Настройка удаленного доступа #1. Аппаратный проброс портов

В последнее время стали востребованы технологии удаленного доступа, что позволяет через интернет подключаться к рабочему компьютеру. На эту тему я опубликую 3 видео и в данном уроке мы научимся настраивать бесплатный удаленный доступ через протокол RDP по средствам аппаратного проброса портов, т.е. проброс портов через сетевое устройство.

Для начала определимся, что программы на подобии TeamViewer, LightManager и аналогичные нам не подходят, так как у них есть определенные ограничения и они подходят для решения задач технической поддержки, нежели комфортной удаленной работы. Причем, исходя из того, что сейчас нагрузка на эти сервисы возрастёт в несколько раз, то они будут работать не стабильно, не говоря уже о том, что это просто не безопасно, так как вся информация проходит через сторонний сервер. Поэтому использовать мы будем подключение через протокол удаленного рабочего стола RDP.

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

В данной ситуации мы рассмотрим три способа реализации удаленного доступа, в зависимости от того, как у вас организованна локальная сеть в компании.

— аппаратный проброс портов

— программный проброс портов

— доступ через VPN

Чтобы рассмотреть каждый из способов более подробно, а не поверхностно, то я на каждую тему сделаю отдельное видео и в данном уроке это будет аппаратный проброс портов.

Изменение прослушиваемого порта для RDP в ОС Windows 10

При указании порта, следует обратить внимание на то, что есть несколько категорий портов, которые отличаются друг от друга по номерам и использованию:

• 0 — 1023 – системные известные порты (в основном задействованы операционной системой)
• 1024 — 49151 – зарегистрированные и используемые порты
• 49152 — 65535 — динамические (приватные) порты, которые могут использоваться любыми приложениями для решения различных задач.
• Закрыть редактор реестра.

Изменения вступят в силу после перезагрузки.

Открытие прослушиваемого порта для RDP в брандмауэре Windows

Первый способ (через графический интерфейс)

• Открыть Брандмауэр Защитника Windows. Для того, чтобы открыть окно брандмауэра можно воспользоваться одним из следующих вариантов:
  • Открыть Параметры > Обновление и безопасность > Защитник Windows > открыть Центр безопасности Защитника Windows > Брандмауэр и безопасность сети
  • Открыть Панель управления (категория Мелкие значки) > Брандмауэр Защитника Windows
  • Открыть > Центр управления сетями и общим доступом > Брандмауэр Windows
  • В окне Выполнить ввести команду firewall.cpl
  • В окне поиска ввести: Брандмауэр Windows

  

  Рис.3 Запуск дополнительных параметров в брандмауэре Защитника Windows

  

  Рис.4 Запуск дополнительных параметров в брандмауэре Защитника Windows

  • В разделе правил выбрать Правила для входящий подключений
  • В меню Действия выбрать Создать правило

  

  Рис.5 Монитор брандмауэра Защитника Windows в режиме повышенной безопасности

  • В открывшемся мастере создания правила для нового входящего подключения установить радиокнопку Для порта

  

  Рис.6 Создание правила для входящий подключений

  • В следующем диалоговом окне оставить по умолчанию радиокнопку Протокол TCP и в поле Определенные локальные порты указать порт, который будет использоваться, в данном примере 50000

  

  Рис.7 Создание правила для входящий подключений

  • На следующем шаге мастера необходимо выбрать тип действия, которое описывает правило. В данном случае нужно разрешить подключение с использованием указанного порта. Оставить радиокнопку по умолчанию Разрешить подключение и нажать кнопку Далее.

  

  Рис.8 Создание правила для входящий подключений

  • На следующем этапе мастера необходимо указать область действия правила, в зависимости от того, какой сетевой профиль используется и нажать кнопку Далее.

  

  Рис.9 Создание правила для входящий подключений

  • Создать имя для правила (рекомендуется создавать смысловые имена для правил, чтобы их легко впоследствии идентифицировать). Например, указать имя — Правило для порта 50000, описание — Открытие порта прослушивания 50000 для RDP и нажать кнопку Готово.

  

  Рис.10 Создание правила для входящий подключений

  • Открыть свойства созданного правила

  

  Рис.11 Редактирование правила

  • В окне Свойства перейти на вкладку Программы и службы
  • Выбрать раздел Службы и нажать кнопку Параметры

  

  Рис.12 Редактирование правила

  • Установить радиокнопку Применить к службе, выбрать Службы удаленных рабочих столов и нажать ОК.

  

  Рис.13 Редактирование правила

  1. Нажать кнопку ОК в окне свойств и закрыть настройки брандмауэра.
  2. Перезагрузить операционную систему, чтобы изменения вступили в силу.

