پروکسی برای دستگاه‌های IoT: چگونه دوربین‌های هوشمند و ربات‌های جاروبرقی را از طریق روتر تنظیم کنیم

دوربین‌های هوشمند، ربات‌های جاروبرقی، ترموستات‌ها و دیگر دستگاه‌های IoT به طور مداوم به اینترنت متصل می‌شوند - و همیشه به جایی که شما انتظار دارید، نمی‌روند. تنظیم پروکسی در سطح روتر به شما این امکان را می‌دهد که تمام ترافیک خروجی دستگاه‌های هوشمند را کنترل کنید، IP واقعی شبکه را پنهان کنید و محدودیت‌های منطقه‌ای را بدون نصب نرم‌افزار بر روی خود دستگاه دور بزنید. در این مقاله بررسی خواهیم کرد که چرا این کار لازم است، کدام پروکسی‌ها مناسب هستند و چگونه همه چیز را مرحله به مرحله تنظیم کنیم.

چرا دستگاه‌های IoT به پروکسی نیاز دارند

بیشتر کاربران حتی به این فکر نمی‌کنند که دستگاه‌های هوشمندشان به کجا «زنگ می‌زنند». در عین حال، ربات‌های جاروبرقی چینی Roborock، Dreame، Xiaomi به طور منظم نقشه‌های اتاق‌ها و داده‌های مسیرها را به سرورهای تولیدکننده ارسال می‌کنند. دوربین‌های IP Hikvision، Dahua، Reolink به خدمات ابری برای مشاهده از راه دور متصل می‌شوند. پریزهای هوشمند، لامپ‌ها و ترموستات‌ها با سرورهای خارجی همگام‌سازی می‌شوند.

پروکسی سروری که در سطح روتر تنظیم شده است، چندین وظیفه را به طور همزمان حل می‌کند:

• IP واقعی شبکه شما را پنهان می‌کند - تولیدکننده دستگاه IP پروکسی را می‌بیند، نه آدرس خانگی شما.
• محدودیت‌های جغرافیایی را دور می‌زند - برخی از ویژگی‌های دستگاه‌های هوشمند فقط در کشورهای خاصی در دسترس هستند. پروکسی با موقعیت جغرافیایی مناسب دسترسی به تمام قابلیت‌ها را فراهم می‌کند.
• ترافیک خروجی را کنترل می‌کند - شما می‌توانید ببینید که هر دستگاه با کدام سرورها ارتباط برقرار می‌کند.
• از نظارت محافظت می‌کند - این موضوع به ویژه برای دوربین‌ها و دستگاه‌های دارای میکروفون حائز اهمیت است.
• اجازه می‌دهد رفتار دستگاه‌ها را آزمایش کنید - این برای کسانی که در حال نظارت بر خانه‌های هوشمند هستند یا تجهیزات IoT را می‌فروشند، مفید است.

یک سناریوی جداگانه - استفاده تجاری. اگر شما یک شبکه از چندین دفتر یا انبار با تجهیزات IoT (دوربین‌های نظارتی، حسگرها، قفل‌های هوشمند) را مدیریت می‌کنید، پروکسی از طریق روتر به شما این امکان را می‌دهد که به طور مرکزی IP آدرس‌های کل زیرساخت را مدیریت کنید. این از نظر امنیت و مدیریت بسیار راحت است.

کدام نوع پروکسی را برای دستگاه‌های هوشمند انتخاب کنیم

همه نوع پروکسی‌ها به یک اندازه برای IoT مناسب نیستند. بیایید گزینه‌ها و کاربرد آنها را برای دستگاه‌های هوشمند بررسی کنیم:

برای بیشتر وظایف با دستگاه‌های خانگی هوشمند، انتخاب بهینه پروکسی‌های رایج است. آنها دارای IP واقعی کاربران خانگی هستند که به معنای حداقل خطر مسدود شدن توسط خدمات ابری تولیدکننده است. زمانی که دوربین هوشمند شما از طریق IP رایج به اینترنت متصل می‌شود، برای سرور تولیدکننده این به عنوان یک کاربر خانگی عادی به نظر می‌رسد.

