oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a622b65df61f0b301ec7d4dff506f587871a25f4
knowledge-base/projects/dttb/video-surveillance-report.md
Максимка a3eb7bf079 NetBird VPN inventory + cleanup report 13.03.2026 
- Full peer inventory (44 active peers)
- Groups mapping
- Deleted 12 stale peers (6+ months offline)
- Also staged pending NIIKN and video surveillance docs
2026-03-13 22:51:55 +03:00

11 KiB
Raw Blame History

Система видеонаблюдения — Полный отчёт

Дата: 16 февраля 2026 Статус: Все 3 локации подключены

Общая архитектура

Три удалённые локации объединены через VPN-туннели WireGuard к единому VPS-серверу со статическим IP. VPS выступает точкой агрегации: принимает внешние подключения из интернета и пробрасывает их через DNAT к камерам и регистраторам в локальных сетях.

┌──────────────────────────────┐
│      VPS 89.111.140.86       │
│    WireGuard: 10.5.0.1       │
│    NetBird: 100.70.93.36     │
│    Ubuntu 24.04.3 LTS        │
└───┬──────────┬──────────┬────┘
    │          │          │
 10.5.0.2   10.5.0.3   10.5.0.4
    │          │          │
    ▼          ▼          ▼
┌──────────┐ ┌──────────┐ ┌──────────────┐
│Знаменск29│ │Охотхоз-во│ │Знаменск Home │
│Mikrotik  │ │Mikrotik  │ │ONT→OpenWrt→WG│
│1 камера  │ │NVR+6 кам │ │UDM Pro → NVR │
└──────────┘ └──────────┘ └──────────────┘

VPS-сервер

Параметр Значение
IP-адрес 89.111.140.86
ОС Ubuntu 24.04.3 LTS, ядро 6.17.0-14-generic
SSH Ключ /Users/ai/Downloads/id_rsa
WireGuard wg0, порт 51820/UDP, IP 10.5.0.1/24
Публичный ключ WG v95Qiu4diw2EBghyQK4obptxnJ7EhAAUXxNflMS0DTw=
NetBird 100.70.93.36
Конфиг WG /etc/wireguard/wg0.conf
Правила iptables /etc/iptables/rules.v4

Локация 1: Знаменское 29

Оборудование

Устройство IP-адрес Логин / Пароль
Камера HiWatch (1 шт.) 192.168.88.42 admin / 1qaz!QAZ
Mikrotik 192.168.88.1 admin / admin01

Подключение к VPS

Параметр Значение
WireGuard IP 10.5.0.2
Публичный ключ 5ZFvQNSCyJwRn3IdLrxFzFh+BEFeejA8VzUoV5a++jY=
Локальная подсеть 192.168.88.0/24

Схема

Простейшая из трёх локаций. Mikrotik поднимает WireGuard-туннель напрямую к VPS. Один роутер, одна камера.

Интернет → VPS (89.111.140.86)
                │ DNAT
                ▼
        WireGuard туннель
                │
                ▼
     Mikrotik (192.168.88.1)
                │
                ▼
   Камера HiWatch (192.168.88.42)

Внешний доступ

Сервис Адрес Проброс на
Веб-интерфейс http://89.111.140.86:8080 192.168.88.42:80
SDK (iVMS-4200) 89.111.140.86:8082 192.168.88.42:8000
RTSP-поток 89.111.140.86:8554 192.168.88.42:554

RTSP-ссылка: rtsp://admin:1qaz!QAZ@89.111.140.86:8554/Streaming/Channels/101

Локация 2: Охотхозяйство

Оборудование

Устройство IP-адрес Логин / Пароль
NVR HiWatch DS-N316(D) 192.168.8.247 admin / 1qaz!QAZ
Mikrotik 192.168.8.1 admin / 1qaz!QAZ
OpenWrt (NetBird хост) 192.168.8.108 root / 1qaz!QAZ
Камера 1 192.168.8.2
Камера 2 192.168.8.3
Камера 3 192.168.8.102
Камера 4 192.168.8.110
Камера 5 192.168.8.113
Камера 6 192.168.8.120

Подключение к VPS

Параметр Значение
WireGuard IP 10.5.0.3
Публичный ключ zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8=
Локальная подсеть 192.168.8.0/24

Схема

Mikrotik поднимает WireGuard-туннель к VPS. OpenWrt обеспечивает NetBird-доступ для удалённого управления. На VPS DNAT пробрасывает порты как NVR, так и каждой камеры индивидуально.

Интернет → VPS (89.111.140.86)
                │ DNAT
                ▼
        WireGuard туннель
                │
                ▼
     Mikrotik (192.168.8.1)
          │
    ┌─────┼──────────────────────┐
    │     │                      │
    ▼     ▼                      ▼
  NVR   Камеры 1-6          OpenWrt (NetBird)
 (.247) (.2,.3,.102,.110,    (.108)
         .113,.120)

Внешний доступ к NVR

Сервис Адрес Проброс на
Веб-интерфейс http://89.111.140.86:8180 192.168.8.247:80
SDK (iVMS-4200) 89.111.140.86:8100 192.168.8.247:8000
RTSP-поток 89.111.140.86:8555 192.168.8.247:554

RTSP NVR (каналы 1-6):

  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/101
  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/201
  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/301
  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/401
  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/501
  • rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/601

