Ci ha scritto in queste ore un lettore chiedendo lumi circa le tante difficoltà che riscontra nell’accedere da remoto a un DVR collegato con un sistema di videosorveglianza.
Il lettore spiega di non riuscire a collegarsi da remoto al DVR usando il suo dispositivo mobile (smartphone) collegato alla rete dati di un operatore di telefonia mobile italiano.
Diciamo subito che accedere a un PC remoto, al router, a una videocamera o a un qualunque altro dispositivo collegato alla rete locale implica qualche “infarinatura” sul funzionamento e sulla configurazione delle reti nonché sull’impostazione del router e degli altri dispositivi per il networking.
Come accedere da remoto al PC, al router o a un qualunque dispositivo collegato in rete locale
Gran parte dei concetti che riprendiamo in quest’articolo erano già stati oggetto di approfondimento: vi invitiamo a rileggere il pezzo dal titolo Come collegarsi a una videocamera IP da remoto.
Sapere come connettersi da remoto a una videocamera IP fornisce le chiavi per accedere da remoto a qualunque dispositivo collegato in LAN.
Riassumiamo la procedura per accedere da remoto al PC, al router o ad altri dispositivi partendo da alcuni concetti di base:
1) Il modem router con cui generalmente si collega la propria LAN alla rete Internet consta di funzionalità NAT/firewall. Ciò significa che per impostazione predefinita le porte in ingresso sono tutte chiuse e, di solito, non viene neppure fornita alcuna risposta ai tentativi di connessione provenienti da remoto.
A meno che UPnP non fosse abilitato sul router (consigliamo di disabilitarlo: Sicurezza router, il pericolo può arrivare anche da UPnP?), per default tutte le porte di comunicazione (TCP/UDP) in ingresso dovrebbero risultare chiuse (controllare le porte eventualmente aperte in ingresso con il servizio GRC Shields Up: Come controllare porte aperte su router e IP pubblico).
2) Al modem router l’operatore di telecomunicazioni assegna un IP pubblico, raggiungibile da qualunque sistema collegato alla rete Internet. L’IP pubblico consente di raggiungere il router ovunque ci si trovi, anche a migliaia di chilometri di distanza, usando qualunque provider/dispositivo/modalità di connessione (collegamento WiFi, accesso diretto da postazione fissa via cavo Ethernet e collegamento dial-up, xDSL, FTTx, WLAN,…, utilizzo rete dati in mobilità e così via).
3) Per collegarsi da remoto a un dispositivo connesso alla propria rete locale (quindi posizionato a valle del router) si può procedere in due modi:
– Utilizzo dell’app fornita dal produttore del dispositivo.
Essa di solito si appoggia al cloud e non implica l’apertura di una o più porte TCP/UDP in ingresso sul router.
In questo caso viene adoperato il meccanismo della reverse connection (che avevamo descritto anni fa: Cos’è e come si effettua una “reverse connection”) e che su PC e dispositivi mobili utilizza ad esempio il ben noto Teamviewer.
Il dispositivo collegato alla rete locale (videocamera IP, DVR, server NAS, termostato intelligente, sistema d’allarme smart, sistema domotico, device IoT,…) si collega automaticamente a un server remoto gestito dal produttore e lo informa dell’IP pubblico assegnato al router locale.
Per accedere da remoto al dispositivo collegato alla sua LAN, l’utente avvia l’app fornita dal produttore sul suo dispositivo mobile: questa provvede a collegarsi con il server del produttore che, a sua volta, funge da intermediario per instaurare la connessione con il dispositivo connesso alla rete locale.
In questi frangenti normalmente non è richiesto alcun intervento aggiuntivo da parte dell’utente: basta collegarsi da browser o mediante app all’indirizzo remoto (tipicamente un URL del tipo https://nomedelproduttore.abc/qualcosa
) mostrato al momento della prima configurazione del dispositivo di rete per essere in grado di accedere allo streaming video, caricare o scaricare file, apportare modifiche al device e così via.
– Apertura delle porte sul router, inoltro del traffico e eventuale utilizzo di un servizio DDNS.
Nei casi in cui non fosse possibile usare un’app fornita dal produttore del dispositivo al quale si vuole accedere da remoto, è necessario procedere manualmente seguendo i passaggi successivi (dal n° 4 in avanti).
4) Il primo passo per accedere da remoto a un dispositivo collegato alla propria rete LAN di casa o dell’ufficio consiste nell’assegnare un IP privato, statico, a tale device.
