Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Какие порты нужно пробросить для защиты?, UniFi Protect
 
#1
10.09.2018 15:04:00
Недавно я обновился с Video до Protect и могу удаленно войти в интерфейс, но ни один из видеопотоков с камер не отображается — постоянно висит «загрузка». Какие порты нужно пробросить, чтобы UniFi Protect работал?
 
 
 
#2
13.06.2022 18:10:00
Если у вас есть два фаервола Opnsense, Wireguard настраивается буквально за пять минут. В этом вся суть протокола — сократить до минимума всю эту бесконечную сложность большинства VPN-решений. Кстати, pfSense тоже добавил его в одном из последних обновлений. Как вы и заметили, фильтрация по исходному IP может помочь, но это далеко не панацея — настройка Wireguard займет примерно столько же времени, сколько и правила фильтрации портов. На самом деле, нет никаких оправданий, чтобы не сделать VPN.
 
 
 
#3
13.06.2022 15:17:00
У некоторых роутеров можно открывать порты, фильтруя их по конкретному адресу источника, с которого подключается камера. Это требует гораздо меньше настроек, чем VPN, при этом данные шифруются и не оказываются открытыми для всего интернета. Конечно, это не так безопасно, как аутентифицированный VPN, но для большинства задач это вполне приемлемо.
 
 
 
#4
13.06.2022 14:54:00
Порты, которые я перечислил выше, не подошли? Ты заходил напрямую в камеру, чтобы прописать в ней адрес NVR, указав свой публичный IP, а не локальный IP в сети? Никогда не получишь "официальных" инструкций. Если что, UI вообще убрали из документов поддержку таких вещей для Protect. Сейчас они активно продвигают идею одного NVR на каждое место, который при необходимости можно управлять через облако, если у тебя несколько таких устройств.
 
 
 
#5
13.06.2022 14:53:00
Лучший способ — туннелировать трафик между сайтами через VPN «сайт-сайт». Я бы ни в коем случае не открывал порты Protect напрямую в интернет — это безумие. Если вы используете OpnSense, для этого отлично подходит Wireguard.
 
 
 
#6
13.06.2022 11:05:00
Есть ли какие-то обновления или официальная документация по подключению камеры с другой стороны (вне локальной сети) к контроллеру? Мне удалось это настроить с USG (там по умолчанию все порты открыты 🙄), но с файрволом opnsense никакой удачи. Следующий шаг — трассировка трафика между камерой и контроллером... Было бы здорово получить официальную документацию от Ubiquiti, а не заниматься обратной разработкой 😛. Спасибо.
 
 
 
#7
28.03.2022 12:00:00
Камера уже установлена и работает. Но она функционирует только при условии, что я разрешаю доступ ко всем портам из этой VLAN.
 
 
 
#8
28.03.2022 01:58:00
Мне удалось временно протестировать камеру в удалённом месте, сначала добавив устройство локально, затем напрямую зайдя в камеру и вручную прописав адрес NVR, после чего пробросил порты 7442, 7444 и 7550 на NVR. Не уверен, как это будет работать, если пытаться добавить камеру через VLAN. Думаю, придётся либо зайти в неуправляемую камеру и задать IP сервера до добавления, либо для добавления поместить камеру в ту же VLAN, что и NVR, а потом уже перевести её в другую VLAN.
 
 
 
#9
27.03.2022 23:51:00
@UI-Glenn: Ребята, не подскажете, какие порты нужно открыть, чтобы камеры из другой VLAN могли обращаться к Protect-серверу, который работает в основной сети UDMP LAN (жаль, что это нельзя изменить). Без разницы, какие именно порты я открою, если не сделать общее правило, позволяющее сети "camera" обращаться к адресу шлюза, все камеры уходят оффлайн.
 
 
 
#10
09.10.2021 13:08:00
@UI-Team Мы не хотим ваш облачный сервис!!! Пожалуйста, дайте нам нормальный удаленный доступ к нашему Protect-инстансу и через браузер, и через мобильные приложения. Ваши пользователи уже давно этого требуют. Хватит навязывать нам своё облако!!!
 
 
 
#11
09.10.2021 04:07:00
У меня настроен конфиг, очень похожий на тот, что у @afitch07 выше, и для работы мне тоже приходится открывать все порты. Кроме того, я бы очень хотел запускать Protect Server в VLAN, но не могу найти в настройках UDMP ничего, что это позволило бы. Ах да, и приложение Protect на моём телефоне на Android всегда говорит, что подключено удалённо, хотя я нахожусь в той же подсети, что и UDMP...
 
 
 
#12
09.10.2021 01:10:00
Protect v6.2.26  
Мои камеры находятся в отдельном VLAN, отделённом от UNVR. UNVR находится в той же сети (LAN), что и мои основные устройства (телефон, ноутбуки, настольные компьютеры и т.д.). Я подключаюсь напрямую (клиент — UNVR).  