Внешний доступ к камерам напрямую

Камера IP RTSP-порт VPS SDK-порт VPS
1 192.168.8.2 8561 8201
2 192.168.8.3 8562 8202
3 192.168.8.102 8563 8203
4 192.168.8.110 8564 8204
5 192.168.8.113 8565 8205
6 192.168.8.120 8566 8206

Локация 3: Знаменское Home

Оборудование

Устройство IP-адрес Логин / Пароль
NVR HiWatch DS-N316(D) 192.168.1.123 admin / 1qaz!QAZ
Huawei HG8245H (ONT) 192.168.100.1 root / admin
OpenWrt_3 (WAN) 192.168.100.3 root / 1qaz!QAZ
OpenWrt_3 (LAN) 10.3.0.1
OpenWrt_3 (NetBird) 100.70.54.204
UDM Pro (Ubiquiti) 10.3.0.175 SSH: k9gLi2C / xdjM0eQkIeZfmCFBYo9DP
Параметр NVR Значение
Серийный номер DS-N316(D)1620250625CCRRGC0949997WCVU
Прошивка V4.76.015 (build 250210)

Подключение к VPS

Параметр Значение
WireGuard IP 10.5.0.4
Публичный ключ HRsAUPwDOh+36EoHrXVYY5t6YVdb612N+E+3I+o6RTw=
Приватный ключ 4C9B6iHRRARQfFGBoXimIeznJKj8NX7QmUBW3O+pklE=
Локальные подсети 192.168.1.0/24, 192.168.100.0/24

Топология

Самая сложная из трёх локаций. Провайдерский GPON-терминал Huawei раздаёт интернет. За ним OpenWrt_3 поднимает WireGuard-туннель к VPS. На LAN-стороне OpenWrt_3 стоит Ubiquiti UDM Pro, за которым NVR на подсети 192.168.1.0/24.

Интернет
    │
    ▼
Huawei HG8245H ONT (192.168.100.1)
    │ Провайдерский GPON-терминал
    │ LAN: 192.168.100.0/24
    ▼
OpenWrt_3
    │ WAN: 192.168.100.3
    │ LAN: 10.3.0.1
    │ WireGuard wg0 → VPS (10.5.0.4 ↔ 10.5.0.1)
    │ AmneziaWG awg0 (10.8.1.7)
    │ NetBird wt0 (100.70.54.204)
    │ Podkop + sing-box (обход блокировок)
    │
    │ LAN: 10.3.0.0/24
    ▼
UDM Pro (10.3.0.175)
    │ MAC: 9c:05:d6:ac:98:b8
    │ LAN: 192.168.1.0/24
    ▼
NVR HiWatch DS-N316(D) (192.168.1.123)

Цепочка трафика

Интернет → VPS (DNAT) → WireGuard → OpenWrt_3 → UDM Pro → NVR

Ключевые настройки

Элемент Настройка
Маршрут на OpenWrt_3 192.168.1.0/24 via 10.3.0.175 (UCI persistent)
Файрвол OpenWrt_3 Зона wg: masq=1, форвардинг wg↔lan, wg↔wan
VPS AllowedIPs 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24
VPS маршруты 192.168.1.0/24 via 10.5.0.4, 192.168.100.0/24 via 10.5.0.4

Внешний доступ к NVR

Сервис Адрес Проброс на
Веб-интерфейс http://89.111.140.86:8280 192.168.1.123:80
SDK (iVMS-4200) 89.111.140.86:8282 192.168.1.123:8000
RTSP-поток 89.111.140.86:8284 192.168.1.123:554

RTSP-ссылка: rtsp://admin:1qaz!QAZ@89.111.140.86:8284/Streaming/Channels/101

Сводная таблица портов VPS

Все внешние порты доступны по адресу 89.111.140.86:

Порт Протокол Назначение Локация
51820 UDP WireGuard Служебный
8080 TCP Веб камеры Знаменское 29
8082 TCP+UDP SDK камеры Знаменское 29
8554 TCP RTSP камеры Знаменское 29
8180 TCP Веб NVR Охотхозяйство
8100 TCP SDK NVR Охотхозяйство
8555 TCP RTSP NVR Охотхозяйство
82018206 TCP SDK камер 16 Охотхозяйство
85618566 TCP RTSP камер 16 Охотхозяйство
8280 TCP Веб NVR Знаменское Home
8282 TCP SDK NVR Знаменское Home
8284 TCP RTSP NVR Знаменское Home

WireGuard-пиры VPS

Локация WG IP Публичный ключ AllowedIPs
Знаменское 29 10.5.0.2 5ZFvQNSCyJwRn3Id... 10.5.0.2/32, 192.168.88.0/24
Охотхозяйство 10.5.0.3 zZ4UoWNwTxBODr8x... 10.5.0.3/32, 192.168.8.0/24
Знаменское Home 10.5.0.4 HRsAUPwDOh+36EoH... 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24

Известные особенности

  • UDM Pro (Знаменское Home): SSH-логин работает, но Network Application не запускается — веб-интерфейс управления Ubiquiti недоступен
  • Podkop/sing-box на OpenWrt_3: TPROXY может мешать исходящему TCP. При диагностике проблем со связью рекомендуется временно останавливать: service podkop stop; service sing-box stop
  • NetBird на OpenWrt_3: Маршрут NIIKN для 192.168.1.0/24 был деселектирован, чтобы не конфликтовать с WireGuard-маршрутом
  • Huawei ONT (192.168.100.1): Иногда показывает "Waiting..." — перезагрузка решает проблему
Reference in New Issue View Git Blame Copy Permalink