اگر هدف شما دور زدن محدودیت‌های جغرافیایی سخت (به عنوان مثال، باز کردن ویژگی‌های دستگاه هوشمند که فقط در ایالات متحده یا اروپا در دسترس هستند) است، باید پروکسی‌های موبایل را در نظر بگیرید - آنها دارای IP اپراتورهای موبایل هستند و تقریباً هرگز در لیست سیاه قرار نمی‌گیرند.

برای وظایف نظارت، آزمایش زیرساخت IoT یا کار با دستگاه‌هایی که بررسی‌های سختی ندارند، پروکسی‌های مرکز داده مناسب هستند - آنها سرعت بالا و ثبات را با هزینه کمتر ارائه می‌دهند.

چگونه پروکسی را از طریق روتر تنظیم کنیم: دستورالعمل گام به گام

تنظیم پروکسی بر روی روتر تنها راه برای پوشش دادن تمام دستگاه‌های IoT در شبکه بدون نیاز به تنظیم هر یک از آنها به طور جداگانه است. بیایید چند سناریوی محبوب را بررسی کنیم.

گزینه 1: روترهای با فریم‌ور OpenWRT / DD-WRT

این گزینه انعطاف‌پذیرترین است. فریم‌ورهای OpenWRT و DD-WRT از نصب بسته‌های اضافی، از جمله کلاینت‌های پروکسی پشتیبانی می‌کنند. اگر روتر شما یکی از این فریم‌ور‌ها را پشتیبانی کند (ASUS، TP-Link، Netgear و بسیاری دیگر)، شما کنترل کامل بر ترافیک خواهید داشت.

گام 1. به رابط وب روتر وارد شوید. معمولاً آدرس - 192.168.1.1 یا 192.168.0.1 است.

گام 2. به بخش System → Software (در OpenWRT) یا Administration → Commands (در DD-WRT) بروید.

گام 3. بسته redsocks را نصب کنید - این یک ابزار برای پروکسی‌گذاری شفاف ترافیک از طریق SOCKS5 یا پروکسی HTTP است.

opkg update
opkg install redsocks

گام 4. فایل پیکربندی /etc/redsocks.conf را ویرایش کنید. اطلاعات سرور پروکسی خود را مشخص کنید:

base {
  log_debug = off;
  log_info = on;
  daemon = on;
  redirector = iptables;
}

redsocks {
  local_ip = 0.0.0.0;
  local_port = 12345;
  ip = IP_پروکسی_شما;
  port = PORT_شما;
  type = socks5;
  login = "نام_کاربری_شما";
  password = "رمز_عبور_شما";
}

گام 5. iptables را برای هدایت ترافیک از طریق redsocks تنظیم کنید. می‌توانید تمام ترافیک را هدایت کنید یا فقط از IP‌های خاص (به عنوان مثال، فقط از IP دوربین شما):

# هدایت ترافیک دستگاه خاص (IP دوربین: 192.168.1.50)
iptables -t nat -A PREROUTING -s 192.168.1.50 -p tcp -j REDIRECT --to-ports 12345

# یا هدایت تمام ترافیک شبکه (به جز خود روتر)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 12345
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 12345

گام 6. redsocks را راه‌اندازی کنید و آن را به صورت خودکار فعال کنید:

/etc/init.d/redsocks start
/etc/init.d/redsocks enable

گزینه 2: روترهای ASUS با فریم‌ور Merlin

فریم‌ور Asuswrt-Merlin (برای روترهای ASUS سری RT) از اسکریپت‌ها پشتیبانی می‌کند و اجازه می‌دهد پروکسی را از طریق مدیر داخلی تنظیم کنید. اصل همان است - نصب redsocks یا ابزار مشابه از طریق مدیر بسته Entware که در Merlin ادغام شده است.

مراحل: یک حافظه USB به روتر متصل کنید → Entware را از طریق بخش Administration → Scripts نصب کنید → redsocks را از طریق opkg نصب کنید → پیکربندی را مشابه مثال بالا تنظیم کنید.

گزینه 3: Raspberry Pi به عنوان دروازه پروکسی

اگر روتر شما از فریم‌ورهای سفارشی پشتیبانی نمی‌کند، می‌توانید از Raspberry Pi به عنوان دروازه میانی استفاده کنید. Raspberry Pi بین روتر و دستگاه‌ها متصل می‌شود و ترافیک را از طریق پروکسی عبور می‌دهد. این یک راه‌حل انعطاف‌پذیرتر است که نیازی به تغییر فریم‌ور روتر ندارد.