Portandosi nel pannello di configurazione di tale dispositivo, si deve assegnare manualmente un IP privato che non possa mai essere usato da altri dispositivi nell’ambito della rete locale (vedere 192.168.x.x: perché in rete locale vengono usati questi indirizzi?).
Come si fa? In primis, dal pannello di amministrazione del router, va verificato l’intervallo di indirizzi IP privati utilizzato dal server DHCP per l’assegnazione automatica.
Appurato questo aspetto, bisognerà assegnare l’IP al dispositivo in maniera tale che esso ricada fuori dall’intervallo usato dal server DHCP.
5) A questo punto, è importante verificare quali porte TCP/UDP devono essere aperte per assicurare l’accesso remoto. Rendersene conto è facile: basta portarsi nel pannello di configurazione del dispositivo al quale si desidera accedere da remoto e controllare le voci Remote port, Media Port, HTTP/HTTPS Port e simili.
6) Successivamente, bisognerà ritornare nel pannello di configurazione del router e creare una regola per l’inoltro del traffico dati in arrivo sulle porte annotate al punto precedente.
La sezione Port forwarding o Inoltro/attivazione delle porte consente di raggiungere l’obiettivo.
Di solito è sufficiente assegnare un nome al servizio che si sta configurando, definire il protocollo usato (TCP/UDP o entrambi), la porta annotata in precedenza riportandola sia come Porta esterna che come Porta interna e indicare l’IP privato statico assegnato al dispositivo.
7) A questo punto, ogniqualvolta il dispositivo risulterà acceso e connesso al router, esso risulterà accessibile da remoto specificando indirizzo IP pubblico (quello assegnato dal provider al modem router) e porta.
Suggeriamo di effettuare una connessione di test dallo smartphone scollegandolo dalla rete WiFi locale e attivando la connessione dati dell’operatore di telefonia mobile (accertarsi di avere un piano dati attivo sulla propria utenza).
Nel caso di un dispositivo che risponde alle richieste via HTTP/HTTPS, basterà digitare l’indirizzo IP pubblico del router nella barra degli indirizzi del browser sul dispositivo mobile (specificando anche la porta, se necessario, separata dall’indirizzo con i due punti :).
8) Se l’indirizzo IP pubblico assegnato al router cambiasse a ogni connessione, bisognerà necessariamente ricorrere a un servizio DDNS (Dynamic DNS).
Il meccanismo alla base del funzionamento dei DDNS permetterà di comunicare a un server remoto il nuovo IP del router ogni volta che questo cambia: DynDNS DDNS gratuito: guida alla configurazione e all’utilizzo di No-IP.
Per accedere da remoto a PC, videocamere, DVR, dispositivi IoT e così via e raggiungere in primis il router, non si dovrà conoscerne l’IP pubblico ma basterà digitare un indirizzo “mnemonico” del tipo nomemiarete.servizioddns.org
che non cambia mai.
9) La porta o le porte aperte sull’IP pubblico risulteranno raggiungibili da chiunque per impostazione predefinita. Scansioni operate su gruppi di IP pubblici da parte di terzi evidenzieranno la presenza di tali porte e di un componente server in ascolto per le richieste di connessione in ingresso.
È quindi fondamentale che il dispositivo sia protetto adeguatamente mediante l’utilizzo di credenziali d’accesso “solide” (password lunga e complessa) ed è altrettanto importante installare eventuali aggiornamenti del firmware (che spesso risolvono problematiche di sicurezza).
Emblematico il caso che abbiamo illustrato nell’articolo Vulnerabilità nelle videocamere IP Foscam: F-Secure lancia l’allarme.
I dispositivi che accettano connessioni da remoto, inoltre, dovrebbero essere sempre tenuti separati dagli altri sistemi, in particolare quelli che – collegati alla rete locale – conservano dati importanti o che sono impiegati per attività critiche.
Gli switch dotati di supporto VLAN permettono di “segmentare” la rete locale e separare logicamente i dispositivi IoT, l’infrastruttura VoIP, i sistemi di videosorveglianza e sicurezza dal resto della LAN.
10) Per accedere da remoto a un PC è possibile appoggiarsi a software come Teamviewer che, come spiegato in precedenza, usano lo schema della reverse connection oppure installare un programma dotato di funzionalità server (resta in ascolto in attesa delle connessioni in arrivo).
In questo secondo caso, la procedura implica l’apertura di porte sul router e l’inoltro del traffico come spiegato ai punti 4-9.