  Второй способ (с использованием командной строки)

  • Запустить командную строку от имени администратора

  Для выполнения настройки брандмауэра Windows с помощью командной строки, необходимо использовать команду Netsh. Утилита Netsh является мощным инструментом для администраторов Windows.

  Команды утилиты Netsh для брандмауэра Windows в режиме повышенной безопасности предоставляют командной строке альтернативные возможности управления брандмауэром. При помощи команд Netsh можно настраивать и просматривать правила, исключения и конфигурацию брандмауэра.

  Просмотреть справочную информацию по команде netsh можно введя в окне командной строки netsh /?

  • Ввести следующую команду

  add rule — добавить правило. Параметр Add предназначен для создания правил входящих и исходящих подключений.

  name=ИмяПравила. При помощи данного параметра можно указать имя нового правила для входящего или исходящего подключения.

  dir . При помощи данного параметра можно указать, будет ли правило создаваться для входящего или исходящего трафика. У этого параметра может быть два значения:

  • in – правило создается только для входящего трафика. В оснастке Монитор брандмауэра Защитника Windows в режиме повышенной безопасности его можно найти в узле Правила для входящих подключений.
  • out – правило создается только для исходящего трафика. В оснастке Монитор брандмауэра Защитника Windows в режиме повышенной безопасности его можно найти в узле Правила для исходящих подключений.

  action = . Данный параметр позволяет указать действие, которое будет выполнять сетевой фильтр с пакетами, которые указаны в текущем правиле. Этот параметр эквивалентен странице Действия мастера создания правила нового входящего (исходящего) подключения оснастки Монитор брандмауэра Защитника Windows в режиме повышенной безопасности. Для этого параметра существуют три параметра:

  Как работает RDP

  Доступ к другому компьютеру производится через порт TCP 3389 по умолчанию. На каждом персональном устройстве он предустановлен автоматически . При этом существует два вида соединения:

  • для администрирования;
  • для работы с программами на сервере.

  Серверы, где установлена ОС Windows Server поддерживают два удаленных подключения РДП сразу (это в том случае, если не активирована роль RDP). Компьютеры, не являющиеся серверами имеют только по одному входу.

  Соединение между компьютерами производится в несколько этапов:

  • протокол, основой которого является TCP, запрашивает доступ ;
  • определяется сессия протокола удаленного рабочего стола. Во время этой сессии утверждаются инструкции передачи данных;
  • когда завершится этап определения сервер передаст другому устройству графический вывод . В этот же момент он получает данные от мышки и клавиатуры. Графический вывод – это точно скопированное изображение или команды на отрисовку различных фигур, типа линий, кругов. Такие команды являются ключевыми задачами для данного вида протокола. Они сильно экономят расход трафика;
  • клиентский компьютер превращает эти команды в графику и выводит их на экран .

  Также этот протокол имеет виртуальные каналы, которые позволяют соединиться с принтером, работать с буфером обмена, использовать аудиосистему и др.

  Безопасность соединения

  Существует два вида защищенного соединения через RDP:

  • встроенная система (Standard RDP Security);
  • внешняя система (Enchanced RDP Security).

  Они отличаются тем, что в первом типе используется шифрование, обеспечение целостности создается с помощью стандартных средств, которые есть в протоколе. А во втором виде используется модуль TLS для установки защищенного соединения. Разберем подробней процесс работы.

  

  Встроенная защита осуществляется так — в начале проходит аутентификация, затем:

  • при включении будут сгенерированыRSAключи ;
  • изготавливается открытый ключ;
  • подписывается RSA, который вшит в систему. Он есть в любом устройстве с установленным протоколом удаленного стола;
  • клиентское устройство при подключении получает сертификат;
  • проверяется и происходит получение этого ключа.

  Затем происходит шифрование:

  • стандартно используется алгоритм RC4;
  • для серверов Виндоус 2003 используется 128 битная защита, где 128 бит — длина ключа;
  • для серверов Wndows 2008 – 168 бит.

  Целостность контролируется с помощью генерации mac-кодов основанных на алгоритме MD5 и SHA1.

  Внешняя система безопасности работает с модулями TLS 1.0, CredSSP. Последний совмещает в себе функциональности TLS, Kerberos, NTLM.

  • компьютер проверяет разрешение на вход;
  • шифр подписывается по протоколу TLS. Это лучший вариант защиты;
  • разрешается вход единожды. Каждая сессия шифруется отдельно.

  Какие порты используются для удаленного доступа?

  Удаленный доступ на камеры и регистраторы Hikvision и HiWatch можно реализовать следующими способами.

