前回、購入した中華NVRボードを使える状態にした。今回はソフトウエアの設定を行います。
NVRボードの操作を行うためにUSBポートにマウスを接続します。
NVRボードの操作と設定
NVRボードに電源を投入すると数秒ほどこの画面。
初起動時は10分割画面の表示でDHCPサーバがあるLANにNVRボードがあればネットワークは自動設定されます。さらにONVIF対応カメラと同じネットワークにあればカメラも自動的に認識されてそのカメラの映像が表示されます。
このNVRは全ての操作がマウスで行えます。右クリックをするとメニューが表示されます。最初は一番上のMain Menuを選ぶことになります。
管理系のメニューを表示しようとするとログイン画面が表示されます。初起動時であればユーザー名admin、パスワードは空の状態で「OK」を押すとパスワードの入力が求められます。次回以降はそのパスワードを使うことになります。リメンバー機能を使えばパスワードが入力された状態でログイン画面がポップアップするのでパスワードを入力する必要はありません。
メインメニュー画面は「再生」「録画設定」「ネットワーク接続確認と設定」「日時設定」があります。(後で)
1つ前の画面で左列の「システム」を選択し「基本設定」をクリックします。言語リストから「日本語」を選びます。
下部の「OK」をクリックするとシステム再起動になります。幾つかの設定は変更すると再起動が必要になります。
HDD/SSDに監視カメラの動画を録画する場合は、左列の「管理ツール」を選択し、「ハードディスク情報」をクリックします。
メインメニューの左列「管理ツール」から「バージョン」を開いた画面。システムバージョンが表示されます。新しいバージョンが提供されているのを発見した場合は、このバージョン情報と比べることになります。
「管理ツール」の「アップグレード」で新バージョンの確認と更新ができるようになっていますが、それができるということはこのNVRがインターネットと通信しまくれる状態になっているということです。中華デバイスを通信し放題にするのは怖すぎます。(後述)
メインメニューの左列「メニュー」から「スケジュール」を開いた画面。曜日や時間帯による録画の有無を決めることができます。夜間用の赤外線撮影モードのないカメラであれば夜間の撮影は無駄なので停めるというような使い方ができます。
メインメニューの左列「メニュー」から「日時間」を開いた画面。
「時間帯」は日本であれば「UTC+09:00」を選択します。時刻設定で日付と現在時刻を設定して「OK」をクリックします。
このNVRボードのソフトウエアは自動の時刻合わせ機能が無いようです。1時間ほどインターネットにつながる状態にしてネットワーク通信を監視しましたが少なくともNTPでの時刻合わせは行っていませんでした。つまり手動で時刻合わせを行わないと全く意味の無い日時が画面右上に表示され続けます。ただし、NVRの日時は録画には書き込まれません。カメラが映像に書き込む日時が正確であればそれで十分ということかもしれません。NTPで時刻合わせする機能を搭載したカメラを使用するのが重要ということになりそうです。
2022年11月30日追記:
10日ほど触らずに運用してみましたが、6時間ほど遅れる方向にズレました。1ヶ月数分程度の誤差なら許容できますが1日で40分ちかくズレるということだとさすがに困りものです。既に書いていますが、カメラがNTPで時刻合わせをするもので映像に書き込んだ日時が信頼できるなら致命的な問題ではありません。しかし、日時指定で再生しようとしたときその(NVRが管理している)日時が全くアテにならないのでは目的の日時の映像を探し回ることになります。再生して(カメラが付けた)映像に記録された日時を見て予測して別の日時を指定して再生しての繰り返しが必要になるということ。
2022年12月9日追記 (上の画像も):
コメントをいただきましてNTPの設定ができることがわかりました。
メイン画面から右クリックで「ネットワーク検出」「網設定」「メール設定」に進み、「NTP設定」の行をダブルクリックで設定ポップアップが開きます。初期値はNTPによる時刻合わせは無効なので「有効」にチェックして「カスタム」選択状態にして「サーバIP」にNTPサーバのIPアドレスを入れます。ポートは123のままで良い筈です。時刻の取得周期は初期値の60分で十分でしょう。[OK]で設定完了です。「がとらぼ」の中の人はその後で再起動してしましたが、おそらくシステム再起動は不要です。tcpdumpでネットワーク通信を調べましたが設定どおりに時刻取得していました。なお、周期は指定できますがそれを何時に行うかは指定できません。NTPで時刻合わせを行うと1秒以内程度でかなり正確に時刻合わせされます。
何故かここだけダブルクリックによる操作が必要なので気付きませんでした。
メインメニューの左列「メニュー」から「録画画質」を開いた画面。カメラが接続されているカメラ番号を選択して変な値になっていなければ問題なさそう。圧縮方式はこの製品ではH.265X以外は選択できない。
メイン画面で右クリックして「ネットワーク検出」を開いた画面。
下部の「診断」をクリックして少し待ち、上の画像のように赤い「×」が表示されていない状態で「診断結果」が「テストは成功です」であれば、この製品で想定されている使用環境にあるといえます。つまりNVRボードとインターネット(中華クラウド)間で通信ができます。
というか、これは恐ろしい状態なのでこの状態では放置しない方が良いでしょう。
ネットワークの設定変更は右下の「網設定」をクリックします。(次)
「網設定」を開いた画面。
初期値は「DHCP Enable」にチェックが入っていて、LAN内にDHCPサーバが居るなら自動的にネットワーク設定される状態になっています。自動設定されているからこそ1つ前の画面のようにインターネットに接続される状態になります。
静的設定に変えるなら「DHCP Enable」の設定を外して適切な値を変更します。このNVRボードは中華クラウドやGoogleなどと通信しますがNTPサーバとの通信は行わないので監視カメラのあるLANの外と通信する必要は正直ありません。LAN外と通信する必要がなければGatewayのIPアドレスをデタラメなものにしてしまえば一応インターネットとの通信は止まります。ただし、「がとらぼ」的にはルーターのファイヤウォールでNVRのIPアドレスを発信元/送信先にする通信の中継をブロックする方が良いと思います。(後述)
