
Reste le 2) et 3) ..... dois-je intervenir sur la BOX ? sur les caméras ? Si oui comment ? ou ?

Je sais qu'il est plus facile certainement de totalement bloquer tout accès vers l'extérieur dans les deux sens (Quoi que çà je ne sais pas trop faire ....) Ou bien peut-être on peut bloquer que dans un sens (Le flux entrant de l'extérieur dans mon cas ....).
Pour le 3) Je me suis posé la question : Puis-je paramétrer ma caméra pour envoyer un Email en local vers le NAS et que le NAS me l'envoie alors comme il fait pour m'envoyer des alertes ? Mais pour cela, il faudrait que le NAS ait un serveur de messagerie SMTP ......

Voilà j'ai posé ma problématique .... Merci pour vos futures réponses et suggestions.
 
Salut
Pour rester simple (les boxs ne proposent pas forcément des réglages pare feu très fins), pour autoriser uniquement en sortant depuis tes caméras, ne fais pas de règles NAT sur ta box vers tes caméras (les règles qui redirigent le trafic d'un port entrant vers un équipement local) et coupe l'IP v6 si il est proposé (ça c'est juste car je connais pas le pare feu des boxs numéricables, on sait jamais qu'il ne filtre que l'ip v4).
Ainsi tes caméras peuvent sortir, mais il n'y pas moyen de remonter directement depuis internet (donc en arrivant sur ta box) vers les caméras.
 
Hello,

Heu ... pour faire simple :geek: çà devient déjà chez moi compliqué.
Quand tu dis ne fais pas de règles NAT, çà veut dire que je dois désactiver l'upnp des caméras ?
Et alors supprimer dans la box les traces de toutes les adresses IP locales de mes caméras qui apparaissent dans l'onglet upnp de ma box ?
 
Oui si tu ne les as pas fait a la main mais juste par upnp, il faut les enlever de la.
Globalement l'upnp, c'est très pratique mais pas sécurisé, tu ne maîtrises pas les entrées du coup. Donc le désactiver peut demander un peu de manips (savoir qui a besoin de quoi, sachant que tu peux déjà écrire en NAT à la main ce qui est ouvert automatiquement en upnp c'est un bon début ) mais ca apporte en sécurité et dans ton cas ça permet de rien ouvrir aux caméras non fiables.
 
Hello,

Bon, le but est de garder le lien avec le NAS et un accès direct aux caméras via l'adresse IP Locale :geek:
Le Bonus : que la caméra puisse continuer à envoyer des mails directement ...

Je viens de faire un tour dans la partie configuration de la caméra pour la partie réseau et je trouve pleins de choses :

- TCP/IP : Là j'avais désactivé DHCP et mis une adresse locale IPv4 en fixe.
- Port : Là j'ai Port HTTP, RTSP, HTTPS, SDK
- DDNS : c'est désactivé
- PPPoE : c'est désactivé
- SNMP v1/v2 /v3 : c'est désactivé
- IEEE 802.1X : c'est désactivé
- QoS : çà parle de DSCP ...
- FTP : Là l'adresse du serveur est mis à 0.0.0.0 car je n'ai pas de fonction pour désactiver
- UPnP : c'est activé
- NAT : Mapping Port est activé pour HTTP, RTSP et port SDK avec là les adresses IP rout WAN
- PlatForm Access : c'est désactivé
- HTTPS : çà parle de certificat ...

Sur ma BOX, en mode avancé, j'ai :
- Déclenchement de ports : c'est vide
- Transfert de ports : c'est vide
- UPnP : Là j'ai la table d'allocation pour chaque IP locale le port Int. et Ex

Dans Surveillance Station, le programme utilise l'adresse IP Locale, Port, Port RTSP
Il y a une ligne "adresse IP réseau étendu WAN" que j'ai en vide et en dessous, Port et Port RTSP WAN.

A partir de là, tu pourrais me guider dans ma démarche pour atteindre mon but ?
 
Alors globalement, avec la façon dont je dis, tu n'as pas à toucher à la caméra si actuellement son fonctionnement te convient et que tu veux juste pas y accéder depuis l'extérieur.
Dans la partie box par contre, le mieux est de désactiver l'upnp. Les règles que tu as actuellement dans l'upnp tu les réécris identiques (ports entrant/sortant et ip locale de destination) dans "Transfert de ports", sauf les règles qui concernent la caméra. Ainsi elle n'est plus visible depuis internet, mais en local rien ne change.
Dans Surveillance Station, rien ne change vu que comme dis, en local rien ne change et la caméra tu n'as pas touché ;)

Si vraiment tu ne veux pas couper l'upnp de la box ou que t'as des soucis, tu peux désactiver l'upnp de la caméra et enlever les règles liées à elle dans la table upnp de la box. Mais la solution de couper l'upnp de la box directement est encore mieux.
 