Для связи между VLAN я настроил правило брандмауэра с разрешением TCP:  
Источник (ОТ КАМЕР): IP-группа с группой портов (7442, 7444, 7550)  
Назначение (К UNVR): одиночный IP UNVR  

Это приводит к нескольким проблемам:  
- При перезагрузке беспроводных камер (домофон, g3 instants) они не переподключаются с установленным выше правилом брандмауэра.  
- Загрузка истории камер (данные таймлайна) и трансляция проходят МЕДЛЕННО и с задержками.  
- ДА, Я ПРЯМО ПОДКЛЮЧЕН К UNVR ЧЕРЕЗ НАСТОЛЬНЫЙ КОМПЬЮТЕР И ТЕЛЕФОН (МОБИЛЬНОЕ ПРИЛОЖЕНИЕ) ПРИ ТЕСТИРОВАНИИ.  

Однако если изменить вышеуказанное правило, разрешив ВСЕ TCP-порты вместо только перечисленных трёх (как советуют на этом форуме), все описанные проблемы исчезают.  

Мне хотелось бы правильно сузить список портов. Но я не знаю, какие именно порты нужны, и не могу найти нормальную документацию по портам, используемым Protect на сайте Ubiquiti. Там есть только материалы по UNIFI Video. Судя по моему неоднократному опыту, между камерами и UNVR требуется больше TCP-портов.  

Что думаете?
 
 
 
#13
17.07.2021 11:05:00
Для отчёта: я столкнулся с проблемой, что удалённые камеры не могли обновить прошивку. Оказалось, что для удалённого обновления прошивки необходимо пробросить порт TCP 7444. В целом, для Unifi Protect я пробросил такие TCP-порты: 7442, 7550, 7444.
 
 
 
#14
31.03.2021 17:18:00
@UI-AlexCaldas  @UI-Team С небольшим улучшением это могло бы стать отличной технической заметкой!
 
 
 
#15
28.03.2021 00:30:00
Я обновляюсь с UniFi Video на Windows 10 ПК до UNVR с UniFi Protect (V1.17.3). Сначала не мог подключиться к UNVR локально, но через облачный сервис всё работало. Вот что я выяснил. Делюсь здесь, чтобы помочь другим.

ПК в локальной сети находятся в другом VLAN, чем камеры, с правилом фаервола на камерах, которое блокирует пакеты к 192.168.0.0/16. Для устройств на VLAN камер, которым нужно общаться с другими локальными VLAN, перед правилом блокировки стоит разрешающее правило для нужных подсетей. По умолчанию для исходящего трафика стоит accept, так что это правило block запрещает камерам доступ к остальной сети, если специально не разрешено.

Когда я использовал UniFi Video с открытыми портами 1935, 7443-7446 между VLAN, всё работало отлично. Аналогично с входящими портами из WAN. В WAN_IN добавил правило, разрешающее порты 1935, 7443-7446 с определённых подсетей (WAN_OUT разрешает весь трафик).

UniFi Protect вообще не работал на порту 7443. Оказалось, что порт 7443 в UniFi Protect используется для Timelapse и просмотра записей. Для управления и просмотра камер используется стандартный SSL-порт 443. Порт 7446 нужен для просмотра живого видео.

Так как мой роутер использует порт 443 на стороне WAN для своей страницы управления, а UNVR не позволяет изменить порт, я настроил NAT, чтобы перенаправлять порт 5443 на 443 UNVR. Также настроил NAT для проброса портов 22, 7443 и 7446 на UNVR.

Потом добавил порты 22, 443, 7443 и 7446 в исходящее правило фаервола на VLAN камер для IP клиентов, использующих UNVR, и в правило WAN_IN для подсетей или IP клиентов WAN, которым нужен прямой доступ к UNVR.

Теперь всё работает и через облачный сервис, и напрямую из WAN и с других VLAN.
 
 
 
#16
30.12.2020 10:40:00
Ты не знаешь, есть ли какой-нибудь хороший гайд по этому поводу?
 
 
 
#17
30.12.2020 01:47:00
Никаких причин, чтобы VPN был невозможен, просто нет, особенно теперь, когда на Raspberry Pi можно поставить OpenWRT. Полные комплекты Raspberry Pi 3b стоят менее 50 долларов, а по мощности он вполне способен справиться с гигабитным подключением — чего и не потребуется, даже если у вас несколько камер.
 
 
 
#18
30.12.2020 01:46:00
Если ты используешь VPN — то нет! НИ В КОЕМ СЛУЧАЕ не открывай порты напрямую в интернет! Можно поставить OpenWRT на Raspberry Pi — это дешево и просто. Получишь фаервол, который еще сможет выступать в роли VPN-клиента, чтобы удалённые камеры работали через VPN.
 
 
 
#19
29.12.2020 21:02:00
Открывать порты и настраивать файрвол так, чтобы входящие подключения могли приходить только с ожидаемых источников — в многих (но не во всех) случаях даже лучше, чем VPN, если только вам не нужно действительно сильно укреплять сеть. Здесь нет нагрузки от VPN, да и все данные между камерой и UFV уже в любом случае зашифрованы. Но да, уж точно не стоит просто открывать порты для всего интернета ради устаревшего ПО.
 
 
 
#20
29.12.2020 20:46:00
В моём случае VPN использовать нельзя, поэтому у меня открыты несколько портов. Возникли проблемы с обновлением прошивок, но внешний IP решил их через интерфейс камеры. После обновления и смены бренда с Video на Protect в интерфейсе камер я вернул сервер обратно на свой ddns URL. Всё работает, но попросить папу сделать эту замену — вот это была настоящая задача 🤣
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)