بر روی Raspberry Pi همان بسته‌ها نصب می‌شوند: redsocks + iptables. دستگاه‌های IoT از طریق Raspberry Pi به شبکه متصل می‌شوند که به طور خودکار ترافیک آنها را پروکسی می‌کند.

دوربین‌های هوشمند: ویژگی‌های تنظیم و خطرات

دوربین‌های IP یکی از «گفتگوکننده‌ترین» دستگاه‌های IoT هستند. آنها به طور مداوم ارتباط خود را با سرورهای ابری برای دسترسی از راه دور حفظ می‌کنند، اعلان‌های حرکتی ارسال می‌کنند و ضبط‌ها را همگام‌سازی می‌کنند. مدل‌های محبوب شامل Hikvision، Dahua، Reolink، Xiaomi Mi Camera، Ezviz، TP-Link Tapo هستند.

سناریوهای اصلی استفاده از پروکسی برای دوربین‌های هوشمند:

• پنهان کردن IP واقعی شیء تحت نظارت - این برای اشیاء شرکتی و افراد خصوصی که نمی‌خواهند موقعیت خود را فاش کنند، مهم است.
• دسترسی به ویژگی‌های مسدود شده در منطقه - برخی از خدمات ابری دوربین‌ها فقط در کشورهای خاصی کار می‌کنند.
• نظارت بر چندین شیء از طریق یک پروکسی واحد - این برای شرکت‌های امنیتی که دوربین‌ها را در مکان‌های مختلف مدیریت می‌کنند، راحت است.
• محافظت در برابر حملات DDoS بر روی دوربین‌های IP - IP واقعی پشت پروکسی پنهان شده است.

برای دوربین‌هایی که از پروتکل RTSP استفاده می‌کنند (بیشتر Hikvision و Dahua)، پروکسی در سطح روتر به درستی کار می‌کند - RTSP از طریق TCP منتقل می‌شود. برای دوربین‌های P2P (Xiaomi، Ezviz، TP-Link Tapo) وضعیت پیچیده‌تر است: آنها از پروتکل‌های اختصاصی استفاده می‌کنند که بخشی از آنها از طریق UDP کار می‌کند.

نکته عملی: اگر نیاز دارید IP را برای ترافیک مدیریتی دوربین (تنظیمات، اعلان‌ها، همگام‌سازی ابری) پنهان کنید، پروکسی از طریق روتر این کار را انجام می‌دهد. اگر نیاز به پروکسی‌گذاری تمام جریان ویدیو دارید - VPN را به عنوان یک مکمل برای پروکسی در نظر بگیرید.

ربات‌های جاروبرقی و دیگر گجت‌های هوشمند

ربات‌های جاروبرقی یک مورد خاص در میان دستگاه‌های IoT هستند. مدل‌هایی مانند Roborock سری S، Dreame سری L، Xiaomi Mi Robot، Ecovacs Deebot به طور فعال از ابر برای ذخیره نقشه‌های اتاق‌ها، به‌روزرسانی فریم‌ورک و همگام‌سازی تنظیمات استفاده می‌کنند. تمام این داده‌ها به سرورهای تولیدکننده ارسال می‌شوند - معمولاً در چین.

پروکسی از طریق روتر این امکان را می‌دهد:

• پنهان کردن IP واقعی و موقعیت از تولیدکننده
• باز کردن ویژگی‌هایی که در منطقه شما در دسترس نیستند (به عنوان مثال، برخی از دستورات صوتی یا ادغام‌ها)
• نظارت بر اینکه دستگاه با کدام سرورها ارتباط برقرار می‌کند
• مسدود کردن اتصالات ناخواسته (از طریق ترکیب پروکسی و فایروال)

منطق مشابهی برای دیگر دستگاه‌های هوشمند نیز اعمال می‌شود:

HTTP در مقابل SOCKS5: چه چیزی را برای IoT انتخاب کنیم

هنگام تنظیم پروکسی برای دستگاه‌های IoT از طریق روتر، با انتخاب پروتکل مواجه خواهید شد. در اینجا آنچه باید بدانید:

پروکسی HTTP/HTTPS

فقط با ترافیک وب (پورت‌های 80 و 443) کار می‌کند. برای دستگاه‌هایی که فقط از طریق درخواست‌های HTTP با ابر ارتباط برقرار می‌کنند، مناسب است. مزیت - سادگی تنظیم و امکان تجزیه و تحلیل ترافیک در سطح پروکسی. عیب - پورت‌ها و پروتکل‌های غیر استاندارد را که برخی از دستگاه‌های IoT استفاده می‌کنند، پشتیبانی نمی‌کند.