L'upnp de la box me sert aussi pour d'autres appareils tel le NAS par exemple . Je vais essayer de le désactiver et de réécrire tout en manuel ... Donc si j'ai bien compris :
- soit je désactive l'upnp dans la box mais je dois réécrire les règles pour tous mes appareils
- soit je désactive l'upnp dans les réglages des caméras

Dans les deux cas je suppose que je perdrais alors l'envoi de mails de la part des caméras ou pas ?

Si je désactive le NAT des caméras , ça aurait quelle incidence ?
 
Tu as bien compris oui. Normalement le NAS ne devrait pas t'ouvrir 50 règles non plus en UPNP donc en "Transfert de ports" ça peut se gérer, mais si tu préfères le garder sur la box, désactiver le mode UPNP des caméras et les supprimer des tables UPNP de la box fera aussi le boulot.
Concernant les mails non ça n’impacte pas, l'UPNP ou ne NAT ne va concerner le blocage que dans le sens entrant, tout ce que les caméras voudront émettre sur internet continuera à passer ;)
Concernant le NAT de la caméra elle même je le comprends pas trop, normalement c'est gérer par le routeur ça. Il doit concerner autre chose (plus une sorte de choix des types de fluxs disponibles en sortie de la caméra j'imagine).
 
Hello,

Une autre solution serait d'utiliser un VPN ... Mais pour des débutants comme moi, même en lisant ceci :
https://www.qnap.com/fr-fr/how-to/tutorial/article/comment-configurer-un-qnap-nas-en-tant-que-serveur-vpn

C'est incompréhensible, c'est trop vague ...

Au moins pour les caméras. Comme çà en activant mon client VPN sur mon iphone, je pourrais accéder au stream de mes caméras depuis l'extérieur en toute tranquilité, le VPN "faisant" croire à mon téléphone que je suis en local...

Pour le NAS, je me fais moins de soucis pour l'instant et de toute manière serait incapable de faire quoi que ce soit pour ce qui concerne le VPN.

Edit : Je pourrais peut-être utiliser le serveur VPN du NAS ? Mais j'aurais alors besoin d'un step by step ... et surtout qu'on m'explique ensuite comment accéder aux caméras via leur ip locales. Je suppose en me connectant au VPN du NAS depuis l'extérieur .. Mais alors comment ?
 
Il vaut mieux éviter les accès directs sur les caméras, que ce soit par UNPN ou par redirection de port. Surtout si pas de mot de passe pour rentrer sur l'interface web !

J'aurais tendance à laisser le UNPN sur le routeur, désactiver le service sur les caméras et cocher seulement les services dont tu as besoin sur le NAS. Le port 8080 est certainement utilisé pour la vidéosurveillance comme les autres applications, donc bien le cocher.
Avec celà, l'application de videosurveillance devrait fonctionner non ?

Le VPN est effectivement une autre solution. Un peu de paramétrage et logiciel/application à installer. Une redirection de port (ou cocher l'option pour qu'il le fasse en UNPN)
Quand le VPN est opérationnel, l'accès aux caméras est très simple, c'est comme si tu étais connecté sur ton réseau local (le débit en moins). Il te suffit donc de mettre leur adresse IP.
Je peux te faire un petit descriptif si besoin.
 
+1 pour l'ouverture à bannir vers les caméras !
Comme dis, un VPN sera pas trop long à config, et tellement mieux sécurisé :)
 
Si pas de souci de compatibilité ou de bug, il vaut peut être mieux l'application QNAP, non ? Y a peut être plus de fonctions ? (je ne connais pas, jamais utilisé)

Et puis moins à configurer qu'un VPN sur android (qui va fonctionner, mais qui est un peu geek ^^) ?

J'aurais tendance à dire :
Accès uniquement au NAS et Camera => Apps QNAP
Accès à d'autres services sur d'autres équipements en + => VPN

Mais j'ai jamais utilisé cette application, donc je suis pas trop sur
 
Hello,

J'utilise déjà Surveillance Station et Vmobile pour mes caméras.
J'ai donc désactivé l'upnp de mes caméras. J'ai donc du mettre mon NAS comme serveur NTP pour le réglage de l'heure de mes caméras vu que en WAN, plus rien ne rentre vers les caméras.