  1) Если используется белый (публичный) статический IP, то на роутере настраиваете проброс портов 80 554 и 8000 (uPnP рекомендуем отключить)

  2) Если используется серый IP, то единственный способ настроить доступ — p2p сервис Hik-Connect, возможен удаленный просмотр и удаленный просмотр архива. Запись в облако не происходит.

  Российские адреса серверов:

  Для домофонии — litedev.hik-connectru.com

  IVMS 4200

  Инструкции для версий 3.1.1.13 и выше

  Инcтрукции представленные ниже были cделаны для версий 2.3.1.3 и выше

  Перепрошивка камер и все что с ней связано

  Обновить прошивку можно через web интерфейс устройства, как обычный роутер, либо через клиентское ПО IVMS-4200.

  Обновление необходимо производить последовательно. 5.1.X -> 5.2.X -> 5.3.X -> 5.4.X

  C прошивок 5.3.X на 5.2.X и с 5.4.X на 5.3.X откатиться НЕ ПОЛУЧИТСЯ.

  Вы можете откатить прошивку (к примеру) с 5.3.8 на 5.3.3 с помощью TFTP, с 5.3.8 до 5.2.0 откатиться НЕЛЬЗЯ!

  Перепрошивка регистраторов все что с ней связано

  Мы рекомендуем проводить обновление через клиентское ПО IVMS-4200 или утилиту BatchConfigTool

  IP Камеры: аудио вход и выход

  

  IP Камеры: схема обжима

  

  RTSP ссылки

  RTSP-ссылки

  Основная и универсальная ссылка для IP камер, NVR и DVR:
  rtsp://admin:12345@192.168.200.11:554/ISAPI/Streaming/Channels/101
  где:
  rtsp — тип используемого протокола
  admin — имя учетной записи
  12345 – пароль используемой учетной записи
  192.168.200.11 — IP-адрес камеры
  554 — RTSP порт камеры (по умолчанию 554, может быть изменен в настройках)
  101 — это 1 камера 1 поток
  201 — это 2 камера 1 поток
  102 — это 1 камера 2 поток

  IP каналы HD-TVI регистраторов
  7204 — 501 601;
  7208 — 901 1001;
  7X16 — 1701 1801 и т.д

  Для вызывных панелей:

  rtsp://admin:12345@192.168.200.11:554/Streaming/Channels/101

  Устаревшие ссылки:
  rtsp://admin:12345@IP-камеры:554/mpeg4/ch01/main/av_stream
  получение потока с первого канала
  rtsp://admin:12345@IP-камеры:554/mjpeg/ch1/sub/av_stream
  получение потока mjpeg со второго потока. прошивка должна поддерживать mjpeg на втором
  потоке.

  MJPEG и фото:
  Для получения MJPEG-потока по HTTP (суб-поток камеры должен быть настроен как mjpeg)

  Перевести в MJPEG можно только суб-поток камеры.

  

  

  

  Подбор кронштейнов и монтажных коробок

  Таблицу совместимости камер Hikvision с аксессуарами вы можете скачать тут

  Таблицу совместимости камер HiWatch с аксессуарами вы можете скачать тут

  С паспортами для аксессуаров вы можете ознакомиться по данной ссылке

  Список протестированных HDD и SD карт

  Как просматривать устройство в браузере

  Для Windows

  Для просмотра через web требуется установить плагин Web Components

  Для MacOSX

  Используйте клиент iVMS-4200 для macosx

  Как подобрать объектив

  

  Подписаться на рассылку

  Политика по обработке персональных данных
  Информация на сайте не является публичной офертой.
  Описание товара носит справочный характер.
  Производитель оставляет за собой право изменять внешний вид и характеристики товара без предварительного уведомления.

  Проброс порта RDP на роутере

  В некоторых случаях, когда используется беспроводное соединение, а не кабельное, может потребоваться сделать проброс порта на маршрутизаторе (роутере). Ничего сложного в этом нет.

  Сначала в свойствах системы разрешаем и указываем пользователей, имеющих на это право. Затем заходим в меню настроек роутера через браузер (192.168.1.1 или в конце 0.1 — все зависит от модели роутера). В поле (если основной адрес у нас 1.1) желательно указать адрес, начиная с третьего (1.3), а правило выдачи адреса прописать для второго (1.2).

  Затем в сетевых подключениях используем просмотр деталей, где следует просмотреть детали, скопировать оттуда физический MAC-адрес и вставить его в параметры роутера.

  

  Теперь в разделе настроек NAT на модеме включаем подключение к серверу, добавляем правило и указываем порт XXXXX, который нужно пробросить на стандартный порт RDP 3389. Сохраняем изменения и перегружаем роутер (без перезагрузки новый порт воспринят не будет). Проверить подключение можно на каком-нибудь специализированном сайте вроде ping.eu в разделе тестирования портов. Как видим, все просто.