پروکسی SOCKS5

در سطح پایین‌تری کار می‌کند و از هر اتصال TCP در هر پورتی پشتیبانی می‌کند. این SOCKS5 را به انتخاب ترجیحی برای دستگاه‌های IoT تبدیل می‌کند، زیرا آنها معمولاً از پورت‌های غیر استاندارد و پروتکل‌های اختصاصی بر روی TCP استفاده می‌کنند. Redsocks که در بالا ذکر کردیم، دقیقاً با SOCKS5 کار می‌کند.

امنیت و کنترل ترافیک شبکه هوشمند

تنظیم پروکسی تنها بخشی از کار برای تأمین امنیت شبکه IoT است. برای حفاظت کامل، توصیه می‌شود از یک رویکرد جامع استفاده کنید.

تقسیم‌بندی شبکه

دستگاه‌های IoT را در یک زیرشبکه جداگانه (VLAN) قرار دهید. این یک روش استاندارد امنیتی است: اگر یکی از دستگاه‌ها به خطر بیفتد، مهاجم به شبکه اصلی با کامپیوترها و گوشی‌های هوشمند دسترسی نخواهد داشت. بیشتر روترهای مدرن (ASUS، TP-Link، Mikrotik) از VLAN از طریق رابط وب پشتیبانی می‌کنند.

نظارت بر اتصالات خروجی

پس از تنظیم پروکسی، از ابزارهای نظارتی برای تجزیه و تحلیل ترافیک دستگاه‌های IoT استفاده کنید. در OpenWRT، بسته tcpdump برای ضبط بسته‌ها و ntopng برای نظارت بصری در دسترس است. این به شما این امکان را می‌دهد که ببینید دستگاه‌های شما با کدام سرورها ارتباط برقرار می‌کنند و در صورت لزوم اتصالات ناخواسته را مسدود کنید.

لیست‌های سفید و سیاه IP

با استفاده از iptables در ترکیب با پروکسی، می‌توانید یک لیست سفید از IP‌های مجاز برای هر دستگاه ایجاد کنید. به عنوان مثال، دوربین Reolink شما باید فقط با سرورهای Reolink ارتباط برقرار کند - هر چیز دیگری مسدود می‌شود. این یک محافظت مؤثر در برابر اتصالات غیرمنتظره و آسیب‌پذیری‌های احتمالی فریم‌ورک است.

احراز هویت در پروکسی

از پروکسی با نام کاربری و رمز عبور استفاده کنید - این از استفاده غیرمجاز از سرور پروکسی توسط دستگاه‌ها یا افرادی که ممکن است به شبکه شما دسترسی پیدا کنند، جلوگیری می‌کند. تمام ارائه‌دهندگان پروکسی معتبر از احراز هویت با نام کاربری/رمز عبور یا بر اساس IP پشتیبانی می‌کنند.

مشکلات رایج و چگونه آنها را حل کنیم

هنگام تنظیم پروکسی برای دستگاه‌های IoT از طریق روتر، ممکن است با تعدادی مشکل رایج مواجه شوید. در اینجا رایج‌ترین‌ها و راه‌حل‌های آنها آورده شده است:

مشکل 1: دستگاه پس از تنظیم پروکسی به ابر متصل نمی‌شود

علت: دستگاه از گواهی SSL استفاده می‌کند - بررسی گواهی SSL که اجازه نمی‌دهد از طریق پروکسی شفاف با تغییر گواهی کار کند.

راه‌حل: از پروکسی شفاف بدون بازرسی SSL استفاده کنید (redsocks در حالت socks5 بدون ضبط TLS). دستگاه از طریق پروکسی کار خواهد کرد، اما محتوای ترافیک رمزگذاری شده باقی می‌ماند - این برای وظایف پنهان‌سازی IP عادی است.