Avec Vmobile en WAN, aucun soucis pour faire du live-stream car çà passe par l'IP du NAS. Je fais confiance à QNAP pour la sécurité du NAS :geek:
Avec le nouveau QTS (4.3.3), il y a une app pour configurer le NAS comme serveur VPN. Et c'est là que même en lisant la doc, je ne sais pas comment faire car beaucoup de termes ne me sont pas familiés.

Pour les caméras, elles ont toutes une IP fixe et un port différent pour le HTTP et SDK. Le port est le même pour le HTTPS et RTSP.
(Je n'ai pas vu l'intérêt de me connecter en HTTPS en local ....donc je n'ai pas changé les ports par défaut)
çà va déplaire à certains mais étant totalement débutant les adresses IP des caméras sont dans la plage DHCP de ma box :rolleyes:
Sur la BOX, j'ai réservé les IP par rapport aux adresses MAC des caméras. Je n'ai eu à ce jour aucun soucis de conflit.

Je commence à regarder QVPN Service ... J'essaie d'activer le L2TP/IPsec . Puis je ne sais plus quoi choisir. Je crois juste avoir compris que le groupe d'IP des clients peuvent être dans mon cas la plage des adresses IP de mes caméras ? Mais la dernière case est grisée. Donc je ne peux pas personnaliser la plage.... Il me prend alors toute la plage DHCP de la BOX. Dois-je alors mettre des adresses IP farfelues aux caméras ? Mais alors le masque sous réseau peut rester le même ? et la Passerelle IPv4 par défaut aussi ? Tout çà c'est du chinois pour moi .....

Edit : j'ai oublié de préciser que j'utilise l'app iVMS-4500 du constructeur pour me connecter aux cameras depuis l'extérieur . Elle me permet d'accéder à certains réglages de la camera , ce qui n'est pas possible avec Vmobile. Depuis que j'ai désactivé l'upnp , je ne peux plus y accéder en WAN... Je compte sur ce VPN pour pouvoir y accéder .... merci d'avance
 
IL-MAFIOSO a dit:
Avec Vmobile en WAN, aucun soucis pour faire du live-stream car çà passe par l'IP du NAS. Je fais confiance à QNAP pour la sécurité du NAS
Super donc tout fonctionne !

IL-MAFIOSO a dit:
çà va déplaire à certains mais étant totalement débutant les adresses IP des caméras sont dans la plage DHCP de ma box
Sur la BOX, j'ai réservé les IP par rapport aux adresses MAC des caméras. Je n'ai eu à ce jour aucun soucis de conflit.
Pas de soucis, c'est la meilleure méthode ;-)

IL-MAFIOSO a dit:
Pour les caméras, elles ont toutes une IP fixe et un port différent pour le HTTP et SDK. Le port est le même pour le HTTPS et RTSP.
(Je n'ai pas vu l'intérêt de me connecter en HTTPS en local ....donc je n'ai pas changé les ports par défaut)
Du moment que ces ports ne sont pas transférés dans ton routeur et que l'unpn est désactivé dans les cameras, pas de soucis pour moi.

IL-MAFIOSO a dit:
Ok, j'ai compris maintenant :)
J'essaie de te donner quelques conseils avec OpenVpn dès que j'ai un peu de temps.
 
Pour le VPN :
j'ai utilisé OpenVPN car j'ai eu pas mal de soucis avec L2TP sur une version précédente (une connexion fonctionnait mais jamais la suivante). C'est libre, multiplate-forme et sécurisé.

Voici ma configuration :
VPN.PNG
VPN client IP pool = Attention, ces adresses IP doivent être différentes de ton réseau local.
Tu peux prendre les même que moi si ton réseau est en 192.168.x.x par exemple.
Tu recevra une adresse en 172.16.240.x mais tu pourras pinger 192.168.x.x :)
Server port = tu dois faire une redirection dans ton routeur pour ce port.
Les autres options me semblent peu importantes.

Tu peux télécharger le certificat, ca te servira pour une connexion avec android
Ne pas oublier de donner l'autorisation à l'utilisateur de se connecter au VPN (Dans QVPN) !

Tutorial de QNAP pour android = https://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/272/0/how-to-connect-openvpn-from-iphoneandroid-mobile-device

J'ai pas essayé sur android mais je l'utilise régulièrement sur windows, avec myQNAPcloud Connect.
https://www.qnap.com/fr-fr/utilities
Voici ma configuration
4-Paramètres.PNG
Si ton utilisateur est adminitrateur, tu peux cocher la case télécharger automatiquement, il ira chercher lui même le fichier de config

Bon tests !
 
Hello,

Merci pour ces infos, je vais m'y lancer dès que je peux.