なお、中華クラウドに録画データを保存したいとかスマホで録画再生やリアルタイム監視を行いたいということであれば話は変わります。
ネットワーク設定を変更して再起動したら、メイン画面で右クリックして「ネットワーク検出」を開きます。
「NVRホスト」と「ルーター」の間、または「ルーター」と「演算子」(インターネットのことと思ってください)の間のどちらかに赤い「×」が付けばNVRとインターネットの通信が阻止された状態です。ルーターのファイヤウォールの設定でNVRのIPアドレスを発信元/送信先にする通信の中継をブロックした場合は「ルーター」と「演算子」の間に「×」が付きます。
NVRとインターネットの間で通信できない状態だとメイン画面の中央上部にオレンジ色で「接続されていません」の表示が出ます。(しばらく操作しないと消えます)
これで中華クラウドとの通信ができない状態になったので怪しい通信は無くなります。ハッカーや中共の命令による悪意のある操作をされることもありません。脆弱性も心配する必要がないでしょう。
搭載されているソフトウエアには「顔検出」と「ヒューマノイド検出」というものがあるように見えますが、試した範囲では機能のさせかたが判りませんでした。録画した動画にも顔や人を検知したことを示すマーク(色)がありませんでした。
このソフトウエアは基本的に指定した時間帯または24時間ずっと録画され続けるタイプのようです。映っている範囲(画面の指定した範囲)で動体が検知されたとき(その前後を含む)の数秒〜数分だけ録画するという機能はなさそうです。少し残念です。
ルーターのファイヤウォールでNVRとインターネット間の中継を遮断する
2つのLANをつなぐルーター作成でnftablesの設定を書いています。やることは同じです。ルーターにファイヤウォールがあると何かと便利なのでほぼ何もできない家庭用ブロードバンドルーターなどではなく古いPCやSBCにLinuxを入れてルーターにするのがオススメです。消費電力の面で優秀で(最近は)性能も優れているのでSBCルーターが一番良さそう。
NVRボードが行う謎通信
安物のネットワークカメラと同様、このNVRボードもインターネットにつながった状態だと謎通信を行います。
一時的にインターネットと通信できる状態にして、NVRボードの起動から30分程度だけですがルーター上でtcpdumpで通信ログを取りました。
- 114.114.114.114 public1.114dns.com
- 159.138.37.108 ecs-159-138-37-108.compute.hwclouds-dns.com
- 35.76.252.93 ec2-35-76-252-93.ap-northeast-1.compute.amazonaws.com.
- 159.138.41.151 mac.secu100.net
- 119.8.97.250 pub-cfg.secu100.net
- 119.13.90.42 pub-cfg.secu100.net
- 159.138.0.23 pub-cfg.secu100.net
- 159.138.3.44 pub-cfg.secu100.net
- 159.138.6.141 pub-cfg.secu100.net
- 159.138.44.71 pub-cfg.secu100.net
- 159.138.155.81 pub-cfg.secu100.net
- 172.217.25.164 www.google.com
- 139.159.212.212 caps.xmcsrv.net
- 54.178.154.181 secu100.net
- 139.9.117.175 upgrade.secu100.net
- 139.9.209.247 logsvr.xmcsrv.net
114.114.114.114以外の通信相手のIPアドレスはそのときによって変わる可能性があります。
起動してネットワーク接続を行うと最初はネットワーク設定で指定したDNSを使ってmac.secu100.netの正引きを行うようです。
mac.secu100.netにUDPでNVRボードのmacアドレスを伝えています。
続いて、ネットワーク設定で指定したDNSを使ってpub-cfg.secu100.netの正引きを行うようです。
pub-cfg.secu100.netのホストとTCPで通信を始めます。
114.114.114.114にICMPでpingを送ります。このIPアドレスはいきなり出てくるのでソフトウエアで持っているもののようです。
ネットワーク設定で指定したDNSを使ってwww.google.comの正引きを行います。
www.google.comを正引きしたIPアドレスにICMPでpingを送ります。
このあと、upgrade.secu100.netやlogsvr.xmcsrv.netが登場しますが、最初の内はpub-cfg.secu100.netとの通信が多いようです。これらの役割はホスト名のとおりなのかもしれません。
その次にHuawei Cloudのサーバのと通信が増えます。何かの認証サーバの役割があるようですがそれだけではないデータ通信を行うようです。謎通信は、このサーバとの通信がメインのようです。
NVR関連の投稿を参考にさせていただいております
私もNVRに興味を持ったので似たようなNVRを手に入れていろいろ試しているところです
NTPの設定についてですが
「網設定」を開いた画面 の NetService ボタンを押すと
ネットワークサービス設定の一覧が表示されるようです
NTP設定内容も表示されます
NTPの行をダブルクリックすると設定変更画面が表示されNTPが設定できました
どうやらデフォルトでは何も設定されていないようです
日本語に訳された機種やファームウエアによっては メール設定 というボタンになっていたり
システムメニューの 網設定 の隣に メール設定 というボタンがあったりするようです
まだいろいろ試しているところですが
設定方法に癖があるので苦労しているところです
これからの投稿も楽しみにしております
ありがとうございます。まさに当たりです。
ダブルクリックしたら設定の入力項目が出ました。
見た感じステータス表示しているだけに見えたので、購入したボードのファームウエアでは設定機能が無効化されてるのかと思っていました。他にも表示はあっても何もできないのがあるので。