مشکل 2: تأخیر بالا هنگام کار از طریق پروکسی

علت: سرور پروکسی جغرافیایی از سرورهای تولیدکننده دستگاه دور است.

راه‌حل: پروکسی با موقعیت جغرافیایی نزدیک به سرورهای تولیدکننده انتخاب کنید. به عنوان مثال، برای دستگاه‌های چینی (Xiaomi، Roborock) از پروکسی در هنگ کنگ یا سنگاپور استفاده کنید. برای دستگاه‌های آمریکایی (Amazon، Google) - پروکسی در ایالات متحده.

مشکل 3: پروکسی کار می‌کند، اما ترافیک UDP پروکسی نمی‌شود

علت: Redsocks و بیشتر پروکسی‌های SOCKS5/HTTP فقط با TCP کار می‌کنند.

راه‌حل: برای دستگاه‌هایی که از UDP استفاده می‌کنند (برخی دوربین‌ها، اسپیکرهای هوشمند)، یک تونل VPN (WireGuard یا OpenVPN بر روی روتر) به پروکسی اضافه کنید. VPN پروکسی‌گذاری ترافیک UDP را فراهم می‌کند و از پروکسی SOCKS5 برای TCP استفاده کنید.

مشکل 4: پس از راه‌اندازی مجدد روتر، قوانین iptables بازنشانی می‌شوند

علت: قوانین iptables به طور خودکار در بیشتر سیستم‌ها ذخیره نمی‌شوند.

راه‌حل: قوانین را با استفاده از iptables-save ذخیره کنید و بازیابی آنها را به اسکریپت راه‌اندازی خودکار اضافه کنید. در OpenWRT از فایل /etc/firewall.user برای قوانین دائمی استفاده کنید.

# ذخیره قوانین iptables (سیستم‌های مبتنی بر Debian/Ubuntu)
iptables-save > /etc/iptables/rules.v4

# بازیابی در زمان راه‌اندازی
iptables-restore < /etc/iptables/rules.v4

مشکل 5: سرور پروکسی اتصالات را از روتر رد می‌کند

علت: پروکسی برای احراز هویت بر اساس IP تنظیم شده است و IP روتر در لیست سفید اضافه نشده است.

راه‌حل: یا IP روتر را در لیست سفید ارائه‌دهنده پروکسی اضافه کنید، یا از احراز هویت با نام کاربری/رمز عبور در پیکربندی redsocks (پارامترهای login و password در پیکربندی) استفاده کنید.

نتیجه‌گیری و توصیه‌ها

تنظیم پروکسی برای دستگاه‌های IoT از طریق روتر یک کار دشوار نیست برای کسانی که آماده‌اند یک ساعت برای تنظیم آن صرف کنند، اما نتیجه ارزشش را دارد. شما کنترل کامل بر این دارید که چه داده‌هایی و به کجا ارسال می‌شوند، IP واقعی شبکه را پنهان می‌کنید و در صورت نیاز محدودیت‌های جغرافیایی را دور می‌زنید.

بیایید نکات کلیدی را جمع‌بندی کنیم:

• دستگاه‌های IoT را نمی‌توان به طور مستقیم تنظیم کرد - پروکسی در روتر تنظیم می‌شود
• ابزار redsocks + iptables - راه‌حل استاندارد برای OpenWRT/DD-WRT/Merlin
• SOCKS5 به دلیل پشتیبانی از پورت‌های غیر استاندارد برای IoT ترجیح داده می‌شود
• برای ترافیک UDP (برخی دوربین‌ها) به VPN به عنوان مکمل پروکسی نیاز است
• دستگاه‌های IoT را در یک VLAN جداگانه برای امنیت بیشتر تقسیم‌بندی کنید
• پروکسی با موقعیت جغرافیایی نزدیک به سرورهای تولیدکننده دستگاه انتخاب کنید

اگر هدف شما پنهان کردن IP واقعی دستگاه‌های هوشمند و تأمین حداکثر اعتماد از سوی خدمات ابری تولیدکننده است، توصیه می‌کنیم پروکسی‌های رایج را در نظر بگیرید - آنها از IP‌های واقعی کاربران خانگی استفاده می‌کنند و تقریباً هیچ‌گونه مشکوکی در سرورهای تولیدکنندگان دستگاه‌های IoT ایجاد نمی‌کنند.