  Напоследок обратите внимание, что значения портов распределяются следующим образом:

  • 0 — 1023 — порты для низкоуровневых системных программ;
  • 1024 — 49151 — порты, выделяемые для частных целей;
  • 49152 — 65535 — динамические приватные порты.

  Вообще, многие юзеры во избежание проблем обычно выбирают порты RDP из третьего диапазона списка. Впрочем, и специалисты, и эксперты рекомендуют использовать в настройке именно эти значения, поскольку они подходят для большинства поставленных задач.

  Что же касается именно такая процедура используется в основном только в случаях Wi-Fi-соединения. Как уже можно было заметить, при обычном проводном подключении она не требуется: достаточно изменить значения ключей реестра и добавить правила для порта в файрволле.

  Настройка Plex Media Server

  Настройка проще, чем вы думаете, поскольку серверное программное обеспечение выполняет большую часть тяжелой работы. Сначала нам нужно организовать медиа на вашем компьютере, а затем установить Plex Media Server.

  Организуйте свои медиа, настроив логические папки, фильмы, ТВ и музыку и так далее. Поместите ваши медиафайлы в соответствующую папку, желательно в собственную папку, чтобы Plex мог их логически перечислять.

  Чтобы настроить Plex Media Server:

  ,
  1. Загрузите и установите Plex Media Server и приложение Plex, Установите медиа-сервер на компьютер или сетевое запоминающее устройство, которое вы собираетесь использовать. Установите приложение Plex на устройстве, которое вы хотите использовать для просмотра контента.
  2. Запустите Plex Media Server и войдите в систему. Появится окно браузера, в котором вы сможете войти и настроить сервер.
  3. Следуйте указаниям мастера, чтобы назвать свой сервер, и нажмите Далее.
  4. Разрешить удаленный доступ, когда вы попадаете на экран.
  5. Выберите Добавить библиотеку на следующем экране и укажите Plex на файлы или диски, которые содержат носитель.
  6. Выберите Next, пока носитель загружается в Plex.
  7. Выберите любые каналы, которые вы хотите добавить, а затем нажмите Далее.
  8. Выберите Готово на экране подтверждения.

  После завершения работы мастера Plex Media Server сканирует папки, добавленные в библиотеку. Это может занять некоторое время, в зависимости от того, сколько медиа вы добавляете. Вы можете продолжить с другими вещами, пока вы ждете.

  Если у вас есть проблемы с настройкой, проверьте руководство по базовой настройке Plex, Он содержит все, что вам нужно знать.

  

  Чтобы обеспечить SSH доступ пользователю необходимы SSH-клиент и SSH-сервер. Каждая операционная система имеет свой набор программ, обеспечивающих соединение. Так, для Linux это lsh (server и client), openssh (server и client). Для Mac OS зачастую используется NiftyTelnet SSH. А в ОС Windows для реализации соединения через SSH протокол чаще всего используется приложение PuTTY https://www.putty.org.

  Для использования PuTTY необходимо скачать и инсталлировать приложение, после чего в графическом интерфейсе можно осуществить настройку программы. Приложение имеет 4 вкладки:

  • Session. В этой вкладке осуществляется настройка подключения к серверу.
  • Terminal. Здесь можно корректировать настройки работы терминала, через который и осуществляется вся работа.
  • Connection. В этой вкладке можно задать параметры подключения, выбрать алгоритм шифрования и задать другие настройки соединения.
  • Window. В этом окне пользователь может выбрать внешний вид приложения, изменить шрифт и цвет текста.

  

  В PuTTY , как и других приложениях для запуска SSH-протокола, используются два основных метода аутентификации: по паролю и по ключу.
  При использовании аутентификации по паролю пользователь использует для установки соединения персональный логин и пароль.

  В случае использования ключа предварительно генерируются открытый (на устройстве, к которому будут подключаться) и закрытый (на устройстве, с которого будет происходить подключение) ключи для каждого отдельного пользователя. Эти файлы не передаются во время аутентификации, система только проверяет, чтобы владелец открытого ключа владел и закрытым. Этот метод используется для автоматического входа в удаленный ПК.

  В PuTTY для управления удаленным ПК используется терминал: и команды, и передача файлов осуществляются только через него.

  SSH — один из самых безопасных протоколов для реализации удаленного доступа к ПК. Современные алгоритмы шифрования и широкий выбор инструментов для настройки протокола делают его самым популярным вариантом для удаленного администрирования компьютеров и безопасной передачи данных. Наш виртуальный хостинг сайтов поддерживает работу SSH во всех тарифных планах хостинга.

  голоса

  Рейтинг статьи
  Читайте так же:

  Что означает масло в воздушном фильтре?