Tu recevra une adresse en 172.16.240.x mais tu pourras pinger 192.168.x.x
çà veut dire que je n'ai pas besoin de changer les adresses IP des caméras ?
Et comment on fait dans le routeur pour pinger ?

Edit : Je dois installer çà sur le PC ? Mais ensuite le PC doit rester allumé ? (Question bête peut-être ....)
 
Non non surtout pas.
Supposons que ton réseau chez toi est en 192.168.x.x
Ton PC/Téléphone va recevoir une adresse "virtuelle" par le VPN en 172.16.240.x

Mais sans rien changer, quand le VPN est établi, tu pourras joindre tes caméras avec leur adresse IP habituelle en 192.168.x.x

Le ping c'est juste une manière de vérifier qu'on peut joindre un équipement à partir d'un PC
http://www.vulgarisation-informatique.com/ping.php

IL-MAFIOSO a dit:
Edit : Je dois installer çà sur le PC ? Mais ensuite le PC doit rester allumé ? (Question bête peut-être ....)
Non, c'est le NAS qui va faire le serveur qui va rester allumé.
Le PC va faire comme ton téléphone, se connecter au serveur. C'est juste plus facile avec les utilitaires QNAP pour vérifier que ca fonctionne. Tu peux désinstaller après ;-)
 
Bon,

Alors c'est un peu la pagaille ... J'ai donc configurer dans QVPN.
J'ai édité le fichier openvpn.ovpn et remplacé xxx.myqnapcloud.com par mon adresse IP Local du NAS habituelle 192......
Est-je bien fait ou bien ce n'est pas nécessaire ? Peut-être valable uniquement pour le PC ?
J'ai copié ce fichier et le certificat dans le dossier ...\OpenVPN\config.

Je n'ai pas encore configuré mon routeur .

J'ai lancé OPEN-VPN GUI de mon PC sous Windows 10. dans la barre des tâches ...
Windows m'indique que je suis connecté à Internet sur un réseau non indentifié ...
A partir de là, qu'est-ce que je peux faire, qu'est ce que çà change ? Car je suis en local dans ce cas

J'ai lancé ensuite myqnapcloudconnect pour créer comme tu m'as dit la connexion VPN pour l'extérieur mais il me dit qu'il ne trouve pas OPEN VPN sur mon PC .....
 
Re,

Bon pour l'histoire du programme pas trouvé, j'ai fermé le VPN sous Windows et çà à marché.

Dans myqnapcloudconnect, j'ai bien deux OpenVPN de crées :

- Celui avec l'adresse local
- Celui avec l'adresse myqnapcloud.com

En dessous, on doit choisir le nœud ? Je dois choisir quoi pour pouvoir ensuite accéder à mes caméras.

Ensuite, peux-tu me dire ce que je dois mettre dans mon routeur ?
Et concernant l'adresse IP locale, celle du NAS. Puis je pourrais me connecter à mes caméras car c'est le NAS qui va rediriger chaque adresse IP ?

Enfin, je suppose que cela n'a aucune incidence sur le reste : connexion avec l'ip WAN classique, accès à Plex media Server, etc ... En fait je me connecte normalement ou en VPN ?
 
IL-MAFIOSO a dit:
Alors c'est un peu la pagaille ... J'ai donc configurer dans QVPN.
J'ai édité le fichier openvpn.ovpn et remplacé xxx.myqnapcloud.com par mon adresse IP Local du NAS habituelle 192......
Est-je bien fait ou bien ce n'est pas nécessaire ? Peut-être valable uniquement pour le PC ?
Non il ne faut pas faire celà. xxx.myqnapcloud.com permet au VPN quand tu es à l'éxtérieur. Si tu as une IP WAN fixe, tu peux la mettre là (mais franchement pas nécessaire).
IL-MAFIOSO a dit:
- Celui avec l'adresse myqnapcloud.com
Celui là est le bon.
IL-MAFIOSO a dit:
En dessous, on doit choisir le nœud ? Je dois choisir quoi pour pouvoir ensuite accéder à mes caméras.
J'ai choisi l'option 1 NAS

IL-MAFIOSO a dit:
Ensuite, peux-tu me dire ce que je dois mettre dans mon routeur ?
Si Unpn activé, rien à faire. Si pas, il me faudra des captures d'écran des redirections que tu as déjà faites, je ne connais pas ta box ...

IL-MAFIOSO a dit:
En fait je me connecte normalement ou en VPN ?
Chez toi normalement, de l'extérieur, tu ouvres le VNP pour te connecter au caméras

Si ca fonctionne chez toi, y a plus qu'à le faire de l'extérieur ;-)